← 返回全部文章
实战指南 · 2026年7月9日 · 8 分钟阅读

Claude Code「中国后门」争议:隐藏标记实际做了什么、哪些版本受影响、该怎么处理

这既不是已经证实的间谍软件,也不是无关紧要的小实验。Anthropic 曾在 Claude Code 里悄悄放入一个隐写标记,用来给请求打水印,识别模型蒸馏和未授权转售方;它不可见、未披露,并且按两个中国时区触发。该机制已在 7 月 1 日的 2.1.198 移除;一周后,中国方面把旧版本称为「后门」。下面是已核实的中间真相:它做了什么、没有做什么,以及你现在该怎么处理。

2026 年 7 月 8 日,中国国家漏洞库(CNVDB)发布通报,把 Claude Code 2.1.91 到 2.1.196 版本称为“后门代码”(原文:“backdoor code”),并说其中有“内置监控机制”(原文:“built-in monitoring mechanism”),会收集“用户位置和身份”(原文:“a user’s location and identity”)等信息,再转发到远端服务器。通报建议开发者立即卸载或升级,并加强访问控制和流量监控。此前,阿里巴巴也已经推动内部禁止员工使用这款工具。如果你正在用 Claude Code,这个标题当然会让人紧张。实际情况更窄、更奇怪,也更需要说准。

中国方面点出的机制,源头可以追溯到 Anthropic 3 月悄悄上线、7 月 1 日移除的一段设计:它把一个隐写标记藏进 Claude Code 的系统提示里,用来给请求打水印,识别模型蒸馏和未授权转售。它不可见、未披露,并且明确按中国时区触发;这确实是信任问题。但按公开逆向分析,它不是一个窃取你的文件、位置或身份的传输管道。这页要给出的,是介于“无害实验”和“窃取位置的间谍后门”之间、已经能核实的中间真相。主要来源在文末。

30 秒结论

  1. 中国方面怎么说: 7 月 8 日,CNVDBClaude Code 2.1.91–2.1.196 标为包含后门,称它会收集位置和身份,并建议卸载或升级。阿里巴巴也已禁止内部使用。
  2. 它实际是什么: Anthropic 3 月加入的一个隐写标记,藏在系统提示的日期行里,用于给请求打水印,识别模型蒸馏和未授权转售
  3. 它窃取了你的数据吗? 按公开分析,没有。它是按时区和接入点给请求打标记、做分类,没有上传你的代码、凭证、位置或身份。
  4. 现在还在吗? 不在。该机制已在 2.1.198(2026 年 7 月 1 日)移除;CNVDB 点名的范围止于 2.1.196。
  5. 该怎么做: 升级到 2.1.198 或更高版本。不需要因此轮换密钥;真正有用的加固是审查版本更新、监控 AI 工具的出站流量。

这个标记实际做了什么

这个机制先由署名 Thereallo 的开发者逆向发现,时间早于 Anthropic 公开回应。按该分析,Claude Code 会静默改写自己的系统提示,也就是每轮请求都会发给模型的那组指令。它改的是日期行(看起来无害的 “Today’s date is 2026-06-30” 这类字符串)和撇号字符,通过几乎不可见的 Unicode 字符处理携带隐藏信号。载荷用 XOR(密钥 91)和 base64 混淆,所以表面上仍像普通英文,里面却带着标记。

它有两个触发条件:

  • 接入点检查。 它读取配置里的基础 URL 环境变量,把主机名与一份隐藏列表比对;这份列表在运行时解码,包含已知的中国 AI 实验室、其他 AI 公司、账号转售方和网关域名。
  • 时区检查。 它会在特定系统时区触发,尤其是 Asia/ShanghaiAsia/Urumqi

当条件匹配时,这个标记会把代理或转售分类编码进请求本身。它的目标不是把你的数据发回去,而是给流量留下指纹标记:如果某个模型后来用 Claude 的输出做训练(蒸馏),或者请求经由未授权转售方转发,Anthropic 就能识别自己的水印。换句话说,它标记的是请求,不是外泄用户。

这个区别就是整件事的核心,所以值得直说:随提示一起发出的水印,和上传你是谁、在哪里的监控通道,不是一回事。前者是公开分析看到的代码行为;后者是它后来被描述成的样子。

Anthropic 怎么说

逆向分析公开后,Anthropic 工程师 Thariq Shihipar 作出回应。他的说法是:这是团队“3 月启动的一项实验,原本是为了防止未授权转售方滥用账号,并防止蒸馏”(原文:“an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation”);团队“此后已经落地了更强的缓解措施,其实一直打算把它撤掉”(原文:“landed stronger mitigations since then and we’ve actually been meaning to take this down for a while.”)。Anthropic 已在 2026 年 7 月 1 日发布的 Claude Code 2.1.198 中移除该机制。

Anthropic 没有解释清楚的是披露缺口。媒体问到这种隐写跟踪是否在服务条款里有覆盖时,公司没有正面回答,只把记者指向 Shihipar 的回应;而那段回应并没有处理披露问题。反蒸馏、反欺诈本身是常见措施;真正带来信任成本的,是把一个会隐形改写提示、按特定国家时区触发的机制放进工具里,并且大约 3 个月没有披露。这个问题独立于后来任何政府通报。

中国方面怎么说,以及分歧在哪里

移除一周后,地缘政治版本出现了。7 月 8 日,隶属中国工业和信息化部体系的国家漏洞库 CNVDB 发布通报,把 2.1.91–2.1.196 描述为含有后门代码,称其中有内置监控机制,会“收集用户位置和身份等信息,并转发给远端服务器”(原文:“collects details such as a user’s location and identity, and forwards them to remote servers”),并建议用户“立即卸载或升级到已移除相关后门代码的最新安全版本”(原文:“immediately uninstall or upgrade to the latest secure version with the relevant backdoor code removed”),同时加强访问控制和流量监控。另据 South China Morning Post 报道,阿里巴巴通知员工停止使用 Claude Code,理由是它“可能被用于识别中国用户”(原文:“could be used to identify Chinese users”)。

把通报和代码行为放在一起看,可以拆成一部分站得住、一部分被拉伸。站得住的部分: 这个机制确实隐蔽、未披露,并且明确区分中国时区和中国实验室相关流量。因此,说“它在未告知用户的情况下区别对待中国用户”,有依据;说“它可能被用于识别中国[转售]流量”,也接近它的实际目的。被拉伸的部分: “收集用户位置和身份并转发到远端服务器”描述的是数据外泄通道,而公开分析没有发现这种通道。这个标记按你的时区触发,但不等于发送你的地理位置。两种说法都可以被准确引用;也正因为如此,必须分清每句话里真正承重的是哪一部分。

哪些版本受影响,该怎么做

受影响(CNVDB 点名)Claude Code 2.1.91 – 2.1.196
标记已移除2.1.198(2026 年 7 月 1 日)
它依赖什么你的时区 + 基础 URL 主机名;不是你的代码、文件或凭证
该怎么做升级到 2.1.198 或更高版本(或当前最新版)

具体来说:

  • 升级。 claude update,或者重新安装当前版本;再用 claude --version 确认版本号已经到 2.1.198 或更高。做到这一步,就解决了通报点名的行为。
  • 不要恐慌式轮换密钥。 这个标记没有读取你的源码或密钥,所以没有证据支持因为这件事去轮换 API 密钥或凭证。密钥当然应该按你的正常制度轮换,但不是因为这个机制。
  • 要加固更新路径。 这个案例里真正可复用的教训,不只是这一个标记,而是一个会自动更新、并以你的权限运行的 CLI,可以在两个版本之间静默改变行为。对需要更高把握的团队来说,固定版本、审查发布差异、监控 AI 工具出站流量,都是合理控制点。相邻的信任边界,可以继续看AI 编程代理到底会写什么到磁盘CLAUDE.md 攻击面

真正的教训

这个具体标记已经移除,而且它比“后门”标题听起来更窄。但如果先拿掉中美安全叙事,剩下的事实仍然清楚:一个厂商把未披露、按区域触发的行为放进了数百万开发者会在本机运行、并授予大量权限的工具里,而且保留了数月。这件事不需要等任何政府通报才成为问题;它从不可见、未经同意的那一刻起,就已经是问题。

这和 Fable 5 暂停又恢复从另一个角度提出的是同一个信任问题:你依赖的工具可能在你不控制的时间线上发生变化,原因可能是厂商的静默实验,也可能是政府命令。这不等于不要用 Claude Code;它在很多工作里仍然是最强的代理,判决页也仍然这么写。它的意思是,那些无聊但必要的卫生习惯已经不能省:知道自己在用哪个版本,读发布差异,看出站流量,保留可用的备用方案。

配套阅读

Sources

  1. China warns about AI risks with Anthropic’s Claude Code — CNBC
  2. China tells devs to ditch Claude Code over ‘backdoor code’ fears — The Register
  3. Anthropic is removing its covert code for catching Chinese competitors — The Register
  4. Claude Code’s hidden tracker was an “experiment,” says Anthropic — Malwarebytes
  5. China warns of “security backdoor” in Anthropic AI coding tool — CBS News

FAQ

Claude Code 里真的有后门吗? 中国国家漏洞库在 2026 年 7 月 8 日把 Claude Code 2.1.91–2.1.196 标为“后门代码”。公开逆向分析实际记录到的是 Anthropic 3 月加入的隐写标记,用来给请求打水印,识别模型蒸馏和未授权转售;不是一个把你的文件、位置或身份外泄出去的通道。它不可见、未披露,这确实是信任问题;但按公开分析,把它说成窃取位置和身份的后门,超出了已经发现的机制。Anthropic 已在 2026 年 7 月 1 日的 2.1.198 移除它。

Claude Code 的隐藏标记实际做了什么?The Register 报道的 Thereallo 逆向分析,Claude Code 在系统提示的日期行里嵌入不可见的隐写标记,使用 Unicode 字符处理、XOR(密钥 91)和 base64。它会把配置的基础 URL 主机名与一份隐藏列表比对,列表包含中国 AI 实验室、其他 AI 公司、转售方和网关域名,并在 Asia/ShanghaiAsia/Urumqi 时区触发。效果是给请求打水印并分类,让 Anthropic 识别蒸馏和转售滥用;不是上传你的代码、位置或身份。

哪些 Claude Code 版本受影响?现在还在吗? 中国国家漏洞库通报点名的是 2.1.91 到 2.1.196。Anthropic 已在 2026 年 7 月 1 日发布的 2.1.198 移除该机制。如果你使用 2.1.198 或更高版本,或者当前最新版,这个标记已经不存在;如果你固定在受影响范围内的旧版本,就应该升级。

我应该怎么处理 Claude Code 的这个标记? 升级到 Claude Code 2.1.198 或更高版本。如果组织需要更高把握,实际控制点和通报建议类似:固定并审查版本,不要盲目自动更新;监控 AI CLI 的出站流量。这个标记不需要读取你的源代码或凭证,所以仅因为这件事而轮换密钥并没有必要。

它是否像中国通报说的那样收集位置和身份? 这是中国国家漏洞库的表述。公开记录到的机制是按系统时区(Asia/ShanghaiAsia/Urumqi)和 API 接入点主机名触发,并给请求打标记,而不是上传个人数据。说它以隐蔽方式区别对待中国时区和转售流量,是有依据的;按目前公开分析,说它把你的身份和位置转发到远端服务器,并不准确。

这篇对你有帮助吗?

相关阅读


文章独立产出 · 编辑政策

继续阅读 →