文章总结: 文档报告了美国Anthropic公司AI编程工具ClaudeCode存在安全后门隐患,工信部NVDB已发布风险提示。受影响版本为v2.1.91至v2.1.196,其内置监控机制通过Unicode隐写和时区指纹静默回传敏感信息。NVDB建议立即卸载或升级至最新版本,并加强核心业务网段的外联权限管控与流量监测。文章提供了详细的技术拆解和自查处置清单,强调研发网段面临间接泄露和供应链信任风险。 综合评分: 85 文章分类: 威胁情报,应急响应,安全工具,供应链安全,数据泄露
你的 Claude Code 可能在偷偷“汇报”——官方通报后门,附处置 checklist
原创
重生之咸鱼说安全 重生之咸鱼说安全
重生之咸鱼说安全
2026年7月10日 08:54 浙江
在小说阅读器读本章
去阅读
大家好,我是咸鱼哇。
就在昨天,工信部网络安全威胁和漏洞信息共享平台(NVDB)发布风险提示:美国 Anthropic 公司开发的 AI 编程工具 Claude Code,存在安全后门隐患,危害严重
受影响版本:v2.1.91 ~ v2.1.196。
核心问题:内置监控机制,未经用户同意向远程服务器回传地域、身份标识等敏感信息。
NVDB 建议两条:
- 受影响终端立即卸载或升级至已清除后门代码的最新版本;
- 核心业务网段加强开发工具外联权限管控 + 流量监测。
通报措辞很短,但背后的机制远比大多数人想象的更为隐蔽——作为网安岗,我们来拆开看看。
🔍 时间线先理一下
-
2026.03 Anthropic Claude Code 团队上线一套”实验性”检测机制,对外口径是防账户转售 + 防模型蒸馏
-
2026.04.02 v2.1.91 推送,隐蔽检测代码正式内置,更新日志只字未提
-
2026.06 底 有开发者在 Reddit 发逆向报告,曝光监控逻辑,全程无弹窗无提示
-
2026.07 初 阿里内部通知:Claude Code 列入高风险软件,7 月 10 日起全员禁用,推自研 Qoder 替代
-
2026.07.08 工信部 NVDB 正式发风险提示
💡 从 4 月埋代码到 7 月监管点名,潜伏了三个月。这期间多少研发网段的流量已经被打了标签,没人说得清。
#
🕵️ 技术拆解:它是怎么”偷”的
这套机制最精的地方在于——它根本不走独立上报通道,防火墙几乎看不到异常。分三步:
① 静默扫环境
Claude Code 启动后检查两件事:
- 系统时区是不是
Asia/Shanghai/Asia/Urumqi - 代理(
ANTHROPIC_BASE_URL)是不是命中一份内置黑名单
这份黑名单用 Base64 + XOR(密钥 91) 加密存储,里面是 147 个中国域名 + 11 个中国 AI 实验室关键词(DeepSeek、月之暗面、智谱、MiniMax、百川、阶跃星辰、零一万物…)。普通 grep搜不到。
② 用 Unicode 撇号变体打”隐写水印”
检测结果不直接发独立请求,而是塞进 System Prompt 的日期字符串里:
-
日期分隔符:
2026-06-30→2026/06/30(横杠换斜杠) -
“Today’s date is” 里的撇号,悄悄换成三种肉眼无法区分的 Unicode 变体:
-
U+2019→ 命中中国域名 -
U+02BC→ 关联中国 AI 实验室 -
U+02B9→ 两者都命中
你在终端看到的就是一句普通日期。Anthropic 服务端看到的,是你的环境指纹。
③ 随正常请求回传
水印跟着每一次代码查询、文件读取请求一起发出去。不弹窗、不报错、不产生额外连接,流量侧 DPI 很难识别——因为它就是正常的 API 调用。
⚠️ 严格说,Anthropic 把它叫”实验性检测”,但 NVDB 定的是安全后门、危害严重。对境内研发环境而言,这定性没毛病:未告知、未授权、可绕过、持续回传、针对特定地域。
#
📌 为什么研发网段尤其危险
很多团队对 AI coding 工具的心态是”反正代码不上传/开了隐私模式就行”——这次事件把这套幻想打碎了:
- 间接泄露路径:即使不上传完整源码,提示词、报错栈、路径片段、依赖列表、shell 命令输出、上下文摘要,都足够拼出项目画像
- 构建/测试环境同机:Claude Code 通常装在开发终端,但这台机器往往能直连代码仓、制品库、内网 API
- 供应链信任击穿:更新日志不披露、隐私协议不覆盖、遥测范围不透明,组织没法做合规评估
更别说这次黑名单直接点了美团、网易、百度、阿里、字节等国内厂商域名——目标不是普通用户,是研发组织。
🛠 自查 & 处置清单
1. 版本核查
```
claude –version # 是否在 2.1.91 ~ 2.1.196 npm list -g claude-code
```
命中的终端,按 NVDB 建议:卸载或升级到已清除后门代码的最新版。
2. 网络层
-
核心业务网段禁止开发工具直连境外 API,走统一出口代理 + 审计
-
egress ACL 加一条:阻断
api.anthropic.com/console.anthropic.com非常规时段大流量 -
NDR / 流量探针重点看:单次 session 请求体里是否出现异常的 Unicode 撇号分布(这个特征后续可以写检测规则)
3. 终端层
- EDR 加白名单管控,禁止未经批准安装全局 npm pip 包
ANTHROPIC_BASE_URL环境变量全网点扫,看谁挂了第三方中转
4. 治理层
-
研发工具纳入软件供应链台账,境外 AI 工具走审批
-
关键项目优先切国产替代(阿里推 Qoder,国内还有几家在跟)
-
这次之后,Cursor、Windsurf、Cline 这类 agentic coding 工具建议全部过一轮逆向 + 流量审计——下一颗雷大概率还在路上
写在最后
NVDB 这次点名 Claude Code,是国内监管首次对境外 AI 编程工具发明确安全警告,信号比通报本身更重。
过去一年 AI coding 工具的叙事是”效率革命”,但站在网安视角看,这类工具具备三个天然高危属性:
- 运行在最高权限的开发终端
- 能读到几乎整个代码仓 + 本地配置
- 通信目标是境外可控服务器
Claude Code 这波只是被逆向出来的一个,手段是 Unicode 隐写 + 时区指纹,够精巧但也够典型。真正的隐患不是”它偷了什么”,是”我们不知道它还偷了什么”。
研发同学下次 npm i -g之前,建议先保持疑问:这工具的母公司,愿不愿意为我的代码仓负责?
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:重生之咸鱼说安全 重生之咸鱼说安全 重生之咸鱼说安全《你的 Claude Code 可能在偷偷“汇报”——官方通报后门,附处置 checklist》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。









评论