中國工信部警告 Claude Code 後門漏洞、要求下架舊版
中國工業和信息化部(MIIT)旗下的國家漏洞資料庫(NVDB)7 月 8 日發布正式警告,指 Anthropic 旗下 AI 編程工具 Claude Code 存在「嚴重的後門漏洞」,可在使用者不知情下把地理位置與身分識別資訊回傳遠端伺服器,並要求企業與個人立即審視受影響系統、卸載舊版或升級至已移除該偵測邏輯的最新版本。CNBC 7 月 8 日報導指出,NVDB 具體標示的受影響版本區間為 v2.1.91 至 v2.1.196。這是繼阿里巴巴 7 月 4 日宣告 7 月 10 日起禁員工使用 Claude Code、Anthropic 7 月 1 日移除該偵測邏輯後,中國官方層級首次以「資安威脅」定性 Claude Code—鏈新聞 7 月 8 日先前報導已詳述 Anthropic 官方拔除偵測碼的過程。
MIIT 定性「後門漏洞、嚴重威脅」:偷傳地理位置與身分識別
NVDB 這次的警告與 6 月底 Reddit 用戶 LegitMichel777 揭露、Anthropic 工程師 Thariq Shihipar 在 X 上證實的「反 distillation 實驗」在事實層面重疊,但語彙升級顯著:Reddit 與美方媒體多以「detection code」「hidden watermark」形容;中國 MIIT 直接改稱「後門漏洞(backdoor vulnerability)」,並定性為「嚴重威脅」。這一用詞差異對後續產業合規判斷影響深遠—若企業客戶採用中國政府定性,等同啟動內部資安事件處理程序、需啟動採購替代方案評估。
受影響版本 v2.1.91 至 v2.1.196 涵蓋 Anthropic 從 2026 年 4 月 2 日發布 v2.1.91 到 6 月底發現該邏輯之間的所有中間版本。NVDB 建議的處理路徑有兩條:一是完全卸載受影響版本並改用其他 AI coding agent;二是升級到 Anthropic 7 月 1 日移除偵測碼後的最新版本。
時序:Anthropic 拔除、阿里禁令、政府警告三步升級
過去 8 天的時間軸顯示中國方面對 Claude Code 議題的態度呈梯度升溫:
- 6/30:Reddit 用戶 LegitMichel777 公布逆向工程 v2.1.91 的技術報告
- 7/1:Anthropic 移除該偵測碼、pull request 合併至 Claude Code 主線
- 7/4:阿里巴巴宣布 7 月 10 日起禁員工使用 Claude Code、要求全體切換到自家 Qoder
- 7/7:Decrypt 報導研究員質疑隱私、Anthropic 工程師 Thariq Shihipar 官方 X 說明
- 7/8:中國 MIIT NVDB 正式警告、定性為「嚴重後門漏洞」
三步升級意味著問題從「企業級決策」擴大到「國家級合規」層面。對中國境內開發者而言,繼續使用 Claude Code 現在有官方層級的合規風險;對跨國企業而言,中國業務單元的採購決策將被迫重新評估。
對競爭品的影響:Codex、Cursor、Qoder 各自的機會與挑戰
Claude Code 在中國市場空出的位置,直接受惠者可能是三類產品:OpenAI Codex 的優勢是「不涉及類似隱藏邏輯」的透明度議題、且與 Codex 完整教學中所述的 CLI + IDE + 桌面 app 生態已成熟;Cursor 剛在 7 月 1 日推出 iOS App、拓展行動端使用場景;阿里巴巴自家 Qoder 則是本次事件最直接的政策受惠者。不過 Codex 與 Cursor 若要在中國市場正式營運,仍需面對中國網路監管與資料出境法規的長期挑戰。鏈新聞 7 月 8 日另一則報導指出,中國同步擬對頂尖 AI 模型的境外存取進行限制,這條政策路徑與 NVDB 警告是同一戰線的兩面。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。



