一个程序员的 7 天观察手记
写在前面
7 月 8 日下班路上,我刷到一条推——工信部 NVDB 发布风险提示,把 Claude Code 称作"安全后门"。
措辞比我见过任何一次政府公告都重。
"AI 编程工具 Claude Code 存在安全后门隐患,危害严重。"
三个字:危害严重。
我把手里的瑞幸冰美式放下来,盯着屏幕看了两分钟。
这是写给 4 亿中国开发者的"点名信",不是给 Anthropic 看的。
下面是我这一周的真实工作日志——比任何技术分析都更接近真相。
6 月 30 日(周二):第一次听说
那天下午,群里炸锅了。
"Claude Code 在偷偷检测你是不是用中国 IP。""我没感觉啊,它不是装在我电脑上的吗?""它检测到中国时区,就给你发个特殊标记。""什么标记?怎么发的?""藏在 system prompt 里——'Today's date is 2026/06/30',那个斜杠就是信号。"
我当时第一反应是"段子吧"。
后来看到 Hacker News 置顶、Anthropic 工程师公开承认——才知道这是真的。
我没卸载,因为我的项目离不开 Claude Code。
我选择装作没看见。
一个错误决定。
7 月 1 日(周三):Anthropic 的回应
"这是我们 2026 年 3 月启动的一项实验,目的是防止未经授权的转售商滥用账号,并防范模型蒸馏。团队已上线更强的缓解措施,原本就计划撤下。"
读完这段话,我的脑子里冒出三个问题:
| "实验"需要以"无日志、无提示、定向监测中国用户"的方式进行吗 | |
这三个问题,到今天为止,Anthropic 都没有公开回答。
沉默本身,就是答案。
7 月 2 日(周四):版本更新
Claude Code 推送 2.1.197。
更新日志只有一行:
"Bug fixes and performance improvements."
我打开 issue 列表,没找到任何关于"删除隐写机制"的说明。
我用 strings 命令扫了新版二进制,又用 IDA 看了一眼——那段代码确实不在了。
但它存在了 97 天。
97 天里,多少中国用户被打了标签?没人知道。
7 月 3 日(周五):阿里禁用
那天下午,整个技术圈被一封内部邮件截图刷屏:
【阿里内部通知】关于全面禁用 Claude Code 的安全公告7 月 10 日起,阿里全员卸载 Claude Code,统一改用自研 Qoder。
我截了这封邮件,发到一个 200 人的开发者群里。
有人说:"阿里反应过度。"
我反问:"一个市值 3 万亿的中国公司,把自家 6 万员工的 AI 工具紧急切换,会是因为'反应过度'?"
群里沉默了。
那晚,我没加班。
我盯着自己 mac 上的 Claude Code 图标看了 10 秒。
第一次觉得它不像个工具。
7 月 7 日(周一):周一上班
周一项目组 standup,PM 问:
"我们 8 月要给客户交付的订单系统,能上线吗?"
我心里咯噔一下。
我之前用 Claude Code 写了 60% 的核心模块——用户数据、订单数据、支付回调。
我打开 Claude Code 2.1.196 的本地缓存日志(~/.claude/chat.json),
翻到 6 月期间的几条对话,每一行 system prompt 的日期,都是斜杠 /。
2026/06/15、2026/06/22、2026/06/29、2026/07/01、2026/07/02——全是斜杠。
也就是说,在 97 天里,我每一次向 Claude Code 提问,它都默默把"我是中国用户"这个标签,连同我的代码上下文一起发回了 Anthropic 的服务器。
我没有授权过这件事。
它没有弹窗,没有提示,没有选项。
我下载了 60% 的客户代码上下文,从来没问过我。
那一晚,我失眠了。
7 月 8 日(周二):工信部发文
7 月 8 日上午 10:15,NVDB 官网挂出公告。

公告标题:
关于防范 AI 编程工具 Claude Code 安全后门隐患的风险提示
我看着这个页面,反复确认这不是 P 图。
不是。
蓝色顶栏、官方 logo、发布时间 2026-07-08、底部备案号 沪 ICP 备 09013372 号-187——每一处都是真的。
我之前说"装作没看见"。
现在监管层不允许我再装作没看见了。
公告原文,逐句拆解
公告不长。我逐句拆给你看。
第一句
"工业和信息化部网络安全威胁和漏洞信息共享平台(NVDB)监测发现"
关键词:监测发现——意味着这不是"我举报",是监管层主动扫描发现的。
第二句
"AI 编程工具 Claude Code 存在安全后门隐患,危害严重"
关键词三连:
| 不是漏洞,不是问题,是厂商故意行为 | |
| NVDB 风险等级最高档 |
第三句
"由于其内置了监控机制,未经用户同意可向远程服务器回传用户地域、身份标识等敏感信息"
关键词:
• 未经用户同意——构成"后门"的核心要件 • 回传地域、身份标识——在《个人信息保护法》里属于敏感个人信息 • 远程服务器——境外
翻译一下:你电脑上的工具,未经你同意,把你电脑的位置和身份,发到了海外服务器。
第四句
"受影响的 Claude Code 为 2.1.91 至 2.1.196 版本"
这 106 个版本,影响时长 97 天。
第五句
"建议相关单位和用户立即开展全面排查,对于安装上述受影响版本的开发环境,立即卸载或升级至已清除相关后门代码的最新安全版本"
关键词:
• 相关单位——指向企业 IT 和安全部门 • 立即——不是"尽快",是"立即" • 卸载或升级——给出两条路径
第六句
"加强核心业务网段内开发工具外联权限管控与流量监测,防止敏感数据违规外传"
这句话是说给企业网管听的——别只卸载,还要做流量审计。
7 月 8 日(周二)下班后:我做了这 4 件事
公告发布后 6 小时,我做了 4 件事。
第 1 件:版本确认
$ claude --version2.1.196中招。 心脏骤停的感觉。
第 2 件:升级
$ npm update -g @anthropic-ai/claude-code+ @anthropic-ai/[email protected]装好 2.1.197,但心情没平复。
第 3 件:网络审计
我让运维同事把 6 月期间 Claude Code 的出站流量拉出来,逐条分析。
| 异常 | |
多出的 1.7%,就是那些隐写标记。
第 4 件:自检
| 需要 |
发了一封邮件给客户,把这一周的事完整说了一遍。客户回复:"知道了,谢谢。"
那封邮件,我发之前改了三遍。
7 月 9 日(周三):下一步计划
我作为开发者,要做的 4 件事
我作为产品经理,要给客户的 1 个建议
如果你的公司对客户代码保密有要求,建议把"AI 工具使用清单"写进合同。让供应商明确告诉你:用了哪些 AI、传了什么、存了多久。
写在最后
工信部这封公告,其实只说了 6 句话。
但这 6 句话,让所有 AI 工具厂商都要紧张起来——
以后再想在客户端里"加点小料",先想清楚"监管层用不用后门这个词"。
而对我们这些开发者来说,"海外工具 = 先进"这个等式,从今天开始不再成立。
透明、可审计、自研可控——才是新标准。
三个关键词:透明 / 授权 / 本土。
这 3 个词,将定义 2026 下半年中国 AI 工具的格局。
夜雨聆风