Kurzfassung: Am 8. Juli 2026 veröffentlichte die chinesische Plattform für Cybersecurity-Bedrohungen und Schwachstellen (NVDB) unter dem Ministerium für Industrie und Informationstechnologie (MIIT) eine Risikowarnung: Das KI-Programmierwerkzeug Claude Code von Anthropic in den Versionen v2.1.91 bis v2.1.196 weise ein schwerwiegendes Sicherheits-Backdoor-Risiko auf. Eingebaute Überwachungsmechanismen könnten ohne Nutzerzustimmung Standort- und Identifikationsdaten an Remote-Server übermitteln. Dieser Leitfaden richtet sich an Entwickler und IT-Teams in Unternehmen: vollständige Zeitachse, technischer Steganografie-Mechanismus, Stellungnahmen von NVDB, Anthropic und Alibaba, Hintergrund der US-China-KI-Destillationskonflikte sowie eine Sechs-Schritte-Checkliste für Versionsprüfung, Upgrade, Deinstallation und Compliance-Maßnahmen unter DSGVO- und Unternehmensrichtlinien. Wer ANTHROPIC_BASE_URL auf einen Proxy-Endpunkt setzt, sollte sofort claude --version ausführen.
Die Meldung ist mehr als eine Behördenmitteilung. Sie schließt eine zusammenhängende Kette ab: Anthropic baut Erkennungslogik ein → Entwickler decken sie per Reverse Engineering auf → Hersteller entschuldigt sich und rollt zurück → Alibaba verbietet das Tool → MIIT stuft es als Backdoor ein. Wer einschätzen will, ob Claude Code weiter genutzt werden kann, muss diese Abfolge verstehen.
| Zeitpunkt | Ereignis |
|---|---|
| Februar 2026 | Anthropic kündigt öffentlich Investitionen in Anti-Modelldestillations-Technologien an (Klassifikatoren, Verhaltens-Fingerprints, Informationsaustausch) |
| März 2026 | Claude Code erhält intern eine verdeckte Erkennungslogik — ohne öffentliche Offenlegung |
| 2026-04-02 | Claude Code v2.1.91 erscheint; verdeckter Code wird mit der Version verteilt |
| April bis Juni 2026 | Etwa 20 Versionen; Erkennungslogik bleibt bestehen, nie im Changelog erwähnt |
| 2026-06-29 | v2.1.196 erscheint (letzte betroffene Version) |
| 2026-06-30 | Reddit-Nutzer LegitMichel777 veröffentlicht erstmals die Steganografie-Erkennung; Thereallo liefert technische Analyse; Adnane Khan veröffentlicht auf GitHub einen Reverse-Engineering-Bericht und bestätigt v2.1.193/195/196 |
| 2026-07-01 | Ingenieur Thariq Shihipar gibt auf X zu, es handele sich um ein im März gestartetes „experimentelles“ Anti-Missbrauchs- und Anti-Destillations-Verfahren; Rollback für den Folgetag versprochen |
| 2026-07-02 | v2.1.197 (teilweise als v2.1.198 berichtet) entfernt den Steganografie-Code; Changelog erwähnt die Änderung nicht |
| 2026-07-03/04 | Reuters und TechCrunch: Alibaba verbietet Claude Code ab 10. Juli vollständig und wechselt zum internen Tool Qoder |
| 2026-07-08 | MIIT NVDB veröffentlicht offizielle Risikowarnung — Einstufung als „Sicherheits-Backdoor-Risiko, schwerwiegende Gefahr“ |
| 2026-07-10 | Alibabas internes Verbot tritt in Kraft |
Einordnung: Claude Code verfügt über Dateisystemzugriff und Shell-Ausführung mit hohen Rechten. Entwickler sollten unsichtbares Verhalten besonders kritisch bewerten. Der Mechanismus blieb fast drei Monate undisclosed. Die dokumentierten Folgen sind vor allem Kontosperr-Risiko und Compliance-Belastung — kein bestätigter Massen-Datenleck-Skandal. Fokus auf die undisclosed Überwachung selbst, nicht auf übertriebene Panikmache.
Der häufigste Fehler in Medienberichten: Der verdeckte Mechanismus greift nicht bei allen Nutzern. Schlagzeilen wie „Claude Code überwacht alle Nutzer“ sind technisch falsch und schaden der Glaubwürdigkeit.
| Nutzerprofil | Erkennung aktiv? | Risikostufe |
|---|---|---|
Offizielle API-NutzerANTHROPIC_BASE_URL nicht gesetzt, direkte Verbindung zu api.anthropic.com | Nein | Niedrig (dennoch Upgrade auf v2.1.197+ empfohlen) |
Unternehmens-Gateway / Drittanbieter-ProxyANTHROPIC_BASE_URL zeigt auf nicht-offiziellen Endpunkt | Ja | Hoch (Fingerprinting in v2.1.91–2.1.196) |
| China-Zeitzone + Blacklist-Treffer | Ja | Höchst (Steganografie-Codierung bei jedem Request) |
| Unternehmensmitarbeiter (z. B. Alibaba) | — | Als Hochrisiko-Software eingestuft; ab 10.7. vollständig verboten |
Nach Auslösung führt der Code zwei Arten von Umgebungsprüfungen durch:
System-Zeitzonenprüfung: Ob Asia/Shanghai oder Asia/Urumqi gesetzt ist
Proxy-Domain-Blacklist: Hostname von ANTHROPIC_BASE_URL wird gegen 147 eingebaute Regeln geprüft — u. a. Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax sowie bekannte API-Weiterverkaufs-Gateways
Blacklist-Verschleierung: Die Liste ist mit XOR-Verschlüsselung (Schlüssel 91) und Base64 doppelt verschleiert. strings reicht nicht; vollständiges Reverse Engineering des Binärs ist nötig. Das unterscheidet den Vorfall von gewöhnlicher Telemetrie und begründet den Begriff „Steganografie“.
Sicherheitsforscher Adnane Khan definierte es als „a covert information channel embedded in system prompts“ — einen verdeckten Informationskanal im System-Prompt. Statt eines separaten Telemetrie-Kanals wurde der an das Modell gesendete System-Prompt selbst manipuliert:
Bei Treffer auf China-Zeitzone ändert sich das Datumsformat im System-Prompt von 2026-06-30 (Bindestrich) zu 2026/06/30 (Schrägstrich) und kodiert 1 Bit Umgebungsinformation.
Der Standard-Apostroph in Today's date is wird durch drei visuell kaum unterscheidbare, aber Unicode-unterschiedliche Apostroph-Zeichen ersetzt. Sie kodieren die Booleschen Flags „Zeitzone getroffen“, „Domain getroffen“ und „AI-Lab-Schlüsselwort getroffen“.
Etwa 3 Bit Umgebungsinformation werden in einem ansonsten normal wirkenden englischen Satz versteckt und mit jedem API-Request an Anthropic-Server gesendet.
| Dimension | Steganografie-Mechanismus | Übliche Telemetrie (Datadog/OpenTelemetry) |
|---|---|---|
| Offenlegung | Fast 3 Monate ohne Changelog-Eintrag | In Datenschutzrichtlinien typischerweise erwähnt |
| Übertragungskanal | Steganografie-Codierung im System-Prompt | Separater, auditierbarer Telemetrie-Kanal |
| Zielgruppe | Geografisches und Wettbewerber-Fingerprinting | Allgemeine Nutzungsstatistiken und Fehlerlogs |
| Tool-Berechtigungen | Dateizugriff und Shell-Ausführung mit hohen Rechten | Ähnlich bei CLI/IDE-Agenten, aber vom Nutzer erwartbar |
| Typ | Version | Datum |
|---|---|---|
| Erste Version mit verdecktem Code | v2.1.91 | 2026-04-02 |
| Letzte betroffene Version | v2.1.196 | 2026-06-29 |
| Fix-Version | v2.1.197 (teilweise 2.1.198) | 2026-07-01/02 |
# Aktuelle Version prüfen claude --version # Prüfen, ob Proxy-Endpunkt konfiguriert ist echo $ANTHROPIC_BASE_URL # Upgrade über npm npm install -g @anthropic-ai/claude-code@latest # Oder über eingebauten Befehl claude update
Einstufung: Sicherheits-Backdoor-Risiko, schwerwiegende Gefahr. Beschreibung: Eingebaute Überwachungsmechanismen übermitteln ohne Nutzerzustimmung Standort- und Identifikationsdaten an Remote-Server. Empfehlung: Entwickler-Endgeräte vollständig prüfen, deinstallieren oder upgraden, Egress-Kontrollen und Traffic-Monitoring im Kerngeschäftsnetz verstärken. Für EU-Unternehmen mit China-Geschäft relevant als Signal für erhöhte Compliance-Sorgfalt.
„This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.“
Kernaussage: Einstufung als „Experiment“, nicht als „Backdoor“; Ziel sei Missbrauch durch unautorisierte Weiterverkäufer und Schutz vor Modelldestillation. Hintergrund: Anthropic beschuldigte in einem Schreiben an den US-Senatsausschuss für Bankwesen das Qwen-Team von Alibaba, etwa 25.000 betrügerische Konten und 28,8 Millionen Interaktionen zur Destillation von Claude-Fähigkeiten genutzt zu haben.
Interne Mitteilung (laut SCMP und Ars Technica): „As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.“ Wirksam ab 10. Juli 2026; Umfang: Claude Code und Anthropic-Modellprodukte (Sonnet, Opus, Fable). Ersatz: interne Plattform Qoder.
| Quelle | Schlüsselbegriffe | Narrativ-Schwerpunkt |
|---|---|---|
| NVDB / MIIT | Backdoor / security backdoor risk / severe threat | Compliance und Datenexfiltration |
| CNBC / Reuters | security backdoor / built-in monitoring mechanism | Neutrale Wiedergabe plus Unternehmensreaktionen |
| The Register | covert code / secret steganography system | Technische Verantwortung, undisclosed Updates |
| Ars Technica | spyware-like tracking / secret Claude tracker | Vertrauenskrise und Policy-Analyse |
| Cybernews | „a nothing burger“ (Teil der Tech-Community) | Überreaktion; eher Anti-Destillations-Engineering |
| Anthropic offiziell | experiment / anti-abuse / anti-distillation | Legitimer Schutz, kein böswilliges Monitoring |
Der Vorfall ist kein Einzelfall, sondern ein Mikrokosmos der KI-Rivalität 2026:
Dieser Kontext erklärt, warum Anthropic Destillation so ernst nimmt und warum die Community über „legitime Abwehr vs. grenzüberschreitendes Monitoring“ debattiert. Für europäische Teams mit DSGVO-Pflichten und Lieferketten-Audits ist die Frage zusätzlich: Welche KI-Tools dürfen auf Entwickler-Laptops mit Produktionszugang laufen?
Versionsprüfung: claude --version ausführen und prüfen, ob v2.1.91–2.1.196 installiert ist
Endpunkt-Check: echo $ANTHROPIC_BASE_URL — läuft Traffic über nicht-offiziellen Proxy oder Gateway?
Sofort upgraden: npm install -g @anthropic-ai/claude-code@latest oder claude update auf v2.1.197+
Vollständige Deinstallation (optional): Reste unter ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code entfernen
Unternehmens-Egress-Audit: Ausgehenden Traffic auf Entwickler-Rechnern prüfen; unautorisierte KI-Endpunkte blockieren; Egress-Filtering im Kerngeschäftsnetz verstärken — relevant für SOC2-, ISO-27001- und DSGVO-Compliance
Alternativen evaluieren: Qoder, Cursor, Codex CLI, Gemini CLI oder interne Tools gemäß Compliance-Richtlinie vergleichen
Wer auf Alternativen wie Qoder oder Cursor wechselt — oder Claude Code weiter auf dem lokalen Mac betreibt — stößt oft auf Modell-Lücken, lange Compliance-Freigaben und lokale Engpässe bei parallelen Agent-Workloads. Produktionsteams mit stabiler iOS-CI/CD, AI-Agent-Orchestrierung und Bedarf an isolierten, auditierbaren Umgebungen finden in NodeMinis dedizierter Mac-Mini-Cloud-Miete einen pragmatischen Weg: exklusive Hardware, SSH-Zugang und kontrollierbarer ausgehender Traffic. Details zu Mietpreisen und Einrichtung im Hilfezentrum.
Haftungsausschluss: Dieser Artikel basiert auf der NVDB-Meldung des MIIT, öffentlichen Medienberichten und unabhängiger Sicherheitsforschung. Er dient der technischen und Compliance-Orientierung, ersetzt keine Rechtsberatung oder Sicherheitsaudit. Vor Deinstallation, Sperrung oder Traffic-Kontrollen bitte die Richtlinien Ihrer Organisation und geltende Datenschutzvorschriften (einschließlich DSGVO) prüfen.
In v2.1.91–2.1.196 enthielt Anthropic undisclosed Steganografie-Erkennungscode. Chinas NVDB stufte dies als schwerwiegendes Backdoor-Risiko ein; Anthropic nannte es ein Anti-Destillations-Experiment und entfernte es in v2.1.197. Präziser Begriff in der Security-Community: „Steganografie-Erkennungsmechanismus“ oder covert channel.
Nein. Der Mechanismus aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Proxy oder Gateway zeigte. Direkte Verbindung zu api.anthropic.com löste diesen Pfad nicht aus.
npm uninstall -g @anthropic-ai/claude-code ausführen und Verzeichnisse wie ~/.claude, ~/.claude.json bereinigen. In Unternehmen danach Egress-Audit durchführen. Für isolierte Agent-Umgebungen siehe NodeMini Mietpreise.
Nach den Backdoor-Berichten stufte Alibaba Claude Code als Hochrisiko-Software ein. Ab 10. Juli 2026 ist es für Mitarbeitende vollständig verboten; Anthropic-Modelle werden durch das interne Tool Qoder ersetzt. Der Schritt steht im Kontext von Anthropics Vorwürfen gegen das Qwen-Team wegen massiver Destillation.
Nein. Kein Changelog im betroffenen Versionsbereich erwähnte den Mechanismus. Auch v2.1.197 dokumentierte die Entfernung nicht explizit — ein zentraler Kritikpunkt von The Register und Ars Technica.
Anthropic entfernte den Code in v2.1.197+. Ob weiterhin Vertrauen besteht, hängt von Risikotoleranz und Compliance-Richtlinien ab. Teile der Tech-Community (z. B. Cybernews) sehen die Reaktion als überzogen; Unternehmen sollten eigene Audit-Ergebnisse heranziehen.
Destillation trainiert ein Modell mit Ausgaben eines anderen Modells. Anthropic sagte, der Mechanismus ziele auf unautorisierte Weiterverkäufer und Destillations-Pipelines. Das erklärt Motiv und geopolitischen Hintergrund. Mehr zu sicheren Agent-Setups im Hilfezentrum.
Die meisten Primärquellen nennen v2.1.197 (1. Juli 2026); einige Berichte erwähnen v2.1.198. Empfehlung: „2.1.197 oder höher“. Vor dem Upgrade mit claude --version verifizieren.
Intern: Qoder (Alibaba), Cursor; international: Codex CLI, Gemini CLI. Auswahl hängt von Modellqualität, Compliance-Freigabe und Rechenleistung ab. Vergleich in unserem Artikel Vier KI-Programmierassistenten im Vergleich.
Öffentliche Berichte bestätigen keinen konkreten wirtschaftlichen Schaden oder Datenmissbrauch bei Einzelnutzern. Die dokumentierten Folgen sind Kontosperr-Risiko und Compliance-Belastung unter DSGVO und Unternehmensrichtlinien — kein bestätigter Massen-Datenleck. Fokus auf undisclosed Monitoring und Compliance-Risiko.