Claude Code Backdoor erklärt
Steganografie, betroffene Versionen & Sicherheitsleitfaden (2026)

Kurzfassung: Am 8. Juli 2026 veröffentlichte die chinesische Plattform für Cybersecurity-Bedrohungen und Schwachstellen (NVDB) unter dem Ministerium für Industrie und Informationstechnologie (MIIT) eine Risikowarnung: Das KI-Programmierwerkzeug Claude Code von Anthropic in den Versionen v2.1.91 bis v2.1.196 weise ein schwerwiegendes Sicherheits-Backdoor-Risiko auf. Eingebaute Überwachungsmechanismen könnten ohne Nutzerzustimmung Standort- und Identifikationsdaten an Remote-Server übermitteln. Dieser Leitfaden richtet sich an Entwickler und IT-Teams in Unternehmen: vollständige Zeitachse, technischer Steganografie-Mechanismus, Stellungnahmen von NVDB, Anthropic und Alibaba, Hintergrund der US-China-KI-Destillationskonflikte sowie eine Sechs-Schritte-Checkliste für Versionsprüfung, Upgrade, Deinstallation und Compliance-Maßnahmen unter DSGVO- und Unternehmensrichtlinien. Wer ANTHROPIC_BASE_URL auf einen Proxy-Endpunkt setzt, sollte sofort claude --version ausführen.

01

MIIT/NVDB-Warnung: Vollständige Zeitachse und Ereigniskette

Die Meldung ist mehr als eine Behördenmitteilung. Sie schließt eine zusammenhängende Kette ab: Anthropic baut Erkennungslogik ein → Entwickler decken sie per Reverse Engineering auf → Hersteller entschuldigt sich und rollt zurück → Alibaba verbietet das Tool → MIIT stuft es als Backdoor ein. Wer einschätzen will, ob Claude Code weiter genutzt werden kann, muss diese Abfolge verstehen.

ZeitpunktEreignis
Februar 2026Anthropic kündigt öffentlich Investitionen in Anti-Modelldestillations-Technologien an (Klassifikatoren, Verhaltens-Fingerprints, Informationsaustausch)
März 2026Claude Code erhält intern eine verdeckte Erkennungslogik — ohne öffentliche Offenlegung
2026-04-02Claude Code v2.1.91 erscheint; verdeckter Code wird mit der Version verteilt
April bis Juni 2026Etwa 20 Versionen; Erkennungslogik bleibt bestehen, nie im Changelog erwähnt
2026-06-29v2.1.196 erscheint (letzte betroffene Version)
2026-06-30Reddit-Nutzer LegitMichel777 veröffentlicht erstmals die Steganografie-Erkennung; Thereallo liefert technische Analyse; Adnane Khan veröffentlicht auf GitHub einen Reverse-Engineering-Bericht und bestätigt v2.1.193/195/196
2026-07-01Ingenieur Thariq Shihipar gibt auf X zu, es handele sich um ein im März gestartetes „experimentelles“ Anti-Missbrauchs- und Anti-Destillations-Verfahren; Rollback für den Folgetag versprochen
2026-07-02v2.1.197 (teilweise als v2.1.198 berichtet) entfernt den Steganografie-Code; Changelog erwähnt die Änderung nicht
2026-07-03/04Reuters und TechCrunch: Alibaba verbietet Claude Code ab 10. Juli vollständig und wechselt zum internen Tool Qoder
2026-07-08MIIT NVDB veröffentlicht offizielle Risikowarnung — Einstufung als „Sicherheits-Backdoor-Risiko, schwerwiegende Gefahr“
2026-07-10Alibabas internes Verbot tritt in Kraft
warning

Einordnung: Claude Code verfügt über Dateisystemzugriff und Shell-Ausführung mit hohen Rechten. Entwickler sollten unsichtbares Verhalten besonders kritisch bewerten. Der Mechanismus blieb fast drei Monate undisclosed. Die dokumentierten Folgen sind vor allem Kontosperr-Risiko und Compliance-Belastung — kein bestätigter Massen-Datenleck-Skandal. Fokus auf die undisclosed Überwachung selbst, nicht auf übertriebene Panikmache.

02

Wer ist wirklich betroffen? Auslösebedingungen der Überwachung

Der häufigste Fehler in Medienberichten: Der verdeckte Mechanismus greift nicht bei allen Nutzern. Schlagzeilen wie „Claude Code überwacht alle Nutzer“ sind technisch falsch und schaden der Glaubwürdigkeit.

NutzerprofilErkennung aktiv?Risikostufe
Offizielle API-Nutzer
ANTHROPIC_BASE_URL nicht gesetzt, direkte Verbindung zu api.anthropic.com
NeinNiedrig (dennoch Upgrade auf v2.1.197+ empfohlen)
Unternehmens-Gateway / Drittanbieter-Proxy
ANTHROPIC_BASE_URL zeigt auf nicht-offiziellen Endpunkt
JaHoch (Fingerprinting in v2.1.91–2.1.196)
China-Zeitzone + Blacklist-TrefferJaHöchst (Steganografie-Codierung bei jedem Request)
Unternehmensmitarbeiter (z. B. Alibaba)Als Hochrisiko-Software eingestuft; ab 10.7. vollständig verboten

Nach Auslösung führt der Code zwei Arten von Umgebungsprüfungen durch:

  1. 1

    System-Zeitzonenprüfung: Ob Asia/Shanghai oder Asia/Urumqi gesetzt ist

  2. 2

    Proxy-Domain-Blacklist: Hostname von ANTHROPIC_BASE_URL wird gegen 147 eingebaute Regeln geprüft — u. a. Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax sowie bekannte API-Weiterverkaufs-Gateways

info

Blacklist-Verschleierung: Die Liste ist mit XOR-Verschlüsselung (Schlüssel 91) und Base64 doppelt verschleiert. strings reicht nicht; vollständiges Reverse Engineering des Binärs ist nötig. Das unterscheidet den Vorfall von gewöhnlicher Telemetrie und begründet den Begriff „Steganografie“.

03

Claude Code Steganografie-Mechanismus: Technische Drei-Schritte-Analyse

Sicherheitsforscher Adnane Khan definierte es als „a covert information channel embedded in system prompts“ — einen verdeckten Informationskanal im System-Prompt. Statt eines separaten Telemetrie-Kanals wurde der an das Modell gesendete System-Prompt selbst manipuliert:

Schritt 1: Datums-Trennzeichen-Variante

Bei Treffer auf China-Zeitzone ändert sich das Datumsformat im System-Prompt von 2026-06-30 (Bindestrich) zu 2026/06/30 (Schrägstrich) und kodiert 1 Bit Umgebungsinformation.

Schritt 2: Unicode-Apostroph-Ersetzung

Der Standard-Apostroph in Today's date is wird durch drei visuell kaum unterscheidbare, aber Unicode-unterschiedliche Apostroph-Zeichen ersetzt. Sie kodieren die Booleschen Flags „Zeitzone getroffen“, „Domain getroffen“ und „AI-Lab-Schlüsselwort getroffen“.

Schritt 3: Stille Übertragung pro Request

Etwa 3 Bit Umgebungsinformation werden in einem ansonsten normal wirkenden englischen Satz versteckt und mit jedem API-Request an Anthropic-Server gesendet.

DimensionSteganografie-MechanismusÜbliche Telemetrie (Datadog/OpenTelemetry)
OffenlegungFast 3 Monate ohne Changelog-EintragIn Datenschutzrichtlinien typischerweise erwähnt
ÜbertragungskanalSteganografie-Codierung im System-PromptSeparater, auditierbarer Telemetrie-Kanal
ZielgruppeGeografisches und Wettbewerber-FingerprintingAllgemeine Nutzungsstatistiken und Fehlerlogs
Tool-BerechtigungenDateizugriff und Shell-Ausführung mit hohen RechtenÄhnlich bei CLI/IDE-Agenten, aber vom Nutzer erwartbar

Betroffene vs. sichere Versionen

TypVersionDatum
Erste Version mit verdecktem Codev2.1.912026-04-02
Letzte betroffene Versionv2.1.1962026-06-29
Fix-Versionv2.1.197 (teilweise 2.1.198)2026-07-01/02
bash
# Aktuelle Version prüfen
claude --version

# Prüfen, ob Proxy-Endpunkt konfiguriert ist
echo $ANTHROPIC_BASE_URL

# Upgrade über npm
npm install -g @anthropic-ai/claude-code@latest

# Oder über eingebauten Befehl
claude update
04

Was sagen die Beteiligten? NVDB, Anthropic und Alibaba im Vergleich

MIIT / NVDB

Einstufung: Sicherheits-Backdoor-Risiko, schwerwiegende Gefahr. Beschreibung: Eingebaute Überwachungsmechanismen übermitteln ohne Nutzerzustimmung Standort- und Identifikationsdaten an Remote-Server. Empfehlung: Entwickler-Endgeräte vollständig prüfen, deinstallieren oder upgraden, Egress-Kontrollen und Traffic-Monitoring im Kerngeschäftsnetz verstärken. Für EU-Unternehmen mit China-Geschäft relevant als Signal für erhöhte Compliance-Sorgfalt.

Anthropic / Thariq Shihipar (Claude Code Engineer)

„This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.“

Kernaussage: Einstufung als „Experiment“, nicht als „Backdoor“; Ziel sei Missbrauch durch unautorisierte Weiterverkäufer und Schutz vor Modelldestillation. Hintergrund: Anthropic beschuldigte in einem Schreiben an den US-Senatsausschuss für Bankwesen das Qwen-Team von Alibaba, etwa 25.000 betrügerische Konten und 28,8 Millionen Interaktionen zur Destillation von Claude-Fähigkeiten genutzt zu haben.

Alibaba

Interne Mitteilung (laut SCMP und Ars Technica): „As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.“ Wirksam ab 10. Juli 2026; Umfang: Claude Code und Anthropic-Modellprodukte (Sonnet, Opus, Fable). Ersatz: interne Plattform Qoder.

QuelleSchlüsselbegriffeNarrativ-Schwerpunkt
NVDB / MIITBackdoor / security backdoor risk / severe threatCompliance und Datenexfiltration
CNBC / Reuterssecurity backdoor / built-in monitoring mechanismNeutrale Wiedergabe plus Unternehmensreaktionen
The Registercovert code / secret steganography systemTechnische Verantwortung, undisclosed Updates
Ars Technicaspyware-like tracking / secret Claude trackerVertrauenskrise und Policy-Analyse
Cybernews„a nothing burger“ (Teil der Tech-Community)Überreaktion; eher Anti-Destillations-Engineering
Anthropic offiziellexperiment / anti-abuse / anti-distillationLegitimer Schutz, kein böswilliges Monitoring
05

Hintergrund: Der US-China-KI-Modelldestillations-Konflikt

Der Vorfall ist kein Einzelfall, sondern ein Mikrokosmos der KI-Rivalität 2026:

  • Anthropic blockiert direkten Zugang aus China und „feindlichen Regionen“; Nutzer umgehen dies per VPN, ausländischen Kontaktdaten und Drittanbieter-Proxies
  • Im Februar 2026 veröffentlichten Forscher der Peking-Universität und der Chinesischen Akademie der Wissenschaften eine Studie, die Destillations-Spuren in vielen chinesischen Frontier-Modellen feststellte
  • Anthropic beschuldigte zuvor DeepSeek, Moonshot AI, MiniMax und Alibaba, Claude-Ausgaben unbefugt zum Training eigener Modelle zu nutzen
  • Claude Opus 4.8 identifizierte sich in Tests teils fälschlich als Qwen oder DeepSeek — für manche Beobachter ein Beleg für Doppelstandards
  • Chinesische Unternehmen beschleunigen den Wechsel zu eigenen oder Open-Source-Stacks (DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax); Qoder ist die konkrete Alibaba-Antwort

Dieser Kontext erklärt, warum Anthropic Destillation so ernst nimmt und warum die Community über „legitime Abwehr vs. grenzüberschreitendes Monitoring“ debattiert. Für europäische Teams mit DSGVO-Pflichten und Lieferketten-Audits ist die Frage zusätzlich: Welche KI-Tools dürfen auf Entwickler-Laptops mit Produktionszugang laufen?

06

Was tun nach dem Claude Code Backdoor-Vorfall? Sechs-Schritte-Checkliste

  1. 01

    Versionsprüfung: claude --version ausführen und prüfen, ob v2.1.91–2.1.196 installiert ist

  2. 02

    Endpunkt-Check: echo $ANTHROPIC_BASE_URL — läuft Traffic über nicht-offiziellen Proxy oder Gateway?

  3. 03

    Sofort upgraden: npm install -g @anthropic-ai/claude-code@latest oder claude update auf v2.1.197+

  4. 04

    Vollständige Deinstallation (optional): Reste unter ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code entfernen

  5. 05

    Unternehmens-Egress-Audit: Ausgehenden Traffic auf Entwickler-Rechnern prüfen; unautorisierte KI-Endpunkte blockieren; Egress-Filtering im Kerngeschäftsnetz verstärken — relevant für SOC2-, ISO-27001- und DSGVO-Compliance

  6. 06

    Alternativen evaluieren: Qoder, Cursor, Codex CLI, Gemini CLI oder interne Tools gemäß Compliance-Richtlinie vergleichen

Zentrale Fakten (EEAT)

  • Betroffenes Versionsfenster: v2.1.91 (2026-04-02) bis v2.1.196 (2026-06-29), ca. 3 Monate ohne Changelog-Offenlegung
  • Proxy-Blacklist: laut mehreren Reverse-Engineering-Berichten 147 Einträge (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach u. a.)
  • Steganografie-Kapazität: 1 Datumsformat-Bit plus 3 Unicode-Apostroph-Varianten ≈ 3 Bit Umgebungs-Fingerprint im System-Prompt
  • Alibaba-Destillationsvorwurf: Anthropic nennt ca. 25.000 betrügerische Konten und 28,8 Millionen Interaktionen des Qwen-Teams

Wer auf Alternativen wie Qoder oder Cursor wechselt — oder Claude Code weiter auf dem lokalen Mac betreibt — stößt oft auf Modell-Lücken, lange Compliance-Freigaben und lokale Engpässe bei parallelen Agent-Workloads. Produktionsteams mit stabiler iOS-CI/CD, AI-Agent-Orchestrierung und Bedarf an isolierten, auditierbaren Umgebungen finden in NodeMinis dedizierter Mac-Mini-Cloud-Miete einen pragmatischen Weg: exklusive Hardware, SSH-Zugang und kontrollierbarer ausgehender Traffic. Details zu Mietpreisen und Einrichtung im Hilfezentrum.

Haftungsausschluss: Dieser Artikel basiert auf der NVDB-Meldung des MIIT, öffentlichen Medienberichten und unabhängiger Sicherheitsforschung. Er dient der technischen und Compliance-Orientierung, ersetzt keine Rechtsberatung oder Sicherheitsaudit. Vor Deinstallation, Sperrung oder Traffic-Kontrollen bitte die Richtlinien Ihrer Organisation und geltende Datenschutzvorschriften (einschließlich DSGVO) prüfen.

FAQ

Häufig gestellte Fragen

In v2.1.91–2.1.196 enthielt Anthropic undisclosed Steganografie-Erkennungscode. Chinas NVDB stufte dies als schwerwiegendes Backdoor-Risiko ein; Anthropic nannte es ein Anti-Destillations-Experiment und entfernte es in v2.1.197. Präziser Begriff in der Security-Community: „Steganografie-Erkennungsmechanismus“ oder covert channel.

Nein. Der Mechanismus aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Proxy oder Gateway zeigte. Direkte Verbindung zu api.anthropic.com löste diesen Pfad nicht aus.

npm uninstall -g @anthropic-ai/claude-code ausführen und Verzeichnisse wie ~/.claude, ~/.claude.json bereinigen. In Unternehmen danach Egress-Audit durchführen. Für isolierte Agent-Umgebungen siehe NodeMini Mietpreise.

Nach den Backdoor-Berichten stufte Alibaba Claude Code als Hochrisiko-Software ein. Ab 10. Juli 2026 ist es für Mitarbeitende vollständig verboten; Anthropic-Modelle werden durch das interne Tool Qoder ersetzt. Der Schritt steht im Kontext von Anthropics Vorwürfen gegen das Qwen-Team wegen massiver Destillation.

Nein. Kein Changelog im betroffenen Versionsbereich erwähnte den Mechanismus. Auch v2.1.197 dokumentierte die Entfernung nicht explizit — ein zentraler Kritikpunkt von The Register und Ars Technica.

Anthropic entfernte den Code in v2.1.197+. Ob weiterhin Vertrauen besteht, hängt von Risikotoleranz und Compliance-Richtlinien ab. Teile der Tech-Community (z. B. Cybernews) sehen die Reaktion als überzogen; Unternehmen sollten eigene Audit-Ergebnisse heranziehen.

Destillation trainiert ein Modell mit Ausgaben eines anderen Modells. Anthropic sagte, der Mechanismus ziele auf unautorisierte Weiterverkäufer und Destillations-Pipelines. Das erklärt Motiv und geopolitischen Hintergrund. Mehr zu sicheren Agent-Setups im Hilfezentrum.

Die meisten Primärquellen nennen v2.1.197 (1. Juli 2026); einige Berichte erwähnen v2.1.198. Empfehlung: „2.1.197 oder höher“. Vor dem Upgrade mit claude --version verifizieren.

Intern: Qoder (Alibaba), Cursor; international: Codex CLI, Gemini CLI. Auswahl hängt von Modellqualität, Compliance-Freigabe und Rechenleistung ab. Vergleich in unserem Artikel Vier KI-Programmierassistenten im Vergleich.

Öffentliche Berichte bestätigen keinen konkreten wirtschaftlichen Schaden oder Datenmissbrauch bei Einzelnutzern. Die dokumentierten Folgen sind Kontosperr-Risiko und Compliance-Belastung unter DSGVO und Unternehmensrichtlinien — kein bestätigter Massen-Datenleck. Fokus auf undisclosed Monitoring und Compliance-Risiko.