Offizielle NVDB-Einstufung · Steganografie-Mechanismus · Alibaba-Verbot · Versionscheck / Upgrade / Deinstallation
Kurzfassung: Am 8. Juli 2026 veröffentlichte die chinesische Plattform für Cyberbedrohungen und Schwachstellen (NVDB, MIIT) eine Risikowarnung: Das KI-Programmierwerkzeug Claude Code von Anthropic in den Versionen v2.1.91 bis v2.1.196 weist ein schwerwiegendes Backdoor-Risiko auf — ein eingebauter Überwachungsmechanismus kann ohne Nutzerzustimmung Standort- und Identifikationsdaten übertragen. Sofort claude --version ausführen; betroffene Builds auf 2.1.197+ aktualisieren oder deinstallieren. Dieser Artikel deckt die vollständige Timeline, wer tatsächlich betroffen ist (nicht alle Nutzer), die Steganografie-Technik, Stellungnahmen von NVDB / Anthropic / Alibaba, den US-China-Distillationskontext, Checklisten für Einzelpersonen und Unternehmen sowie 8 FAQ. Technische Details siehe auch Claude Code Steganografie — Tiefenanalyse.
Am 8. Juli 2026 veröffentlichte das NVDB eine offizielle Risikowarnung und stufte den in Claude Code eingebauten Erkennungsmechanismus als schwerwiegendes Backdoor-Risiko ein. Empfohlene Maßnahmen: alle Entwicklerterminals inventarisieren, betroffene Versionen deinstallieren oder aktualisieren, ausgehende Verbindungen in Kernnetzsegmenten strenger kontrollieren und überwachen.
| Merkmal | Inhalt |
|---|---|
| Art des Risikos | Eingebauter Überwachungsmechanismus, der ohne Zustimmung sensible Daten überträgt |
| Übertragene Daten | Geografische Herkunft, Identifikationsmerkmale u. a. |
| Betroffene Versionen | v2.1.91 bis v2.1.196 |
| Veröffentlichungszeitraum | 2. April 2026 bis 29. Juni 2026 |
| Fix-Version | v2.1.197 (teilweise v2.1.198, 1./2. Juli 2026) |
| Unternehmensreaktion | Alibaba und weitere Konzerne haben Claude Code eingeschränkt oder verboten; Ersatz: internes Tool Qoder |
Februar 2026: Anthropic kündigt Investitionen in Anti-Distillation-Technologien an (Klassifikatoren, Verhaltens-Fingerprints, Informationsaustausch).
März 2026: Verdeckter Erkennungsmechanismus wird intern in Claude Code aktiviert — ohne öffentliche Ankündigung.
2. April 2026: v2.1.91 erscheint; der Code wird mit ausgeliefert.
29. Juni 2026: v2.1.196 — letzte betroffene Version.
30. Juni 2026: Reddit-Nutzer LegitMichel777 deckt den Mechanismus auf; Thereallo veröffentlicht Technikanalyse; Sicherheitsforscher Adnane Khan bestätigt per Reverse Engineering v2.1.193/195/196.
1. Juli 2026: Ingenieur Thariq Shihipar gibt auf X zu, es handle sich um ein im März gestartetes «experimentelles» Anti-Missbrauchs-/Anti-Distillation-Verfahren; Rollback für den Folgetag angekündigt.
2. Juli 2026: v2.1.197 entfernt den Code — Changelog erwähnt es nicht.
3./4. Juli 2026: Reuters und TechCrunch berichten: Alibaba verbietet Claude Code ab 10. Juli unternehmensweit.
8. Juli 2026: NVDB veröffentlicht offizielle Risikowarnung mit Einstufung «schwerwiegendes Backdoor-Risiko».
10. Juli 2026: Alibabas internes Verbot tritt in Kraft.
Erzählkette: Anthropic legt Erkennungspunkt für China-Nutzer → Entwickler decken per Reverse Engineering auf → Hersteller entschuldigt sich und rollt zurück → Alibaba verbietet → Regulator qualifiziert als Backdoor. Diese Abfolge erklärt die aktuelle Aufmerksamkeit.
Wichtige Klarstellung: Der verdeckte Mechanismus greift nicht bei allen Nutzern. Schlagzeilen wie «Claude Code überwacht jeden» sind unzutreffend.
Er aktiviert sich nur, wenn die Umgebungsvariable ANTHROPIC_BASE_URL API-Anfragen auf einen nicht offiziellen Endpunkt lenkt — Unternehmens-Gateway, Drittanbieter-Proxy, API-Weiterverkäufer. Wer api.anthropic.com direkt nutzt, löst diesen Pfad nicht aus.
| Szenario | Erkennung aktiv? | Empfehlung |
|---|---|---|
Offizielles api.anthropic.com + betroffene Version | Nein | Trotzdem auf 2.1.197+ upgraden — Compliance-Sicherheit |
ANTHROPIC_BASE_URL mit Proxy + betroffene Version | Ja | Sofort upgraden oder deinstallieren; historischen Egress prüfen |
| Beliebiger Endpunkt + 2.1.197 oder höher | Nein (entfernt) | Changelog und Unternehmens-Compliance weiter beobachten |
| Unternehmens-Dev-Terminals (gemischte Proxy-Konfiguration) | Konfigurationsabhängig | ANTHROPIC_BASE_URL und Versionsverteilung flächendeckend prüfen |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # oder claude update
Die Kontroverse betrifft Steganografie, nicht gewöhnliche Telemetrie. Es gibt keinen separaten Meldekanal — stattdessen wird der an das Modell gesendete System-Prompt selbst manipuliert. Adnane Khan definiert es als a covert information channel embedded in system prompts — einen verdeckten Informationskanal in System-Prompts.
Nach Auslösung prüft der Code: (1) ob die Systemzeitzone Asia/Shanghai oder Asia/Urumqi ist; (2) ob der Hostname von ANTHROPIC_BASE_URL mit einer eingebauten Sperrliste übereinstimmt. Laut Reverse-Engineering-Berichten umfasst diese 147 Einträge — chinesische Tech-Domains, KI-Lab-Schlüsselwörter (DeepSeek, Moonshot, Zhipu, MiniMax u. a.) und bekannte API-Proxies. Die Liste ist per XOR-Verschlüsselung (Schlüssel 91) + Base64 verschleiert.
| Signal | Darstellung | Bedeutung |
|---|---|---|
| Datums-Trennzeichen | 2026-06-30 → 2026/06/30 | China-Zeitzone erkannt |
| Unicode-Apostroph-Varianten (3 Typen) | Apostroph in Today's date is wechselt | Kodierung: Zeitzone / Domain / KI-Lab-Treffer |
Mit 1 Datumsformat-Bit + 3 Apostroph-Varianten werden ca. 3 Bit Umgebungsinformation in scheinbar normalen englischen Sätzen kodiert und bei jeder Anfrage an Anthropic-Server gesendet.
Steganografie statt eines regulären, vom Nutzer auffindbaren Telemetrie-Kanals.
Keine Changelog-Offenlegung über fast drei Monate.
Gezieltes Fingerprinting bestimmter Regionen und Wettbewerber.
Das Tool verfügt über Dateisystem-Zugriff und Shell-Ausführung — die Toleranz für unsichtbares Verhalten sollte entsprechend niedrig sein.
Verifizierbare Folge: Das direkte Risiko liegt in Kontosperrungen, nicht in einem bestätigten Datenleck — öffentliche Berichte belegen keine direkten finanziellen Schäden. Formulierungen sollten das widerspiegeln.
Einstufung: schwerwiegendes Backdoor-Risiko. Beschreibung: eingebauter Überwachungsmechanismus, der ohne Zustimmung Standort- und Identifikationsdaten an Remote-Server überträgt. Maßnahmen: Terminals prüfen → deinstallieren oder upgraden → Egress-Kontrolle und Traffic-Monitoring verschärfen.
Auf X (1. Juli): «This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.» — Einstufung als «Experiment», nicht «Backdoor»; Ziel: Kontomissbrauch durch Weiterverkäufer und Modell-Distillation verhindern.
Hintergrund: Anthropic beschuldigte Alibabas Qwen-Team in einem Schreiben an den US-Senatsbankausschuss, mit knapp 25.000 betrügerischen Konten und 28,8 Millionen Interaktionen Claude-Fähigkeiten zu destillieren.
Laut SCMP und Ars Technica, zitiert aus interner Mitteilung: «As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.» Ab 10. Juli 2026 unternehmensweites Verbot von Claude Code und Anthropic-Modellen (Sonnet, Opus, Fable u. a.); Ersatz: interne Plattform Qoder.
| Quelle | Schlüsselbegriffe | Schwerpunkt |
|---|---|---|
| NVDB / MIIT | backdoor / security backdoor risk / severe threat | Compliance und Datenexfiltration |
| CNBC / Reuters | security backdoor / built-in monitoring | Regulatorische Einordnung + Unternehmensreaktionen |
| The Register | covert code / secret steganography | Technische Verantwortung + fehlende Offenlegung |
| Ars Technica | spyware-like tracking / secret tracker | Vertrauenskrise + Policy-Analyse |
| Anthropic | experiment / anti-abuse / anti-distillation | Verteidigung als legitimer Schutz |
Kein isolierter Vorfall, sondern ein Symptom des KI-Wettbewerbs 2026:
claude --version ausführen — liegt die Version zwischen 2.1.91 und 2.1.196?
echo $ANTHROPIC_BASE_URL prüfen — zeigt auf nicht offiziellen Proxy?
Bei betroffener Version: npm install -g @anthropic-ai/claude-code@latest oder claude update.
Vollständige Deinstallation: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (Windows: %USERPROFILE%\.claude u. a.).
Offiziellen Endpunkt nutzen oder Alternativen vergleichen — siehe KI-Coding-Assistenten-Vergleich.
Software-Inventar aller Dev-Terminals — Claude-Code-Installationen und Versionen.
ANTHROPIC_BASE_URL in Shell-Profilen und CI-Konfigurationen flächendeckend prüfen.
Betroffene Versionen zwangsweise upgraden oder deinstallieren — analog zu Alibabas «Hochrisiko-Software»-Prozess.
Egress-Audit verschärfen — ausgehende Verbindungen zu nicht autorisierten KI-Endpunkten.
Interne Alternativen bewerten (Tongyi Lingma, Qoder, Cursor u. a.) und Compliance-Whitelist definieren.
| Version | Veröffentlichung | Status |
|---|---|---|
| v2.1.91 | 2026-04-02 | Erste Version mit verdecktem Mechanismus |
| v2.1.196 | 2026-06-29 | Letzte betroffene Version |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | Erkennungscode entfernt |
In v2.1.91–2.1.196 enthielt Anthropic nicht offengelegten Erkennungscode; das NVDB stufte ihn als schwerwiegendes Backdoor-Risiko ein. Anthropic bezeichnete ihn als Anti-Distillation-Experiment und entfernte ihn in 2.1.197.
Nein. Aktivierung nur bei ANTHROPIC_BASE_URL auf nicht offiziellen Proxy oder Gateway.
Mit 2.1.197+ und offiziellem Endpunkt ist das Risiko für Einzelnutzer deutlich gesunken; Unternehmen müssen Compliance und Präzedenzfälle wie Alibaba eigenständig bewerten.
Laut öffentlichen Berichten: Einstufung als Hochrisiko-Software, ab 10. Juli unternehmensweites Verbot, Wechsel zu internem Tool Qoder.
Primärquellen nennen v2.1.197 (1. Juli); einige chinesische Medien v2.1.198. Empfehlung: «2.1.197 oder höher».
Training eines Modells mit Outputs eines anderen. Anthropic richtete den Mechanismus gegen unautorisierte Weiterverkäufer und Distillations-Pipelines — zentraler Motivationskontext.
Teams mit Egress-Audit oder sensiblem Code profitieren von einem dedizierten Remote-Mac + VNC: Umgebungsvariablen und Berechtigungen grafisch prüfen, nach Projektende kündigen.
Nein. Kein betroffenes Changelog erwähnte den Mechanismus; erst nach Community-Exposure Eingeständnis und Rollback.
Dieser Artikel basiert auf der NVDB-Meldung des MIIT und öffentlichen Medienberichten. Er dient der technischen und Compliance-Orientierung, stellt keine Rechtsberatung oder Sicherheitsaudit-Bewertung dar. Maßnahmen wie Deinstallation oder Traffic-Sperren sollten vor Umsetzung anhand der eigenen Sicherheitsrichtlinien geprüft werden.
Die Kernlektion: Ein hochprivilegiertes KI-Programmierwerkzeug mit nicht offengelegtem verdecktem Kanal — selbst mit Anti-Distillation-Motivation — löst regulatorische Einstufungen und unternehmensweite Verbote aus. Proxy-Gateways, gemischte API-Keys und Claude Code auf dem Haupt-Dev-Rechner machen Versions- und Egress-Audits teurer, als Teams annehmen.
Teams, die Claude Code auf macOS noch validieren oder Alternativen vergleichen müssen, können einen VNCMac Remote-Mac als isolierten Knoten nutzen: Versionscheck, Umgebungsvariablen und grafische Berechtigungsprüfung per VNC — ohne den privaten Hauptrechner zu belasten. Mac mini M4 Tarife sind stundenweise buchbar.