Claude Code Backdoor erklärt: Steganografie, betroffene Versionen & Sicherheitsleitfaden 2026

Am 8. Juli 2026 stufte Chinas NVDB Claude Code v2.1.91–2.1.196 als schwerwiegendes Backdoor-Risiko ein. Anthropic hatte monatelang verdeckte Fingerabdruck-Logik in System-Prompts eingebettet — Alibaba verbietet das Tool ab 10. Juli. Hier die Fakten, Versionstabelle und das Runbook für Entwickler und IT-Security.

Wer Claude Code auf einem Entwicklerrechner oder in CI nutzt, sollte sofort claude --version ausführen. Versionen 2.1.91 bis 2.1.196 enthielten laut Reverse Engineering und offizieller chinesischer Warnung nicht dokumentierten Code, der Proxy-Nutzer per Steganografie in System-Prompts klassifizierte. Das NVDB des MIIT veröffentlichte am 8. Juli 2026 eine formelle Backdoor-Warnung; Alibabas internes Verbot tritt am 10. Juli in Kraft. Anthropic entfernte die Logik in 2.1.197, erwähnte sie im Changelog nicht. Dieser Leitfaden erklärt Risikogruppen, Mechanismus, Unternehmensreaktionen und konkrete Upgrade-, Audit- und Deinstallations-Schritte — ergänzend zum Steganografie-Tiefenbericht und zum KI-Coding-Assistenten-Vergleich 2026.

00Kurzfassung

Auf einen Blick
  • Betroffene Versionen: Claude Code v2.1.91 (2. Apr. 2026) bis v2.1.196 (29. Jun. 2026). Behoben ab v2.1.197+.
  • Risikogruppe: Nur Nutzer mit ANTHROPIC_BASE_URL auf einen nicht offiziellen Proxy oder Gateway. Direktverbindungen zu api.anthropic.com lösten den Pfad laut Berichten nicht aus.
  • Verhalten: Änderung der System-Prompt-Zeile Today's date is … durch unsichtbare Unicode-Apostrophe und Datums-Trennzeichen — verdeckter Kanal, keine normale Telemetrie.
  • Regulatorisch: NVDB/MIIT (8. Juli) stuft es als schwerwiegendes Sicherheits-Backdoor-Risiko ein; Alibaba verbietet Claude Code und Anthropic-Modelle ab 10. Juli unternehmensweit.
  • Sofortmaßnahme: claude --version, Upgrade auf 2.1.197+, Audit von ANTHROPIC_BASE_URL in Shells und CI, Egress-Prüfung in regulierten Umgebungen.

01Was ist Claude Code?

Claude Code ist Anthropics terminalbasierter KI-Coding-Agent (npm-Paket @anthropic-ai/claude-code). Er liest Repositories, führt Shell-Befehle aus und ruft die Claude-API auf — getrennt von Claude-Webchat und Claude Desktop. Wegen Dateisystem- und Netzwerkprivilegien wiegt jede nicht offengelegte Client-Logik schwerer als bei einem Browser-Tab. Für Cursor-, Copilot- und Gemini-CLI-Einordnung siehe unseren Vergleich der KI-Coding-Assistenten 2026.

02Zeitstrahl: Reddit bis MIIT-Warnung

Der Vorfall eskalierte in vier Wellen über rund zehn Tage:

  • 30. Juni 2026: Reddit-Nutzer LegitMichel777 meldet verdeckte Erkennungslogik. Entwickler Thereallo veröffentlicht Reverse-Engineering; Sicherheitsforscher Adnane Khan bestätigt den Branch in v2.1.193, 2.1.195 und 2.1.196.
  • 1. Juli 2026: Anthropic-Ingenieur Thariq Shihipar gibt auf X zu, es sei ein im März gestartetes Experiment gegen unautorisierte Weiterverkäufer und Modell-Destillation; Rollback im nächsten Release versprochen.
  • 1.–2. Juli 2026: Claude Code v2.1.197 ohne Steganografie-Code — das offizielle Changelog schweigt zur Entfernung.
  • 8. Juli 2026: Chinas Cybersicherheitsplattform NVDB (MIIT) veröffentlicht formelle Risikomeldung: Claude Code v2.1.91–2.1.196 als Sicherheits-Backdoor mit schwerem Schadenspotenzial.
  • 10. Juli 2026: Alibabas internes Verbot von Claude Code und Anthropic-Modellprodukten tritt in Kraft; Mitarbeiter werden auf internes Tool Qoder verwiesen.

Den Unicode-Mechanismus im Detail behandelt unser früherer Artikel zur Claude-Code-Steganografie und Fingerabdruck-Markierung.

03Wie die Fingerabdruck-Logik funktionierte

Laut Thereallo, LegitMichel777, Adnane Khan und Vincent Schmalbach verlief die Pipeline in vier Schritten:

  1. process.env.ANTHROPIC_BASE_URL lesen. Bei leer oder offizieller API normale Datumszeile.
  2. Sonst Systemzeitzone (Asia/Shanghai / Asia/Urumqi) und Proxy-Hostname gegen verschleierte Regeltabelle prüfen.
  3. Tabelle dekodieren: 147 Einträge als base64 + XOR(91), mit chinesischen Tech-Domains, AI-Lab-Keywords (DeepSeek, Moonshot, Zhipu, MiniMax u. a.) und bekannten API-Relay-Gateways.
  4. Ergebnis in den System-Prompt kodieren: Datums-Trenner (2026-06-302026/06/30) und Apostroph in Today's durch eine von vier optisch identischen Unicode-Varianten ersetzen.
SignalKodierung im System-PromptUnicode / Format
Standard-Proxy (nicht auf Liste)ASCII-Apostroph in Today'sU+0027
Bekannte Gateway-DomainRight single quotation markU+2019
AI-Lab-Keyword im HostnamenModifier letter apostropheU+02BC
Domain- und Keyword-TrefferModifier letter primeU+02B9
China-Zeitzone erkanntDatums-Trenner-Tausch-/
Rekonstruierte Logik (aus Reverse-Engineering-Berichten, keine offizielle Quelle)
function renderDateLine(date) {
  if (!customBaseUrl()) return `Today's date is ${date}.`;
  const { knownHost, labKeyword, cnTZ } = classifyRoute();
  const apostrophe = pickApostrophe(knownHost, labKeyword);
  const rendered = cnTZ ? date.replaceAll("-", "/") : date;
  return `Today${apostrophe}s date is ${rendered}.`;
}
  • Datenpunkt 1: Steganografie-Logik ab v2.1.91 (2. Apr. 2026), bei Offenlegung noch in v2.1.196 nachweisbar.
  • Datenpunkt 2: Verschleierte Domain-Tabelle mit ca. 147 Regeln, versteckt per XOR(91) und Base64.
  • Datenpunkt 3: Hacker-News-Thread über 350 Punkte und 100+ Kommentare, gespalten zwischen Anti-Destillation-Rechtfertigung und Transparenz-Einwänden.

Das ist keine Standard-Telemetrie. Klassifikationsmarker unsichtbar im System-Prompt ohne Offenlegung — was Adnane Khan als „verdeckten Informationskanal im System-Prompt“ bezeichnete.

04Wer ist tatsächlich betroffen?

Wichtige Abgrenzung: Der Mechanismus lief nicht für jeden Claude-Code-Nutzer. Er aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht offiziellen Endpunkt zeigte — Unternehmens-Gateways, Drittanbieter-Proxies, API-Weiterverkäufer oder inländische Relay-Dienste. Direktverbindungen zu api.anthropic.com sollen laut Berichten den Pfad nie betreten haben.

Die Schmerzpunkte treffen eine spezifische, große Entwicklergruppe:

  • Proxy- und Gateway-Nutzer: Teams, die Claude über Reverse-Proxies oder Kosten-Gateways routen, lösten bei jeder Anfrage Fingerabdruck-Logik aus — oft ohne Wissen.
  • China-Ökosystem-Überlappung: Die Regeltabelle zielte auf Domains und Keywords chinesischer Tech-Firmen und AI-Labs — stark überlappend mit APAC-Unternehmensumgebungen.
  • Hochprivilegiertes Tool: Claude Code liest Dateien, führt Shell aus, hält API-Keys. Verdeckte Klassifikation im selben Binary untergräbt Vertrauensgrenzen.
  • Changelog-Stille: Logik über fast 20 Versionen (April–Juni 2026) ohne öffentliche Offenlegung — SBOM- und Compliance-Audits können Release Notes allein nicht schließen.
  • Konto-Durchsetzung unklar: Berichte rahmen den Mechanismus als Anti-Destillation. Ob serverseitiges Parsing zu Kontomaßnahmen führte, hat Anthropic nicht bestätigt — regulatorischer und reputativer Schaden ist real.

05Was Anthropic sagte

Anthropic-Ingenieur Thariq Shihipar antwortete am 1. Juli 2026 auf X. Seine Aussage, zitiert u. a. von The Register:

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Anthropic rahmte den Code als nicht offengelegtes Experiment, nicht als bösartiges Backdoor. Die Entfernung in v2.1.197 erfolgte ohne Changelog-Dokumentation — ein separater Vertrauensbruch für Enterprise-Security und Regulatoren. Ob Anthropics Server die Marker aktiv auswerteten, bleibt unoffengelegt; serverseitige Folgen werden hier nicht als bestätigt dargestellt.

06Unternehmensfolgen: Alibaba-Verbot und Qoder

Vor der NVDB-Meldung berichteten Reuters und TechCrunch, Alibaba habe Mitarbeiter informiert, Claude Code stehe auf einer Liste hochriskanter Software mit Sicherheitslücken, gültig ab 10. Juli 2026. Das Verbot umfasst Claude Code und Anthropic-Modelle inkl. Sonnet, Opus und Fable.

Interne Weisung verweist auf Qoder, Alibabas eigene KI-Coding-Plattform — Beispiel für den Trend zu souveränen und hausinternen AI-Tools. Für Unternehmen außerhalb Chinas signalisiert der Schritt, wie schnell ein Client-Kontroverse vom HN-Thread zur Vorstands-Blockliste eskaliert.

07Hintergrund: Der Destillations-Konflikt 2026

Der Vorfall steht im US-China-AI-Wettbewerb 2026. Anthropic beschränkt Direktzugang aus China, Entwickler umgehen Limits per VPN, ausländischer Zahlung und API-Proxies. Im Februar 2026 investierte Anthropic öffentlich in Anti-Destillation — Klassifikatoren, Verhaltens-Fingerabdrücke, Intelligence-Sharing. An den US-Senate Banking Committee schrieb das Unternehmen, Alibabas Qwen-Team habe ca. 25.000 betrügerische Konten und 28,8 Millionen Interaktionen zur Destillation von Claude-Fähigkeiten genutzt.

DeepSeek, Moonshot, Zhipu und MiniMax erscheinen in der verschleierten Domain-Tabelle — kein Zufall. Die Steganografie ist eine Front im Destillationskonflikt, kein isolierter Engineering-Fehler. Ob das verdeckte Prompt-Ändern rechtfertigt, debattieren Regulatoren, Unternehmen und die Tech-Community.

08Medienvergleich: Wie Quellen den Vorfall rahmen

QuelleKernframingNarrativ-Schwerpunkt
NVDB / MIITSicherheits-Backdoor; schwerer SchadenNicht offengelegte Überwachung; Exfiltration von Standort- und Identitätssignalen
CNBC / ReutersSicherheits-Backdoor; eingebaute ÜberwachungNeutrales Regulatorik-Reporting plus Enterprise-Kettenreaktion
The RegisterVerdeckter Code; geheime SteganografieTechnische Verantwortung; undokumentierte Changelog-Entfernung
Ars TechnicaSpyware-ähnliches Tracking; geheimer TrackerVertrauenskrise vs. Anthropics Anti-Überwachungs-Positionierung
AnthropicExperiment; Anti-MissbrauchLegitime Abwehr gegen Weiterverkäufer und Destillation
Cybernews / Tech-Community„A nothing burger“Überreaktion; Standard-Anti-Destillation in geopolitisch aufgeladener Lage

Regulatoren sagen Backdoor; Anthropic sagt Experiment; ein Teil der Community sagt, die Empörung übersteige den tatsächlichen Schaden bei engem Trigger.

09Betroffene Versionen und Prüfbefehle

VersionDatumStatus
v2.1.912026-04-02Erste Version mit Steganografie-Logik (Reddit / Reverse Engineering)
v2.1.193 – v2.1.1962026-06Logik bei Offenlegung noch reproduzierbar
v2.1.1962026-06-29Letzte betroffene Version im NVDB-Hinweis
v2.1.197+2026-07-01/02Steganografie entfernt (manche chinesische Medien nennen v2.1.198; nutzen Sie 2.1.197 oder neuer)
Versionsprüfung und Upgrade
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update

Vollständige Deinstallation auf macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Windows: %USERPROFILE%\.claude und zugehörige Cache-Verzeichnisse. Enterprise-Teams sollten ausgehende Verbindungen zu nicht genehmigten AI-API-Endpunkten prüfen — Deinstallation allein beweist nicht, dass Traffic gestoppt ist, wenn CI-Images alte Versionen tragen.

10Was Sie jetzt tun sollten

Einzelentwickler

  • Sofort claude --version; bei betroffener Range Upgrade auf 2.1.197+.
  • Prüfen, ob ANTHROPIC_BASE_URL in Shell, ~/.claude/settings.json oder IDE gesetzt ist — nicht offizielle Endpunkte dokumentieren.
  • Bei Proxy-Nutzung im betroffenen Fenster Anthropic-Kontostatus prüfen und API-Keys rotieren erwägen.
  • NUKCLOUD-Hilfe bei Agenten auf Remote-Mac-Knoten und Isolationsleitfaden.

Enterprise IT und Security

  • Inventar aller Rechner, CI-Runner und Cloud-Workspaces mit Claude Code; Version-Pin auf 2.1.197+ oder Deinstallation per Policy.
  • Audit von ANTHROPIC_BASE_URL in Secret Stores, Docker-Images und GitHub Actions.
  • Egress-Filter auf Entwickler-Subnets; Alerts bei nicht genehmigten AI-API-Endpunkten.
  • Software-Allowlists aktualisieren — Alibabas Präzedenzfall bei Compliance-Rahmen für verdeckte Client-Fingerabdrücke.
  • Alternativen (Cursor, Copilot, interne Tools) mit dokumentiertem Vertrauensgrenzen-Rubrik bewerten.

11Sechs-Schritte-Response-Runbook

  1. 01
    Versions-Sweep: claude --version und npm ls -g @anthropic-ai/claude-code auf jedem Laptop, Shared Mac und CI-Runner. Alles von 2.1.91 bis 2.1.196 markieren.
  2. 02
    Upgrade oder Entfernen: @anthropic-ai/claude-code@latest (≥ 2.1.197) installieren oder deinstallieren und ~/.claude leeren. Post-Upgrade-Binary prüfen, da Changelog schweigt.
  3. 03
    ANTHROPIC_BASE_URL kartieren: Shell-Profile, CI-Secrets und settings.json nach nicht offiziellen API-Endpunkten durchsuchen. Genehmigte Gateways in Security Policy dokumentieren.
  4. 04
    Zeitzonen-Audit: TZ in CI und Cloud-Dev-Boxen bestätigen. Mechanismus kombinierte Zeitzone mit Proxy-Erkennung.
  5. 05
    Egress-Kontrollen: Ausgehenden Traffic auf Entwickler-VLANs überwachen. Nicht genehmigte AI-API-Relays blockieren oder alerten — im Einklang mit NVDB-Hinweisen zu Kernnetz-Egress.
  6. 06
    Agent-Hosts isolieren: Claude Code und ähnliche Agenten auf dedizierter Hardware — nicht auf Alltags-Laptops mit Browser-Sessions und privaten Apple-IDs. Für rebuildbare Bare-Metal-Mac-Knoten mit SSH und Root: Specs auf der Preisseite, Provisionierung über Bestellung.

12Häufige Fragen

Hat Claude Code ein Backdoor?
In v2.1.91–2.1.196 lieferte Anthropic nicht dokumentierten Code, der Proxy-Nutzer per Steganografie fingerprintete. Chinas NVDB stuft es als Backdoor-Risiko ein; Anthropic nannte es Anti-Destillations-Experiment und entfernte es in v2.1.197.
Welche Versionen sind betroffen?
v2.1.91 (2. Apr. 2026) bis v2.1.196 (29. Jun. 2026). Upgrade auf Version 2.1.197 oder neuer.
Bin ich betroffen bei offizieller Anthropic-API?
Nein. Der Mechanismus aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht offiziellen Proxy oder Gateway zeigte.
Wie prüfe ich meine Version?
claude --version im Terminal oder npm ls -g @anthropic-ai/claude-code bei npm-Installation.
Soll ich Claude Code deinstallieren?
Bei betroffener Version sofort upgraden. Unternehmen mit Compliance-Anforderungen — besonders nach NVDB-Hinweis und Alibaba-Verbot — können zusätzlich deinstallieren und Egress auf allen Dev-Endpunkten prüfen.
Welche Steganografie-Technik wurde genutzt?
Änderung des Datums-Trenners im System-Prompt und optisch identische Unicode-Apostrophe in der Zeile Today's date is …, um Zeitzone und Proxy-Signale zu kodieren.
Warum hat Alibaba Claude Code verboten?
Alibaba stufte es nach Backdoor-Berichten als Hochrisiko-Software ein und verwies Mitarbeiter ab 10. Juli 2026 auf internes Tool Qoder.
Hat Anthropic das in Release Notes offengelegt?
Nein. Kein Changelog einer betroffenen Version erwähnte den Mechanismus; die Entfernung in v2.1.197 war ebenfalls undokumentiert.
Ist Claude Code jetzt sicher?
Anthropic entfernte die Steganografie in v2.1.197+. Laufendes Vertrauen hängt von Risikotoleranz, Proxy-Nutzung und auditierbaren Dev-Umgebungen ab. Teams auf geteilten Laptops oder oversellten VPS leiden unter Jitter, Nachbar-Konkurrenz und abgebrochenen Long-Lives — für stabile Mac-CI und Agent-Isolierung bieten NUKCLOUD Multi-Region Bare-Metal-Mac-Knoten dedizierte Hardware, Root und flexible Abrechnung. Siehe Preise und Bestellung.
Was ist Modell-Destillation und warum relevant?
Destillation trainiert ein Modell auf Outputs eines anderen. Anthropic sagte, der Mechanismus ziele auf unautorisierte Weiterverkäufer und Destillations-Pipelines — Teil des Streits mit chinesischen AI-Labs inkl. Alibabas Qwen-Team (~25.000 betrügerische Konten laut Anthropic).

13Fazit

Drei Fakten stehen fest: Anthropic lieferte drei Monate lang nicht offengelegte Fingerabdruck-Logik in Claude Code; Chinas Regulator nennt es Backdoor-Risiko; große Unternehmen verbieten es bereits. Umstritten bleibt die Schwere. The Register und Ars Technica rahmen es als Vertrauenskrise; Cybernews und Teile der Community nennen es „a nothing burger“ — verständliche Anti-Destillation, die Regulatoren und Medien geopolitisch verstärkten.

Die ausgewogene Engineering-Sicht: Wer ANTHROPIC_BASE_URL nie auf einen Proxy setzte, hatte bei diesem Mechanismus vermutlich praktisch null Risiko. Wer es tat, wurde bei jeder Anfrage still klassifiziert — legitimer Grund zum Upgrade, Audit und zur Neubewertung, wo hochprivilegierte AI-Agenten laufen. Geteilte Laptops, laute VPS-Nachbarn und instabile SSH-Sessions erschweren Incident Response. Für auditierbare, resettbare Mac-Umgebungen für Claude Code, Cursor oder CI-Agenten halten NUKCLOUD dedizierte Apple-Silicon-Knoten Workloads vom Privatrechner fern — mit expliziten Region-, Spec- und Egress-Verträgen statt opaker Shared-Pools. Specs auf der Preisseite, Test über Bestellung und Konsole.

14Quellen

  • CNBC — China warnt vor Sicherheitsrisiken bei Anthropics Claude Code
  • The Register — China: Ältere Claude-Versionen mit Backdoor-Code meiden
  • The Register — Anthropic entfernt verdeckten Code gegen chinesische Wettbewerber
  • TechCrunch — Alibaba verbietet Mitarbeitern Claude Code
  • Ars Technica — Geheimer Claude-Tracker nach Anthropics Anti-Überwachungs-Haltung
  • thereallo.dev — Claude Code steganografische Markierung (Reverse Engineering)

Dieser Artikel basiert auf öffentlichen Berichten von MIIT/NVDB, Anthropics öffentlichen Aussagen und unabhängiger Sicherheitsforschung. Er dient nur zur Information und ersetzt keine Rechts- oder Security-Audit-Beratung.