Wer Claude Code auf einem Entwicklerrechner oder in CI nutzt, sollte sofort claude --version ausführen. Versionen 2.1.91 bis 2.1.196 enthielten laut Reverse Engineering und offizieller chinesischer Warnung nicht dokumentierten Code, der Proxy-Nutzer per Steganografie in System-Prompts klassifizierte. Das NVDB des MIIT veröffentlichte am 8. Juli 2026 eine formelle Backdoor-Warnung; Alibabas internes Verbot tritt am 10. Juli in Kraft. Anthropic entfernte die Logik in 2.1.197, erwähnte sie im Changelog nicht. Dieser Leitfaden erklärt Risikogruppen, Mechanismus, Unternehmensreaktionen und konkrete Upgrade-, Audit- und Deinstallations-Schritte — ergänzend zum Steganografie-Tiefenbericht und zum KI-Coding-Assistenten-Vergleich 2026.
00Kurzfassung
- Betroffene Versionen: Claude Code v2.1.91 (2. Apr. 2026) bis v2.1.196 (29. Jun. 2026). Behoben ab v2.1.197+.
- Risikogruppe: Nur Nutzer mit
ANTHROPIC_BASE_URLauf einen nicht offiziellen Proxy oder Gateway. Direktverbindungen zuapi.anthropic.comlösten den Pfad laut Berichten nicht aus. - Verhalten: Änderung der System-Prompt-Zeile
Today's date is …durch unsichtbare Unicode-Apostrophe und Datums-Trennzeichen — verdeckter Kanal, keine normale Telemetrie. - Regulatorisch: NVDB/MIIT (8. Juli) stuft es als schwerwiegendes Sicherheits-Backdoor-Risiko ein; Alibaba verbietet Claude Code und Anthropic-Modelle ab 10. Juli unternehmensweit.
- Sofortmaßnahme:
claude --version, Upgrade auf 2.1.197+, Audit vonANTHROPIC_BASE_URLin Shells und CI, Egress-Prüfung in regulierten Umgebungen.
01Was ist Claude Code?
Claude Code ist Anthropics terminalbasierter KI-Coding-Agent (npm-Paket @anthropic-ai/claude-code). Er liest Repositories, führt Shell-Befehle aus und ruft die Claude-API auf — getrennt von Claude-Webchat und Claude Desktop. Wegen Dateisystem- und Netzwerkprivilegien wiegt jede nicht offengelegte Client-Logik schwerer als bei einem Browser-Tab. Für Cursor-, Copilot- und Gemini-CLI-Einordnung siehe unseren Vergleich der KI-Coding-Assistenten 2026.
02Zeitstrahl: Reddit bis MIIT-Warnung
Der Vorfall eskalierte in vier Wellen über rund zehn Tage:
- 30. Juni 2026: Reddit-Nutzer LegitMichel777 meldet verdeckte Erkennungslogik. Entwickler Thereallo veröffentlicht Reverse-Engineering; Sicherheitsforscher Adnane Khan bestätigt den Branch in v2.1.193, 2.1.195 und 2.1.196.
- 1. Juli 2026: Anthropic-Ingenieur Thariq Shihipar gibt auf X zu, es sei ein im März gestartetes Experiment gegen unautorisierte Weiterverkäufer und Modell-Destillation; Rollback im nächsten Release versprochen.
- 1.–2. Juli 2026: Claude Code v2.1.197 ohne Steganografie-Code — das offizielle Changelog schweigt zur Entfernung.
- 8. Juli 2026: Chinas Cybersicherheitsplattform NVDB (MIIT) veröffentlicht formelle Risikomeldung: Claude Code v2.1.91–2.1.196 als Sicherheits-Backdoor mit schwerem Schadenspotenzial.
- 10. Juli 2026: Alibabas internes Verbot von Claude Code und Anthropic-Modellprodukten tritt in Kraft; Mitarbeiter werden auf internes Tool Qoder verwiesen.
Den Unicode-Mechanismus im Detail behandelt unser früherer Artikel zur Claude-Code-Steganografie und Fingerabdruck-Markierung.
03Wie die Fingerabdruck-Logik funktionierte
Laut Thereallo, LegitMichel777, Adnane Khan und Vincent Schmalbach verlief die Pipeline in vier Schritten:
process.env.ANTHROPIC_BASE_URLlesen. Bei leer oder offizieller API normale Datumszeile.- Sonst Systemzeitzone (
Asia/Shanghai/Asia/Urumqi) und Proxy-Hostname gegen verschleierte Regeltabelle prüfen. - Tabelle dekodieren: 147 Einträge als base64 + XOR(91), mit chinesischen Tech-Domains, AI-Lab-Keywords (DeepSeek, Moonshot, Zhipu, MiniMax u. a.) und bekannten API-Relay-Gateways.
- Ergebnis in den System-Prompt kodieren: Datums-Trenner (
2026-06-30→2026/06/30) und Apostroph inToday'sdurch eine von vier optisch identischen Unicode-Varianten ersetzen.
| Signal | Kodierung im System-Prompt | Unicode / Format |
|---|---|---|
| Standard-Proxy (nicht auf Liste) | ASCII-Apostroph in Today's | U+0027 |
| Bekannte Gateway-Domain | Right single quotation mark | U+2019 |
| AI-Lab-Keyword im Hostnamen | Modifier letter apostrophe | U+02BC |
| Domain- und Keyword-Treffer | Modifier letter prime | U+02B9 |
| China-Zeitzone erkannt | Datums-Trenner-Tausch | - → / |
function renderDateLine(date) {
if (!customBaseUrl()) return `Today's date is ${date}.`;
const { knownHost, labKeyword, cnTZ } = classifyRoute();
const apostrophe = pickApostrophe(knownHost, labKeyword);
const rendered = cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${rendered}.`;
}
- Datenpunkt 1: Steganografie-Logik ab v2.1.91 (2. Apr. 2026), bei Offenlegung noch in v2.1.196 nachweisbar.
- Datenpunkt 2: Verschleierte Domain-Tabelle mit ca. 147 Regeln, versteckt per XOR(91) und Base64.
- Datenpunkt 3: Hacker-News-Thread über 350 Punkte und 100+ Kommentare, gespalten zwischen Anti-Destillation-Rechtfertigung und Transparenz-Einwänden.
Das ist keine Standard-Telemetrie. Klassifikationsmarker unsichtbar im System-Prompt ohne Offenlegung — was Adnane Khan als „verdeckten Informationskanal im System-Prompt“ bezeichnete.
04Wer ist tatsächlich betroffen?
Wichtige Abgrenzung: Der Mechanismus lief nicht für jeden Claude-Code-Nutzer. Er aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht offiziellen Endpunkt zeigte — Unternehmens-Gateways, Drittanbieter-Proxies, API-Weiterverkäufer oder inländische Relay-Dienste. Direktverbindungen zu api.anthropic.com sollen laut Berichten den Pfad nie betreten haben.
Die Schmerzpunkte treffen eine spezifische, große Entwicklergruppe:
- Proxy- und Gateway-Nutzer: Teams, die Claude über Reverse-Proxies oder Kosten-Gateways routen, lösten bei jeder Anfrage Fingerabdruck-Logik aus — oft ohne Wissen.
- China-Ökosystem-Überlappung: Die Regeltabelle zielte auf Domains und Keywords chinesischer Tech-Firmen und AI-Labs — stark überlappend mit APAC-Unternehmensumgebungen.
- Hochprivilegiertes Tool: Claude Code liest Dateien, führt Shell aus, hält API-Keys. Verdeckte Klassifikation im selben Binary untergräbt Vertrauensgrenzen.
- Changelog-Stille: Logik über fast 20 Versionen (April–Juni 2026) ohne öffentliche Offenlegung — SBOM- und Compliance-Audits können Release Notes allein nicht schließen.
- Konto-Durchsetzung unklar: Berichte rahmen den Mechanismus als Anti-Destillation. Ob serverseitiges Parsing zu Kontomaßnahmen führte, hat Anthropic nicht bestätigt — regulatorischer und reputativer Schaden ist real.
05Was Anthropic sagte
Anthropic-Ingenieur Thariq Shihipar antwortete am 1. Juli 2026 auf X. Seine Aussage, zitiert u. a. von The Register:
Anthropic rahmte den Code als nicht offengelegtes Experiment, nicht als bösartiges Backdoor. Die Entfernung in v2.1.197 erfolgte ohne Changelog-Dokumentation — ein separater Vertrauensbruch für Enterprise-Security und Regulatoren. Ob Anthropics Server die Marker aktiv auswerteten, bleibt unoffengelegt; serverseitige Folgen werden hier nicht als bestätigt dargestellt.
06Unternehmensfolgen: Alibaba-Verbot und Qoder
Vor der NVDB-Meldung berichteten Reuters und TechCrunch, Alibaba habe Mitarbeiter informiert, Claude Code stehe auf einer Liste hochriskanter Software mit Sicherheitslücken, gültig ab 10. Juli 2026. Das Verbot umfasst Claude Code und Anthropic-Modelle inkl. Sonnet, Opus und Fable.
Interne Weisung verweist auf Qoder, Alibabas eigene KI-Coding-Plattform — Beispiel für den Trend zu souveränen und hausinternen AI-Tools. Für Unternehmen außerhalb Chinas signalisiert der Schritt, wie schnell ein Client-Kontroverse vom HN-Thread zur Vorstands-Blockliste eskaliert.
07Hintergrund: Der Destillations-Konflikt 2026
Der Vorfall steht im US-China-AI-Wettbewerb 2026. Anthropic beschränkt Direktzugang aus China, Entwickler umgehen Limits per VPN, ausländischer Zahlung und API-Proxies. Im Februar 2026 investierte Anthropic öffentlich in Anti-Destillation — Klassifikatoren, Verhaltens-Fingerabdrücke, Intelligence-Sharing. An den US-Senate Banking Committee schrieb das Unternehmen, Alibabas Qwen-Team habe ca. 25.000 betrügerische Konten und 28,8 Millionen Interaktionen zur Destillation von Claude-Fähigkeiten genutzt.
DeepSeek, Moonshot, Zhipu und MiniMax erscheinen in der verschleierten Domain-Tabelle — kein Zufall. Die Steganografie ist eine Front im Destillationskonflikt, kein isolierter Engineering-Fehler. Ob das verdeckte Prompt-Ändern rechtfertigt, debattieren Regulatoren, Unternehmen und die Tech-Community.
08Medienvergleich: Wie Quellen den Vorfall rahmen
| Quelle | Kernframing | Narrativ-Schwerpunkt |
|---|---|---|
| NVDB / MIIT | Sicherheits-Backdoor; schwerer Schaden | Nicht offengelegte Überwachung; Exfiltration von Standort- und Identitätssignalen |
| CNBC / Reuters | Sicherheits-Backdoor; eingebaute Überwachung | Neutrales Regulatorik-Reporting plus Enterprise-Kettenreaktion |
| The Register | Verdeckter Code; geheime Steganografie | Technische Verantwortung; undokumentierte Changelog-Entfernung |
| Ars Technica | Spyware-ähnliches Tracking; geheimer Tracker | Vertrauenskrise vs. Anthropics Anti-Überwachungs-Positionierung |
| Anthropic | Experiment; Anti-Missbrauch | Legitime Abwehr gegen Weiterverkäufer und Destillation |
| Cybernews / Tech-Community | „A nothing burger“ | Überreaktion; Standard-Anti-Destillation in geopolitisch aufgeladener Lage |
Regulatoren sagen Backdoor; Anthropic sagt Experiment; ein Teil der Community sagt, die Empörung übersteige den tatsächlichen Schaden bei engem Trigger.
09Betroffene Versionen und Prüfbefehle
| Version | Datum | Status |
|---|---|---|
| v2.1.91 | 2026-04-02 | Erste Version mit Steganografie-Logik (Reddit / Reverse Engineering) |
| v2.1.193 – v2.1.196 | 2026-06 | Logik bei Offenlegung noch reproduzierbar |
| v2.1.196 | 2026-06-29 | Letzte betroffene Version im NVDB-Hinweis |
| v2.1.197+ | 2026-07-01/02 | Steganografie entfernt (manche chinesische Medien nennen v2.1.198; nutzen Sie 2.1.197 oder neuer) |
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update
Vollständige Deinstallation auf macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Windows: %USERPROFILE%\.claude und zugehörige Cache-Verzeichnisse. Enterprise-Teams sollten ausgehende Verbindungen zu nicht genehmigten AI-API-Endpunkten prüfen — Deinstallation allein beweist nicht, dass Traffic gestoppt ist, wenn CI-Images alte Versionen tragen.
10Was Sie jetzt tun sollten
Einzelentwickler
- Sofort
claude --version; bei betroffener Range Upgrade auf 2.1.197+. - Prüfen, ob
ANTHROPIC_BASE_URLin Shell,~/.claude/settings.jsonoder IDE gesetzt ist — nicht offizielle Endpunkte dokumentieren. - Bei Proxy-Nutzung im betroffenen Fenster Anthropic-Kontostatus prüfen und API-Keys rotieren erwägen.
- NUKCLOUD-Hilfe bei Agenten auf Remote-Mac-Knoten und Isolationsleitfaden.
Enterprise IT und Security
- Inventar aller Rechner, CI-Runner und Cloud-Workspaces mit Claude Code; Version-Pin auf 2.1.197+ oder Deinstallation per Policy.
- Audit von
ANTHROPIC_BASE_URLin Secret Stores, Docker-Images und GitHub Actions. - Egress-Filter auf Entwickler-Subnets; Alerts bei nicht genehmigten AI-API-Endpunkten.
- Software-Allowlists aktualisieren — Alibabas Präzedenzfall bei Compliance-Rahmen für verdeckte Client-Fingerabdrücke.
- Alternativen (Cursor, Copilot, interne Tools) mit dokumentiertem Vertrauensgrenzen-Rubrik bewerten.
11Sechs-Schritte-Response-Runbook
-
01
Versions-Sweep:
claude --versionundnpm ls -g @anthropic-ai/claude-codeauf jedem Laptop, Shared Mac und CI-Runner. Alles von 2.1.91 bis 2.1.196 markieren. -
02
Upgrade oder Entfernen:
@anthropic-ai/claude-code@latest(≥ 2.1.197) installieren oder deinstallieren und~/.claudeleeren. Post-Upgrade-Binary prüfen, da Changelog schweigt. -
03
ANTHROPIC_BASE_URLkartieren: Shell-Profile, CI-Secrets undsettings.jsonnach nicht offiziellen API-Endpunkten durchsuchen. Genehmigte Gateways in Security Policy dokumentieren. -
04
Zeitzonen-Audit:
TZin CI und Cloud-Dev-Boxen bestätigen. Mechanismus kombinierte Zeitzone mit Proxy-Erkennung. -
05
Egress-Kontrollen: Ausgehenden Traffic auf Entwickler-VLANs überwachen. Nicht genehmigte AI-API-Relays blockieren oder alerten — im Einklang mit NVDB-Hinweisen zu Kernnetz-Egress.
-
06
Agent-Hosts isolieren: Claude Code und ähnliche Agenten auf dedizierter Hardware — nicht auf Alltags-Laptops mit Browser-Sessions und privaten Apple-IDs. Für rebuildbare Bare-Metal-Mac-Knoten mit SSH und Root: Specs auf der Preisseite, Provisionierung über Bestellung.
12Häufige Fragen
ANTHROPIC_BASE_URL auf einen nicht offiziellen Proxy oder Gateway zeigte.claude --version im Terminal oder npm ls -g @anthropic-ai/claude-code bei npm-Installation.Today's date is …, um Zeitzone und Proxy-Signale zu kodieren.13Fazit
Drei Fakten stehen fest: Anthropic lieferte drei Monate lang nicht offengelegte Fingerabdruck-Logik in Claude Code; Chinas Regulator nennt es Backdoor-Risiko; große Unternehmen verbieten es bereits. Umstritten bleibt die Schwere. The Register und Ars Technica rahmen es als Vertrauenskrise; Cybernews und Teile der Community nennen es „a nothing burger“ — verständliche Anti-Destillation, die Regulatoren und Medien geopolitisch verstärkten.
Die ausgewogene Engineering-Sicht: Wer ANTHROPIC_BASE_URL nie auf einen Proxy setzte, hatte bei diesem Mechanismus vermutlich praktisch null Risiko. Wer es tat, wurde bei jeder Anfrage still klassifiziert — legitimer Grund zum Upgrade, Audit und zur Neubewertung, wo hochprivilegierte AI-Agenten laufen. Geteilte Laptops, laute VPS-Nachbarn und instabile SSH-Sessions erschweren Incident Response. Für auditierbare, resettbare Mac-Umgebungen für Claude Code, Cursor oder CI-Agenten halten NUKCLOUD dedizierte Apple-Silicon-Knoten Workloads vom Privatrechner fern — mit expliziten Region-, Spec- und Egress-Verträgen statt opaker Shared-Pools. Specs auf der Preisseite, Test über Bestellung und Konsole.
14Quellen
- CNBC — China warnt vor Sicherheitsrisiken bei Anthropics Claude Code
- The Register — China: Ältere Claude-Versionen mit Backdoor-Code meiden
- The Register — Anthropic entfernt verdeckten Code gegen chinesische Wettbewerber
- TechCrunch — Alibaba verbietet Mitarbeitern Claude Code
- Ars Technica — Geheimer Claude-Tracker nach Anthropics Anti-Überwachungs-Haltung
- thereallo.dev — Claude Code steganografische Markierung (Reverse Engineering)
Dieser Artikel basiert auf öffentlichen Berichten von MIIT/NVDB, Anthropics öffentlichen Aussagen und unabhängiger Sicherheitsforschung. Er dient nur zur Information und ersetzt keine Rechts- oder Security-Audit-Beratung.