Verdeckter Fingerabdruck · v2.1.91–2.1.196 · NVDB-Warnung · Alibaba-Verbot · Versionsprüfung
Wer Claude Code nutzt, sollte jetzt claude --version ausführen. Versionen 2.1.91 bis 2.1.196 enthielten nicht offengelegten Code, der Proxy-Nutzer per Steganographie in System-Prompts fingerabdruckte. Chinas NVDB stufte das am 8. Juli 2026 als schwerwiegendes Backdoor-Risiko ein; Alibaba verbot es ab dem 10. Juli unternehmensweit. Dieser Leitfaden erklärt den verdeckten Tracking-Mechanismus, wer tatsächlich betroffen ist, was Anthropic sagte, und wie Sie prüfen, upgraden oder deinstallieren — inklusive DSGVO-relevanter Hinweise für Enterprise-Compliance.
Kurzfassung: Betroffen: v2.1.91 (2. Apr.) – v2.1.196 (29. Jun.). Behoben ab v2.1.197+. Aktiviert nur, wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Proxy zeigt — offizielle API-Nutzer sind nicht betroffen. Anthropic nannte es ein Anti-Destillations-Experiment; NVDB nannte es einen Backdoor. Sofort upgraden; Unternehmen sollten Egress-Traffic auditieren und DSGVO-Dokumentation prüfen.
Viele suchen nach „ist Claude Code sicher“ und „Claude Code Version prüfen“ — hier beginnen. Der verdeckte Mechanismus überwachte nicht jeden Nutzer. Er aktivierte sich nur, wenn die Umgebungsvariable ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpoint zeigte: Enterprise-Gateways, Drittanbieter-Proxys oder API-Reseller.
| Nutzerprofil | ANTHROPIC_BASE_URL | Aktiviert? | Maßnahme |
|---|---|---|---|
| Offizieller API-Nutzer | Nicht gesetzt oder api.anthropic.com | Nein | Upgrade auf 2.1.197+ |
| Enterprise-Gateway-Nutzer | Eigener Proxy-Endpoint | Ja (bei betroffener Version) | Upgrade + Egress-Audit |
| API-Reseller-Nutzer | Drittanbieter-Domain | Ja (147-Regeln-Blacklist) | Upgrade + Compliance-Review |
| Versionstyp | Nummer | Datum | Status |
|---|---|---|---|
| Erste betroffene | v2.1.91 | 2026-04-02 | Verwundbar |
| Letzte betroffene | v2.1.196 | 2026-06-29 | Verwundbar |
| Behoben | v2.1.197 / 2.1.198 | 2026-07-01/02 | Sicher |
Proxy-Endpoint-Risiko: Teams, die Claude über interne Gateways routen, hatten ihren Hostnamen gegen 147 XOR-verschlüsselte Blacklist-Einträge geprüft — Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax und bekannte Reseller.
~3 Monate nicht offengelegt: Die Logik blieb über ~20 Version-Releases von April bis Juni ohne Changelog-Erwähnung bestehen — der Kern des Vertrauensbruchs.
Hochprivilegiertes Tool: Claude Code hat Dateisystem-Lese-/Schreibzugriff und Shell-Ausführung. Verdecktes Verhalten in einem solchen Tool überschreitet eine Grenze, die normale Telemetrie nicht überschreitet — relevant auch für DSGVO-Art.-5-Transparenz und Art.-32-Sicherheit.
Claude Code ist Anthropics terminalbasierter KI-Coding-Agent. Die Story: Anthropic bettet still Erkennungscode ein → Entwickler reverse-engineeren ihn → Anthropic entschuldigt sich und rollt zurück → Alibaba verbietet → Chinas NVDB stuft es als schwerwiegendes Backdoor-Risiko ein.
2026: Anthropic investiert öffentlich in Anti-Destillations-Technik (Klassifikatoren, Verhaltens-Fingerabdrücke).
2026: Verdeckte Erkennung wird intern in Claude Code ausgeliefert — ohne öffentliche Offenlegung.
2: v2.1.91 erscheint mit Erkennungscode in der Distribution.
30: Reddit-Nutzer LegitMichel777 deckt Steganographie auf; Thereallo veröffentlicht technische Analyse; Adnane Khan validiert v2.1.193/195/196 auf GitHub.
1: Ingenieur Thariq Shihipar gibt auf X zu, es sei ein März-„Experiment“ gegen Missbrauch und Destillation; verspricht Rollback am nächsten Tag.
2. Jul: v2.1.197 entfernt den Code — Changelog schweigt zur Änderung.
3.–4. Jul: Reuters und TechCrunch berichten: Alibaba verbietet Claude Code ab 10. Juli, Mitarbeiter wechseln zu internem Tool Qoder.
8. Jul: Chinas NVDB veröffentlicht offizielle Warnung: eingebaute Überwachungsmechanismen senden Standort- und identitätsbezogene Kennungen ohne Nutzereinwilligung — klassifiziert als schwerwiegendes Backdoor-Risiko.
Deshalb spricht die Tech-Community von Steganographie, nicht Telemetrie. Es gab keinen separaten Reporting-Kanal — das Tool manipulierte den System-Prompt selbst. Sicherheitsforscher Adnane Khan definierte es als „einen verdeckten Informationskanal in System-Prompts“.
Trigger: ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpoint gesetzt.
Umgebungs-Recon: Zeitzone auf Asia/Shanghai oder Asia/Urumqi prüfen; Proxy-Hostname gegen 147 XOR(key=91) + Base64-verschlüsselte Blacklist-Einträge matchen.
Verdeckte Kodierung: Datums-Trennzeichen wechselt von 2026-06-30 zu 2026/06/30 bei China-Zeitzone; der Apostroph in Today's date is wechselt zwischen visuell identischen Unicode-Varianten (U+0027, U+2019, U+02BC) und kodiert drei Booleans — etwa 3 Bit Umgebungsdaten in einem normal aussehenden englischen Satz, der mit jeder Anfrage gesendet wird.
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
Der Streit geht nicht um Datensammlung an sich — sondern darum, es per Steganographie, ohne Offenlegung und mit Fokus auf bestimmte Regionen und kommerzielle Rivalen zu tun.
Thariq Shihipar (Claude-Code-Team) auf X: „This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.“
| Quelle | Framing | Blickwinkel |
|---|---|---|
| NVDB / China-Regulator | Sicherheits-Backdoor-Risiko / schwere Bedrohung | Compliance und Datenexfiltration |
| CNBC / Reuters | Eingebaute Überwachungsmechanismen | Neutrale Regulierungsweitergabe + Enterprise-Folgen |
| The Register | Verdeckter Code / geheime Steganographie | Technische Verantwortlichkeit |
| Ars Technica | Spyware-ähnliches Tracking | Vertrauenskrise |
| Cybernews | „A nothing burger“ (einige Devs) | Überreaktion; Standard-Anti-Destillations-Engineering |
| Anthropic | Nicht offengelegtes Experiment | Legitimer Anti-Missbrauch-Zweck |
Wichtige Nuance: Öffentliche Berichte bestätigen keinen Datenleck oder direkten finanziellen Schaden für Nutzer. Das dokumentierte Risiko ist nicht offengelegtes Überwachungsverhalten und Compliance-Exposition — plus Account-Sperr-Risiko für markierte Proxy-Nutzer. EU-Unternehmen sollten zusätzlich DSGVO-Meldepflichten (Art. 33/34) und Verarbeitungsverzeichnisse prüfen, falls Entwickler-Terminals personenbezogene Daten über solche Kanäle verarbeiteten.
Laut SCMP und Ars Technica, Alibaba-interne Mitteilung: „As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.“ Ab 10. Juli 2026: Claude Code und alle Anthropic-Modellprodukte (Sonnet, Opus, Fable) verboten; Mitarbeiter zu interner Plattform Qoder umgeleitet.
Anthropic sagte dem US-Senate Banking Committee zuvor, Alibabas Qwen-Team habe ~25.000 betrügerische Accounts mit 28,8 Millionen Interaktionen genutzt, um Claude-Fähigkeiten zu destillieren. Ein Feb-2026-Paper der Peking-Universität / CAS berichtete Destillations-Spuren in großen chinesischen Modellen. Claude Opus 4.8 identifizierte sich in Tests berühmt als Qwen/DeepSeek — was Anthropics China-Nutzer-Fingerabdruck besonders peinlich macht. Das ist der breitere Kontext, warum Anthropic verdeckte Erkennung einbaute.
Version prüfen: claude --version — bei 2.1.91–2.1.196 sofort handeln.
Proxy prüfen: echo $ANTHROPIC_BASE_URL — nicht-offizielle Endpoints waren der Trigger.
Upgraden: npm install -g @anthropic-ai/claude-code@latest oder claude update.
Vollständige Deinstallation (optional): ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code auf macOS/Linux entfernen.
Enterprise-Egress-Audit: Dev-Maschinen auf unautorisierte KI-Service-Endpoints scannen; ausgehende Traffic-Kontrollen gemäß NVDB-Leitfaden und DSGVO-Art.-32 implementieren; Verarbeitungsverzeichnis und AVV mit Anthropic prüfen.
Alternativen evaluieren: Qoder, Cursor, Codex CLI oder selbst gehostete Agenten je nach Compliance-Bedarf.
strings auffindbar.Claude Code auf einem Privat-Laptop neben Produktions-API-Keys erzeugt unscharfe Berechtigungsgrenzen und schlechte Egress-Auditierbarkeit — ein DSGVO-relevantes Risiko, wenn Entwickler-Terminals als Verarbeitungsumgebung für Kundendaten dienen. Für produktionsreifes iOS-CI/CD und KI-Agent-Automation bietet VpsMesh Mac Mini Cloud-Miete isolierte dedizierte macOS-Knoten mit Root-Level-Kontrolle und 7×24-Uptime — eine stabilere Alternative als Privat-Desktops zu mischen. Tarife: Mac Mini M4 Mietpreise; Setup: Hilfezentrum.
Fazit: Anthropic entfernte den Code in v2.1.197+. Ob das Vertrauen wiederherstellt, entscheiden Sie — ein Teil der Tech-Community sieht dies als „nothing burger“ (Standard-Anti-Destillations-Engineering); Regulatoren und Unternehmen als ernstes nicht offengelegtes Backdoor-Risiko. Upgraden Sie in jedem Fall; Ihre Compliance-Richtlinie entscheidet, ob Sie das Tool weiter nutzen.
Hinweis: Basierend auf öffentlich verfügbaren NVDB-Berichten, Anthropic-Statements und unabhängiger Sicherheitsforschung. Nur zur Information — keine Rechts- oder Sicherheitsaudit-Beratung.
In v2.1.91–2.1.196 lieferte Anthropic nicht offengelegte Steganographie-Fingerabdrücke. NVDB stufte es als Backdoor-Risiko ein; Anthropic nannte es ein Anti-Destillations-Experiment und entfernte es in v2.1.197.
v2.1.91 (2. Apr. 2026) bis v2.1.196 (29. Jun. 2026). Upgrade auf v2.1.197 oder neuer.
Nein. Der verdeckte Fingerabdruck aktivierte sich nur, wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Proxy oder Gateway-Endpoint zeigte.
Führen Sie claude --version im Terminal aus oder npm list -g @anthropic-ai/claude-code bei npm-Installation.
Bei betroffenen Versionen sofort upgraden. Unternehmen mit Compliance-Anforderungen (DSGVO, Egress-Audit) können zusätzlich deinstallieren und ausgehenden Traffic prüfen. Isolierte Dev-Umgebungen: Mac Mini M4 Mietpreise.
Es änderte das Datums-Trennzeichen im System-Prompt und tauschte visuell identische Unicode-Apostroph-Varianten, um Zeitzonen- und Proxy-Domain-Treffer zu kodieren.
Alibaba stufte es nach Backdoor-Berichten als Hochrisiko-Software ein und wies Mitarbeiter ab 10. Juli 2026 auf internes Tool Qoder um.
Nein. Changelogs aller betroffenen Versionen erwähnten den Mechanismus nicht — ein zentraler Teil der Kontroverse.
Anthropic entfernte den Code in v2.1.197+. Laufendes Vertrauen hängt von Risikotoleranz und Compliance-Richtlinie ab.
Destillation trainiert ein Modell auf Ausgaben eines anderen Modells. Anthropic sagte, der Mechanismus zielte auf unautorisierte Reseller und Destillations-Pipelines — Teil eines breiteren Streits mit chinesischen KI-Laboren. Mehr zu isolierten Dev-Setups im Hilfezentrum.