Die Nationale Schwachstellendatenbank Chinas (NVDB) ist eine staatlich betriebene Cybersicherheitsplattform, die dem Ministerium für Industrie und Informationstechnologie untersteht . In ihrer Warnung vom 8. Juli wies die NVDB ausdrücklich auf die Claude Code Versionen 2.1.91 bis 2.1.196 hin und erklärte, der Überwachungsmechanismus des Tools könne eine „ernsthafte Bedrohung“ darstellen, da er Nutzerdaten ohne Einwilligung an entfernte Server sende
. Die Datenbank empfahl Organisationen und Nutzern, die betroffenen Systeme umgehend zu überprüfen und entweder die gefährdeten Versionen zu deinstallieren oder auf die neueste sichere Version zu aktualisieren, aus der der angebliche Backdoor-Code bereits entfernt worden war
.
Die NVDB-Warnung kam nicht aus heiterem Himmel. Sie war der Höhepunkt einer einwöchigen öffentlichen Kontroverse, an der unabhängige Sicherheitsforscher, ein Reddit-Leak und ein breiterer KI-Kalter Krieg zwischen den USA und China beteiligt waren, der sich nun auf Entwicklerwerkzeuge ausweitete.
Am 30. Juni 2026 analysierte ein unter dem Pseudonym Thereallo (thereallo.dev) veröffentlichender Entwickler die Claude-Code-Binärdatei und entdeckte, dass das Tool über einen Zeitraum von rund drei Monaten stillschweigend Umgebungs-Fingerabdrücke der Nutzer in seinen eigenen System-Prompt eingebettet hatte . Diese Technik, die heute allgemein als „Prompt-Steganographie“ bezeichnet wird, bediente sich mehrerer Methoden:
Manipulation von Datumsangaben: Claude Code änderte stillschweigend die Datumszeile im System-Prompt – es wechselte zwischen einem geschwungenen Apostroph (ʼ) und einem geraden Apostroph (') in der englischen Formulierung „Today's“ und tauschte Datumstrennzeichen von Bindestrichen (2026-06-30) gegen Schrägstriche (2026/06/30) aus – abhängig von der vom Nutzer konfigurierten API-Basis-URL . Diese visuell nahezu identischen Unicode-Varianten waren für den Nutzer unsichtbar, dienten aber als eindeutige Tracking-Marker, die von Anthropics Servern gelesen werden konnten.
Proxy- und Standortermittlung: Der Mechanismus wurde aktiviert, wenn die Umgebungsvariable ANTHROPIC_BASE_URL auf einen nicht zu Anthropic gehörenden Endpunkt gesetzt war – ein Zeichen dafür, dass der Datenverkehr über einen Drittanbieter-Proxy geleitet wurde. Das Tool kodierte dann den Proxy-Hostnamen mithilfe einer XOR-Liste konkurrierender Domains . Die versteckten Marker prüften, ob der Datenverkehr über chinesische KI-Labore, Proxy-Wiederverkäufer oder anderweitig mit China verbundene Dienste lief
. Eine Analyse ergab, dass das Tool eine fest kodierte Liste mit über 25 chinesischen Domains überprüfte
.
Erkennung chinesischer Nutzer ab Version 2.1.91: Die am 2. April 2026 veröffentlichte Claude Code Version 2.1.91 bettete die Erkennung chinesischer Nutzer heimlich per Steganographie in den System-Prompt ein. Dies wurde erstmals von Reddit-Nutzer LegitMichel777 aufgedeckt, der den verschleierten Code am 30. Juni analysierte . Die Technik bestand im Austausch von Apostrophen und Datumsformaten, um Standortdaten zu kodieren, die für den Nutzer unsichtbar blieben
.
Umfang und Dauer: Der Fingerabdruck-Code war in über 90 Versionen von Claude Code enthalten, ohne dass dies in den Versionshinweisen erwähnt wurde . Er war mindestens drei Monate lang aktiv, bevor er am 30. Juni 2026 öffentlich enthüllt wurde
. Ein anonymer Anthropic-Mitarbeiter beschrieb ihn als ein „Experiment“, das im März begonnen habe
.
Die Washington Post berichtete, Anthropics offensichtliches Ziel sei es gewesen, „die chinesischen Rivalen zu enttarnen, von denen das Unternehmen vermutete, sie kaperten seine Technologie, um ihre eigenen KI-Tools intelligenter zu machen“ – also die Erkennung von Model-Distillation oder nicht autorisierter API-Nutzung durch chinesische Firmen . Diese als „Distillation“ bekannte Praxis, bei der die Ausgaben eines großen Modells zum Trainieren eines kleineren, günstigeren Modells verwendet werden, ist ein häufiges Problem für führende KI-Unternehmen.
Anthropics Reaktion erfolgte in zwei Phasen, die die Doppelnatur des Skandals widerspiegeln.
Zur Steganographie (Anfang Juli 2026): Nachdem die Entdeckung am 30. Juni öffentlich geworden war, bestätigte Anthropic, dass der versteckte Code entfernt werde und die Tracking-Funktion in Version 2.1.197 vom 1. Juli 2026 zurückgesetzt werde . Das Unternehmen bezeichnete die Funktion als ein „Anti-Missbrauchs-Experiment“, das dazu dienen sollte, nicht autorisierte API-Nutzung und Model-Distillation durch chinesische Konkurrenten zu erkennen
. Anthropic betonte, dass das Tracking nicht zur Nutzerüberwachung gedacht sei, sondern dem Schutz vor geistigem Eigentumsdiebstahl dienen sollte – konkret der Identifizierung chinesischer Firmen, die verdächtigt wurden, Claudes Ausgaben zum Trainieren eigener Modelle zu nutzen
.
Zur NVDB-Backdoor-Warnung (8./9. Juli 2026): Als Reaktion auf Chinas formelle Sicherheitswarnung schlug Anthropic einen anderen Ton an. Das Unternehmen erklärte, dass Nutzer in China ohnehin nie zur Nutzung von Claude Code berechtigt gewesen seien und das Tool unter Verstoß gegen die Nutzungsbedingungen verwendet hätten . Damit argumentierte Anthropic im Grunde, dass die angebliche „Backdoor“ eine Gegenmaßnahme gegen nicht autorisierte Nutzer sei, die gar keinen Zugriff auf die Software hätten haben dürfen
. Diese Entgegnung stieß bei Datenschützern auf scharfe Kritik, die darauf hinwiesen, dass die heimliche Natur des Trackings in Kombination mit der fehlenden Offenlegung einen Vertrauensbruch darstelle – unabhängig vom geografischen Standort des Nutzers oder seines Status hinsichtlich der Nutzungsbedingungen.
Der Vorfall löste sofortige und bedeutende Reaktionen von Unternehmen aus. Bereits am 3. Juli 2026 – vor der NVDB-Warnung – hatte Alibaba Group die Nutzung von Claude Code für seine gesamte Belegschaft verboten, wirksam ab dem 10. Juli, nachdem eine interne Sicherheitsüberprüfung das Entwickler-Tool als „Hochrisiko-Software mit Sicherheitslücken“ eingestuft hatte . Der Schritt des chinesischen Technologiekonzerns war eine seltene öffentliche Unternehmensreaktion, die zeigte, wie ernst chinesische Firmen den Tracking-Code nahmen.
Der Vorfall wird allgemein als eine neue Front im KI-Konflikt zwischen den USA und China betrachtet – mit Auswirkungen auf geistiges Eigentum, Modellsicherheit und Lieferkettenvertrauen . Die Washington Post beschrieb ihn als Teil einer „verdeckten US-chinesischen Schlacht“, bei der jede Seite versuche, die Aktivitäten der anderen im KI-Bereich zu erkennen und zu kontern
. Die Tatsache, dass der Tracking-Code durch Reverse Engineering der Gemeinschaft entdeckt wurde – und nicht von Anthropic offengelegt wurde –, hat die Vertrauenskrise in KI-Entwicklerwerkzeuge weiter verschärft.
Der Claude-Code-Steganographie-Vorfall enthält mehrere praktische Lehren für Entwickler und Organisationen, die KI-Code-Assistenten nutzen:
Anthropics eigenes Responsible Disclosure Programm räumt Schwachstellen in Claude Code ein . Das Unternehmen hat den steganografischen Code inzwischen gepatcht, aber der Vorfall bleibt der bedeutendste Vertrauensbruch bei KI-gestützten Entwicklerwerkzeugen bis heute
.