Der Mechanismus führte drei Schritte vollständig auf der Client-Seite aus, ohne jegliche Benachrichtigung des Nutzers :
Umgebungs-Prüfung. Claude Code überprüfte die Umgebungsvariable ANTHROPIC_BASE_URL. Zeigte diese auf einen nicht-offiziellen Endpunkt – zum Beispiel ein Drittanbieter-API-Relay oder einen „China Transfer Station"-Proxy – verglich der Code den Endpunkt mit einer hartcodierten, verschleierten Liste von 147 chinesischen Tech-Unternehmensdomains: Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI (Kimi), MiniMax, StepFun und andere . Die Domain-Liste wurde mit Base64-Kodierung und XOR-Verschleierung mit Schlüssel 91 getarnt, was die Suche mit gewöhnlichen String-Suchwerkzeugen erschwerte
.
Kodierung in den System-Prompt. Sobald ein China-bezogener Proxy identifiziert wurde, veränderte der Code stillschweigend den System-Prompt, der bei jeder weiteren Anfrage an Anthropics Server gesendet wurde. Eine unscheinbare Zeile – „Today's date is 2026-06-30." – wurde durch subtile Zeichensubstitutionen und Datumsformatierungsänderungen manipuliert, um die Zeitzone des Nutzers, die Proxy-Route und die wahrscheinliche KI-Labor-Zugehörigkeit zu kodieren . Dies ist eine steganografische Methode: Sie versteckt Daten im Klartext, sodass das Modell (und Anthropics Server) sie lesen kann, der Nutzer jedoch nicht.
Unsichtbar für den Nutzer. Der gesamte Prozess lief ohne UI-Anzeige, ohne für den Endnutzer sichtbares Logging und ohne Offenlegung in Versionshinweisen oder der Dokumentation ab . Mehrere unabhängige Analysten bestätigten den Mechanismus und beschrieben ihn als „verdeckten Kanal" innerhalb des System-Prompts
. Das im früheren Source-Leak sichtbare breitere Flag
ANTI_DISTILLATION_CC wies Anthropics API an, stillschweigend Anti-Distillations-Wasserzeichen in die Antworten einzufügen, was darauf hindeutet, dass dies Teil eines umfassenderen Anti-Missbrauchs-Frameworks war .
Nachdem die Kontroverse ausgebrochen war, räumte Anthropic die Funktion ein und begann mit dem Rückrollen . Das Unternehmen charakterisierte sie als „Anti-Abuse-Experiment", das gegen die weit verbreiteten Graumarkt-API-Proxys – in der chinesischen Entwickler-Community als „Zhongzuanzhan" oder „China Transfer Stations" bekannt – vorgehen sollte, die chinesischen Entwicklern den Zugang zu Claude zu etwa 10 % des offiziellen Preises über nicht autorisierte Relays ermöglichen
. Anthropic erklärte, das Ziel sei es, Distillation und unbefugten Zugriff zu erkennen und zu blockieren, nicht aber, Nutzer auszuspionieren. Kritiker jedoch bezeichneten den Code als „Spyware-like" und äußerten ernsthafte Bedenken hinsichtlich Privatsphäre, Transparenz und der Ethik verdeckten Nutzer-Fingerprints
.
Nur eine Woche bevor der Claude-Code-Leck an die Öffentlichkeit gelangte, schickte Anthropic ein Schreiben an den US-Kongress, in dem es Alibaba und dessen Qwen-KI-Labor beschuldigte, den größten bekannten „Distillations"-Angriff gegen Claude durchgeführt zu haben. Laut dem Brief, der von mehreren Nachrichtenagenturen eingesehen wurde, nutzten mit Alibaba verbundene Betreiber etwa 25.000 betrügerische Konten, um zwischen dem 22. April und 5. Juni 2026 etwa 28,8 Millionen Interaktionen mit Claude durchzuführen und dabei systematisch die Fähigkeiten des Modells zu extrahieren, um ihre eigenen Konkurrenzmodelle zu trainieren . Anthropic bezeichnete dies als „dreiste" und „rechtswidrige" Kampagne
. Dieser Vorwurf erklärt direkt, warum Anthropic das steganografische Fingerprinting gebaut hat – es war eine Abwehrmaßnahme genau gegen die Art von Massenextraktion, die es gleichzeitig Alibaba vorwarf.
Dies war nicht der erste Vorwurf Anthropics gegen chinesische Firmen. Bereits im Februar 2026 hatte Anthropic DeepSeek, Moonshot AI und MiniMax beschuldigt, mehr als 24.000 Fake-Konten eingerichtet und über 16 Millionen Austausche mit Claude generiert zu haben . Der Alibaba-Vorwurf war der bislang größte.
Am 12. Juni 2026 ordnete das US-Handelsministerium unter den Export Administration Regulations (EAR) an, dass Anthropic seine beiden fortschrittlichsten Modelle – Claude Fable 5 und Claude Mythos 5 –, die erst drei Tage zuvor gestartet waren, sofort deaktivieren müsse. Die Regierung berief sich auf nationale Sicherheitsbedenken aufgrund eines angeblichen Jailbreaks . Anthropic kam der Aufforderung nach und setzte beide Modelle weltweit außer Betrieb, da es nicht in Echtzeit zwischen ausländischen und inländischen Nutzern unterscheiden konnte
.
Dann, am 30. Juni 2026 – demselben Tag, an dem die Claude-Code-Kontroverse ausbrach – hob die Trump-Administration die Exportkontrollen auf, und Anthropic begann mit der Wiederherstellung von Fable 5 und Mythos 5 .
Diese Ereignisse bilden ein stimmiges Muster, das sich über eine einzige außergewöhnliche Woche erstreckt:
Anthropic-CEO Dario Amodei hat wiederholt den chinesischen Zugang zu amerikanischen Frontier-KI-Modellen als existenzielle Bedrohung für die nationale Sicherheit der USA bezeichnet , und die Kontroverse um den versteckten Code deutet darauf hin, dass das Unternehmen bereit war, außergewöhnliche – verdeckte und nicht einwilligungsbasierte – Maßnahmen zu ergreifen, um sich dagegen zu verteidigen.