Beveiligingsonderzoekers ontdekten dat Claude Code gebruikmaakte van steganografische markeringen die in de systeemprompts waren verborgen. Deze markeringen werden gebruikt om gebruikers stilzwijgend te volgen en te identificeren:
Manipulatie van datums in prompts: Claude Code wijzigde stilletjes de datumregel in de systeemprompt. Zo werd de rechte apostrof in 'Today's' afgewisseld met een krulapostrof en werden scheidingstekens in data (liggend streepje vs. schuine streep) aangepast, afhankelijk van de API-base-URL van de gebruiker . Deze bijna onzichtbare Unicode-varianten fungeerden als tracking-markeringen.
Proxy- en locatievingerafdrukken: Wanneer de omgevingsvariabele ANTHROPIC_BASE_URL was ingesteld op een niet-Anthropic-endpoint, codeerde de tool de hostnaam van de proxy tegen een XOR-gecodeerde lijst van concurrenten . De verborgen markeringen controleerden of het verkeer via Chinese AI-labs, proxy-resellers of anderszins met China gelinkt was
.
Detectie van Chinese gebruikers (versie 2.1.91): Claude Code versie 2.1.91, uitgebracht op 2 april 2026, bevatte een verborgen detectielogica voor Chinese gebruikers via steganografie in de systeemprompt. Dit werd ontdekt door Reddit-gebruiker LegitMichel777 . De techniek omvatte het verwisselen van apostrofs en datumformaten om locatiegegevens te coderen die voor gebruikers onzichtbaar waren
.
Omvang en duur: De vingerafdrukcode was aanwezig in meer dan 90 versies van Claude Code zonder dat dit werd vermeld . De techniek was zeker drie maanden actief voordat deze op 30 juni 2026 publiekelijk werd blootgelegd
.
De Washington Post berichtte dat het doel van Anthropic naar verluidt was 'het ontmaskeren van Chinese rivalen waarvan het bedrijf vermoedde dat ze zijn technologie kaapten om hun eigen AI-tools slimmer te maken' – met andere woorden, het detecteren van modeldistillatie of ongeoorloofd API-gebruik door Chinese bedrijven .
De reactie van Anthropic viel uiteen in twee fases:
1. Over de steganografie (begin juli 2026): Nadat de ontdekking op 30 juni openbaar werd, bevestigde Anthropic dat het de verborgen steganografische code zou verwijderen en de trackingfunctie terugdraaide . Het bedrijf omschreef het als een 'experiment tegen misbruik' (anti-abuse experiment) dat was bedoeld om ongeoorloofd API-gebruik en modeldistillatie door Chinese concurrenten op te sporen
. Anthropic verklaarde dat de tracking niet bedoeld was voor gebruikerssurveillance, maar om intellectueel eigendom te beschermen.
2. Over de NVDB-achterdeurwaarschuwing (8-9 juli 2026): In reactie op de formele Chinese veiligheidswaarschuwing reageerde Anthropic fel: het stelde dat gebruikers in China nooit bevoegd waren om Claude Code te gebruiken en dat zij het hulpmiddel hadden gebruikt in strijd met de gebruiksvoorwaarden . Het bedrijf betoogde dat de zogenaamde 'achterdeur' in feite een tegenmaatregel was tegen ongeautoriseerde gebruikers die geen toegang tot de software hadden mogen hebben
.
Belangrijke context: Het incident leidde tot een bredere reactie van bedrijven. Op 10 juli 2026 verbood Alibaba het gebruik van Claude Code voor al zijn werknemers, verwijzend naar de verborgen trackingcode . De gebeurtenis wordt algemeen gezien als een nieuw front in de AI-spanningen tussen de VS en China rond intellectueel eigendom, modelbeveiliging en vertrouwen in de toeleveringsketen
.