claude --version ausführen. Liegen Sie auf v2.1.91–2.1.196 und routen über einen nicht offiziellen ANTHROPIC_BASE_URL, aktualisieren Sie auf 2.1.197+ oder deinstallieren Sie. Am 8. Juli 2026 veröffentlichte Chinas MIIT NVDB eine Risikomeldung: Claude Code birgt ein schwerwiegendes Backdoor-Risiko — eingebaute Überwachung könnte Regions- und Identitäts-Fingerabdrücke ohne Einwillung übermitteln. Für EU-Teams ist das DSGVO-relevant, wenn Entwickler über Drittanbieter-Gateways arbeiten. Vollständige Timeline, Steganografie-Mechanismus, Alibaba-Verbot ab 10. Juli und Checkliste. Technische Details: Claude-Code-Steganografie-Analyse.Kurzfassung und Was ist Claude Code?
Was ist Claude Code? Anthropics terminalbasierter KI-Coding-Agent (CLI) mit Dateisystemzugriff, Shell-Ausführung und konfigurierbarem API-Routing über ANTHROPIC_BASE_URL — ein Hochprivileg-Tool, kein passiver Chat.
Kurzfassung: ① MIIT NVDB (8.7.) = schwerwiegendes Backdoor-Risiko; ② betroffen 2.1.91–2.1.196; ③ nur bei nicht offiziellem ANTHROPIC_BASE_URL; ④ Anthropic räumte ein, Rollback 1.7.; ⑤ Fix v2.1.197; ⑥ Alibaba-Verbot ab 10.7.
| Kennzahl | Wert | Quelle / Anmerkung |
|---|---|---|
| Betroffene Versionen | v2.1.91 – v2.1.196 | MIIT NVDB, Reverse Engineering |
| Release-Fenster | 2026-04-02 – 2026-06-29 | ~20 Releases, 0 Changelog-Einträge |
| Blocklist-Einträge | 147 Domains/Keywords | XOR(91)+Base64, Thereallo / Adnane Khan |
| Fix-Version | v2.1.197 | Veröffentlichung 2026-07-01/02 |
| Alibaba-Verbot | Ab 2026-07-10 | Reuters, SCMP, Ars Technica |
| Destillations-Vorwurf | ~25.000 Konten, 28,8 Mio. Interaktionen | Anthropic-Brief an US-Senat |
Für deutsche Unternehmen: auch ohne direkten China-Bezug kann ein undiskloses Geo-Fingerprinting über Entwickler-Proxys Art. 5 & 6 DSGVO (Transparenz, Rechtsgrundlage) berühren, wenn Personenbezug über Zeitzonen-/Endpoint-Signale ableitbar ist.
Chronologie: Was geschah?
Datenbasierte Timeline aus regulatorischen Meldungen, Reverse-Engineering und Medienberichten.
Februar 2026: Anthropic kündigt Investitionen in Anti-Destillations-Technologien an.
März 2026: Verdeckter Erkennungsmechanismus intern deployed — ohne Ankündigung.
2026-04-02: v2.1.91 mit versteckter Logik veröffentlicht.
2026-06-29: v2.1.196 — letzte betroffene Version.
2026-06-30: Reddit-Exposure; Thereallo-Analyse; Adnane Khan bestätigt v2.1.193/195/196.
2026-07-01: Thariq Shihipar gesteht „Experiment“ auf X; Rollback versprochen.
2026-07-02: v2.1.197 entfernt Steganografie-Code.
2026-07-08: MIIT NVDB — formelles Backdoor-Risiko, schwerer Schaden.
2026-07-10: Alibaba-Unternehmensverbot tritt in Kraft.
Steganografie-Fingerabdruck: Technischer Ablauf
Kein separates Telemetrie-Endpoint — stattdessen Manipulation des Systemprompts bei jedem Request.
Schritt 1 — Umgebungsprüfung: Zeitzonen Asia/Shanghai / Asia/Urumqi; Hostname-Vergleich von ANTHROPIC_BASE_URL gegen 147 XOR(91)+Base64-verschlüsselte Einträge (Tech-Konzerne, AI-Labs, Reseller).
Schritt 2 — Kodierung: Datumsformat 2026-06-30 → 2026/06/30; Unicode-Apostroph-Varianten in der Today-date-Zeile kodieren drei Boolesche Flags.
Schritt 3 — Verdeckter Kanal: ~3 Bit Umgebungsinformation pro Request, unsichtbar im scheinbar normalen englischen Satz.
| Meilenstein | Version | Datum |
|---|---|---|
| Erste betroffene Version | v2.1.91 | 2026-04-02 |
| Letzte betroffene Version | v2.1.196 | 2026-06-29 |
| Fix | v2.1.197 | 2026-07-01/02 |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
Betroffene Nutzer, Anthropic-Stellungnahme, Alibaba-Verbot
| Szenario | Fingerabdruck aktiv? | Risiko | DSGVO-Bezug |
|---|---|---|---|
| Offiziell api.anthropic.com | Nein | Standard-Telemetrie | Vertragliche Basis prüfen |
| ANTHROPIC_BASE_URL → Drittanbieter | Ja | Verdeckte Steganografie | Transparenzpflicht Art. 13/14 |
| EU-Zeitzone + Proxy | Nein (China-TZ-Logik) | Geringer direkter Geo-Treffer | Endpoint-Fingerprint dennoch prüfen |
| Reguliertes Enterprise | Konfigurationsabhängig | Undiskloses Outbound-Signal | DPIA empfohlen |
Anthropic / Thariq Shihipar (1.7., X): „This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.“
Alibaba-Verbot ab 10. Juli 2026: Claude Code als Hochrisiko-Software; Wechsel zu internem Qoder. Kontext: Anthropics Senatsvorwurf gegen Alibaba Qwen (~25.000 Betrugs-Konten, 28,8 Mio. Interaktionen).
| Quelle | Schlüsselbegriff | Schwerpunkt |
|---|---|---|
| MIIT / NVDB | Backdoor-Risiko, schwerer Schaden | Compliance, Datenübermittlung |
| Reuters / CNBC | Eingebaute Überwachung | Regulatorik + Unternehmensreaktion |
| The Register | Geheime Steganografie | Undisclosed Updates |
| Anthropic | Experiment / Anti-Destillation | Verteidigungsziel, schlechte Offenlegung |
Maßnahmen-Checkliste für Entwickler und IT
Version prüfen: claude --version; Bereich 2.1.91–2.1.196 markieren.
Proxy dokumentieren: echo $ANTHROPIC_BASE_URL auf allen Dev-Maschinen und CI-Runnern.
Aktualisieren: npm install -g @anthropic-ai/claude-code@latest; Ziel ≥ 2.1.197.
Deinstallation: ~/.claude, Caches und Config-Verzeichnisse entfernen.
Alternativen vergleichen: AI-Coding-Assistenten-Vergleich.
DSGVO-Dokumentation: Verarbeitungsverzeichnis und DPIA bei Proxy-Nutzung aktualisieren.
Enterprise-Inventar: alle Workstations und CI-Knoten mit Claude Code erfassen; NVDB-Empfehlung umsetzen.
147 Blocklist-Einträge in v2.1.193–196 bestätigt.
28,8 Mio. Interaktionen — Anthropics Destillationsvorwurf gegen Qwen.
10.7. Alibaba-Verbot — Software-Allowlists jetzt anpassen.
Haftungsausschluss: Basierend auf MIIT-Meldungen und öffentlichen Quellen; keine Rechtsberatung. Hilfe: Hilfezentrum.
Betroffene Claude-Code-Versionen auf dem lokalen Mac sind schwer auditierbar; Drittanbieter-Claude-Gateways setzen Endpoint-Fingerprinting aus; unlizenzierte macOS-VMs verletzen die Apple-EULA. Für iOS-CI/CD, volle Root-Rechte und 24/7-Agent-Produktion bietet KVMNODE exklusive Mac-Mini-M4-Cloud-Miete isolierte Bare-Metal-Umgebungen mit kontrollierbarem Outbound-Traffic — unabhängig von lokaler Hardware oder undisklosen Client-Fingerabdrücken. Mietpreise · Jetzt bestellen.