Sofortmaßnahme: claude --version ausführen. Liegen Sie auf v2.1.91–2.1.196 und routen über einen nicht offiziellen ANTHROPIC_BASE_URL, aktualisieren Sie auf 2.1.197+ oder deinstallieren Sie. Am 8. Juli 2026 veröffentlichte Chinas MIIT NVDB eine Risikomeldung: Claude Code birgt ein schwerwiegendes Backdoor-Risiko — eingebaute Überwachung könnte Regions- und Identitäts-Fingerabdrücke ohne Einwillung übermitteln. Für EU-Teams ist das DSGVO-relevant, wenn Entwickler über Drittanbieter-Gateways arbeiten. Vollständige Timeline, Steganografie-Mechanismus, Alibaba-Verbot ab 10. Juli und Checkliste. Technische Details: Claude-Code-Steganografie-Analyse.
01

Kurzfassung und Was ist Claude Code?

Was ist Claude Code? Anthropics terminalbasierter KI-Coding-Agent (CLI) mit Dateisystemzugriff, Shell-Ausführung und konfigurierbarem API-Routing über ANTHROPIC_BASE_URL — ein Hochprivileg-Tool, kein passiver Chat.

Kurzfassung: ① MIIT NVDB (8.7.) = schwerwiegendes Backdoor-Risiko; ② betroffen 2.1.91–2.1.196; ③ nur bei nicht offiziellem ANTHROPIC_BASE_URL; ④ Anthropic räumte ein, Rollback 1.7.; ⑤ Fix v2.1.197; ⑥ Alibaba-Verbot ab 10.7.

KennzahlWertQuelle / Anmerkung
Betroffene Versionenv2.1.91 – v2.1.196MIIT NVDB, Reverse Engineering
Release-Fenster2026-04-02 – 2026-06-29~20 Releases, 0 Changelog-Einträge
Blocklist-Einträge147 Domains/KeywordsXOR(91)+Base64, Thereallo / Adnane Khan
Fix-Versionv2.1.197Veröffentlichung 2026-07-01/02
Alibaba-VerbotAb 2026-07-10Reuters, SCMP, Ars Technica
Destillations-Vorwurf~25.000 Konten, 28,8 Mio. InteraktionenAnthropic-Brief an US-Senat

Für deutsche Unternehmen: auch ohne direkten China-Bezug kann ein undiskloses Geo-Fingerprinting über Entwickler-Proxys Art. 5 & 6 DSGVO (Transparenz, Rechtsgrundlage) berühren, wenn Personenbezug über Zeitzonen-/Endpoint-Signale ableitbar ist.

02

Chronologie: Was geschah?

Datenbasierte Timeline aus regulatorischen Meldungen, Reverse-Engineering und Medienberichten.

01

Februar 2026: Anthropic kündigt Investitionen in Anti-Destillations-Technologien an.

02

März 2026: Verdeckter Erkennungsmechanismus intern deployed — ohne Ankündigung.

03

2026-04-02: v2.1.91 mit versteckter Logik veröffentlicht.

04

2026-06-29: v2.1.196 — letzte betroffene Version.

05

2026-06-30: Reddit-Exposure; Thereallo-Analyse; Adnane Khan bestätigt v2.1.193/195/196.

06

2026-07-01: Thariq Shihipar gesteht „Experiment“ auf X; Rollback versprochen.

07

2026-07-02: v2.1.197 entfernt Steganografie-Code.

08

2026-07-08: MIIT NVDB — formelles Backdoor-Risiko, schwerer Schaden.

09

2026-07-10: Alibaba-Unternehmensverbot tritt in Kraft.

03

Steganografie-Fingerabdruck: Technischer Ablauf

Kein separates Telemetrie-Endpoint — stattdessen Manipulation des Systemprompts bei jedem Request.

Schritt 1 — Umgebungsprüfung: Zeitzonen Asia/Shanghai / Asia/Urumqi; Hostname-Vergleich von ANTHROPIC_BASE_URL gegen 147 XOR(91)+Base64-verschlüsselte Einträge (Tech-Konzerne, AI-Labs, Reseller).

Schritt 2 — Kodierung: Datumsformat 2026-06-302026/06/30; Unicode-Apostroph-Varianten in der Today-date-Zeile kodieren drei Boolesche Flags.

Schritt 3 — Verdeckter Kanal: ~3 Bit Umgebungsinformation pro Request, unsichtbar im scheinbar normalen englischen Satz.

MeilensteinVersionDatum
Erste betroffene Versionv2.1.912026-04-02
Letzte betroffene Versionv2.1.1962026-06-29
Fixv2.1.1972026-07-01/02
bash
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update
04

Betroffene Nutzer, Anthropic-Stellungnahme, Alibaba-Verbot

SzenarioFingerabdruck aktiv?RisikoDSGVO-Bezug
Offiziell api.anthropic.comNeinStandard-TelemetrieVertragliche Basis prüfen
ANTHROPIC_BASE_URL → DrittanbieterJaVerdeckte SteganografieTransparenzpflicht Art. 13/14
EU-Zeitzone + ProxyNein (China-TZ-Logik)Geringer direkter Geo-TrefferEndpoint-Fingerprint dennoch prüfen
Reguliertes EnterpriseKonfigurationsabhängigUndiskloses Outbound-SignalDPIA empfohlen

Anthropic / Thariq Shihipar (1.7., X): „This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release.“

Alibaba-Verbot ab 10. Juli 2026: Claude Code als Hochrisiko-Software; Wechsel zu internem Qoder. Kontext: Anthropics Senatsvorwurf gegen Alibaba Qwen (~25.000 Betrugs-Konten, 28,8 Mio. Interaktionen).

QuelleSchlüsselbegriffSchwerpunkt
MIIT / NVDBBackdoor-Risiko, schwerer SchadenCompliance, Datenübermittlung
Reuters / CNBCEingebaute ÜberwachungRegulatorik + Unternehmensreaktion
The RegisterGeheime SteganografieUndisclosed Updates
AnthropicExperiment / Anti-DestillationVerteidigungsziel, schlechte Offenlegung
05

Maßnahmen-Checkliste für Entwickler und IT

01

Version prüfen: claude --version; Bereich 2.1.91–2.1.196 markieren.

02

Proxy dokumentieren: echo $ANTHROPIC_BASE_URL auf allen Dev-Maschinen und CI-Runnern.

03

Aktualisieren: npm install -g @anthropic-ai/claude-code@latest; Ziel ≥ 2.1.197.

04

Deinstallation: ~/.claude, Caches und Config-Verzeichnisse entfernen.

05

Alternativen vergleichen: AI-Coding-Assistenten-Vergleich.

06

DSGVO-Dokumentation: Verarbeitungsverzeichnis und DPIA bei Proxy-Nutzung aktualisieren.

07

Enterprise-Inventar: alle Workstations und CI-Knoten mit Claude Code erfassen; NVDB-Empfehlung umsetzen.

A

147 Blocklist-Einträge in v2.1.193–196 bestätigt.

B

28,8 Mio. Interaktionen — Anthropics Destillationsvorwurf gegen Qwen.

C

10.7. Alibaba-Verbot — Software-Allowlists jetzt anpassen.

Haftungsausschluss: Basierend auf MIIT-Meldungen und öffentlichen Quellen; keine Rechtsberatung. Hilfe: Hilfezentrum.

Betroffene Claude-Code-Versionen auf dem lokalen Mac sind schwer auditierbar; Drittanbieter-Claude-Gateways setzen Endpoint-Fingerprinting aus; unlizenzierte macOS-VMs verletzen die Apple-EULA. Für iOS-CI/CD, volle Root-Rechte und 24/7-Agent-Produktion bietet KVMNODE exklusive Mac-Mini-M4-Cloud-Miete isolierte Bare-Metal-Umgebungen mit kontrollierbarem Outbound-Traffic — unabhängig von lokaler Hardware oder undisklosen Client-Fingerabdrücken. Mietpreise · Jetzt bestellen.