Security Regulatorische Warnung 2026.07.09

MIIT warnt vor Claude-Code-Hintertür (2.1.91–2.1.196): Technische Analyse und Maßnahmen für Entwickler

Am 8. Juli 2026 veröffentlichte die Plattform für Cyber-Bedrohungen und Schwachstellen des chinesischen Ministeriums für Industrie und Informationstechnologie (MIIT, NVDB) eine Risikowarnung: Das KI-Programmierwerkzeug Claude Code von Anthropic in den Versionen v2.1.91 bis v2.1.196 weist auf eine schwerwiegende Sicherheits-Hintertür hin — ein eingebauter Überwachungsmechanismus kann ohne Nutzereinwilligung Standort, Identifikatoren und weitere sensible Daten an Remote-Server übermitteln. Betroffene sollten sofort claude --version ausführen und auf v2.1.197+ aktualisieren.

Dieser Beitrag richtet sich an Claude-Code-Entwickler, IT- und Security-Verantwortliche in Unternehmen und beantwortet drei Kernfragen: ① die vollständige Kette von Anthropics Einbau über Reverse-Engineering-Enthüllung und Rollback bis zur MIIT-Qualifizierung und Alibaba-Sperre; ② technische Funktionsweise der Steganographie und die exakten Triggerbedingungen; ③ Versionsselbstprüfung, Upgrade/Deinstallation und Egress-Kontrolle. Fokus: Compliance-Risiko und undeclarierte Überwachung — ohne Übertreibung zu einem bestätigten Datenleck.

01 MIIT/NVDB-Warnung zu Claude Code: TL;DR

  • Regulatorische Einordnung: NVDB warnte am 8. Juli 2026 offiziell vor einer „Sicherheits-Hintertür mit schwerwiegendem Risiko“.
  • Risikoart: Eingebauter Überwachungsmechanismus; Übermittlung von Standort, Identifikatoren und weiteren sensiblen Daten ohne Einwilligung.
  • Betroffene Versionen: v2.1.91 (Veröffentlichung 2. April 2026) bis v2.1.196 (29. Juni 2026) — nahezu drei Monate ohne Changelog-Eintrag.
  • Offizielle Empfehlung: Deinstallation betroffener Versionen oder Upgrade auf die neueste sichere Version; verstärkte Egress-Kontrolle und Traffic-Überwachung auf Entwicklungs-Terminals.
  • Unternehmensreaktion: Alibaba und weitere Konzerne beschränken oder verbieten Claude Code; ab 10. Juli 2026 Umstellung auf internes Tool Qoder.
  • Anbieterantwort: Anthropic-Ingenieur Thariq Shihipar bestätigte eine im März gestartete „experimentelle“ Anti-Missbrauchs-/Anti-Distillation-Maßnahme; Entfernung ab v2.1.197.
NVDB-Kernfakten im Überblick
Feld Inhalt
RisikoartEingebauter Überwachungsmechanismus, Übermittlung sensibler Daten ohne Einwilligung
Übermittelte DatenGeografischer Standort, Identifikatoren und weitere sensible Informationen
Betroffene Versionenv2.1.91 bis v2.1.196
Veröffentlichungszeitraum2. April 2026 bis 29. Juni 2026
Fix-Versionv2.1.197 (teilweise v2.1.198, 1.–2. Juli 2026)

02 Vollständige Zeitachse des Claude-Code-Hintertür-Vorfalls

Die Schlagzeile lautet „Regulierungswarnung“ — dahinter steht eine zusammenhängende Kette: Anthropic baut Erkennung für China-bezogene Nutzer ein → Entwickler enthüllen per Reverse Engineering → Anbieter entschuldigt sich und rollt zurück → Alibaba sperrt → MIIT qualifiziert als Hintertür.

Schlüsselereignisse Claude Code 2026
Datum Ereignis
Februar 2026Anthropic kündigt Investitionen in Anti-Modell-Distillation an (Klassifikatoren, Verhaltens-Fingerabdrücke, Threat Intelligence)
März 2026Verdeckter Erkennungsmechanismus in Claude Code intern aktiviert (ohne öffentliche Offenlegung)
2026-04-02Claude Code v2.1.91 veröffentlicht; Erkennungscode wird mit ausgeliefert
2026-04 bis 06Nahezu 20 Versionen; Erkennungslogik bleibt, kein Changelog-Eintrag
2026-06-29v2.1.196 veröffentlicht (letzte betroffene Version)
2026-06-30Reddit-Nutzer LegitMichel777 enthüllt Steganographie; Thereallo veröffentlicht Analyse; Adnane Khan bestätigt Logik in v2.1.193/195/196 auf GitHub
2026-07-01Thariq Shihipar auf X: „experimentelle“ Anti-Missbrauchs-/Anti-Distillation-Maßnahme seit März; Rollback im nächsten Release versprochen
2026-07-02Claude Code v2.1.197 entfernt Steganographie-Code; Changelog schweigt zur Änderung
2026-07-03/04Reuters, TechCrunch: Alibaba verbietet ab 10. Juli Claude Code und Anthropic-Modelle; Wechsel zu Qoder
2026-07-08NVDB veröffentlicht offizielle Warnung: „Sicherheits-Hintertür, schwerwiegendes Risiko“
2026-07-10Alibaba-internes Verbot tritt in Kraft

Zeitfenster für Blog-Relevanz: 8. Juli offizielle Qualifizierung als Höhepunkt; 10. Juli Alibaba-Verbot als zweite Welle. Technische Details: Tiefenanalyse zur Claude-Code-Steganographie.

03 Welche Nutzer sind betroffen? Triggerbedingungen

Wesentliche Einschränkung: Nicht alle Nutzer werden überwacht. Der verdeckte Mechanismus aktiviert sich nur, wenn die Umgebungsvariable ANTHROPIC_BASE_URL API-Anfragen auf einen nicht-offiziellen Endpunkt lenkt (Unternehmens-Gateway, Drittanbieter-Proxy, API-Weiterverkauf). Nutzer des offiziellen api.anthropic.com lösen diesen Pfad nicht aus.

  • Punkt 1: Medienüberschriften wie „Claude Code überwacht alle Nutzer“ sind technisch unzutreffend und schaden der Glaubwürdigkeit.
  • Punkt 2: Direkte Folge ist vor allem Kontosperr-Risiko, kein bestätigtes Datenleck mit nachgewiesenem finanziellem Schaden.
  • Punkt 3: Claude Code hat Dateisystem-, Shell- und weitere Hochprivilegien — Toleranz für unsichtbares Verhalten sollte entsprechend niedrig sein.
  • Punkt 4: Nahezu drei Monate ohne Changelog-Offenlegung; Fingerabdruck zielt auf bestimmte Regionen und Wettbewerber.
  • DSGVO-Bezug: Übermittlung von Standort und Identifikatoren ohne informierte Einwilligung kann Art. 5 (Rechtmäßigkeit, Transparenz) und Art. 6 (Rechtsgrundlage) sowie Informationspflichten nach Art. 13/14 berühren — unabhängig vom technischen Trigger.

Bei Entscheidungen drei Gruppen trennen: Entwickler mit offizieller API vs. Proxy/Gateway-Nutzer vs. regulierte Unternehmen — völlig unterschiedliche Risikoexposition.

04 Steganographie-Überwachung: technische Dreiteilung

Schritt 1: Umgebungsaufklärung — China-bezogener Nutzer?

Bei erfüllter Triggerbedingung zwei Prüfungen:

  1. System-Zeitzone: Asia/Shanghai oder Asia/Urumqi
  2. Proxy-Domain-Blacklist: Hostname von ANTHROPIC_BASE_URL gegen eingebaute Liste

Laut Reverse Engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach u.a.) enthält die Liste 147 Einträge: chinesische Tech-Konzerne (Alibaba, Alipay, Ant, Baidu, ByteDance), AI-Lab-Keywords (DeepSeek, Moonshot AI, Zhipu, MiniMax, Baichuan, StepFun, 01.AI) und bekannte API-Proxy-Gateways. Speicherung: XOR-Verschlüsselung (Schlüssel 91) + Base64.

Schritt 2: Steganographische Kodierung — stille Rückmeldung

„Steganographie“ statt normalem „Telemetry“: kein separater Datenkanal, sondern Manipulation des an das Modell gesendeten System-Prompts:

  • Datums-Trennzeichen: Bei China-Zeitzone wechselt das Format von 2026-06-30 (Bindestrich) zu 2026/06/30 (Schrägstrich)
  • Unicode-Apostroph: In Today's date is wird das Standard-Apostroph ' durch drei visuell nahezu identische Unicode-Varianten ersetzt — kodieren „Zeitzone getroffen / Domain getroffen / AI-Lab-Keyword getroffen“

Adnane Khan definiert dies als „a covert information channel embedded in system prompts“. Ein Datumsformat-Bit plus drei Apostroph-Varianten ≈ 3 Bit Umgebungsinformation in einem normal aussehenden englischen Satz.

Unicode-Apostroph und Datumsformat-Kodierung
Erkanntes Muster Datumsformat Apostroph Unicode
Standard (kein Treffer)2026-06-30U+0027
China-Institution/Reseller-Domain2026-06-30U+2019
China-AI-Lab-Keyword2026-06-30U+02BC
Domain + Lab beide2026-06-30U+02B9
Zusätzlich China-Zeitzone2026/06/30(gleiche Apostroph-Regeln)

Schritt 3: Abgrenzung zu regulärer Telemetrie

Claude Code sammelt regulär Daten (Event-Logs, Datadog, OpenTelemetry) — bei CLI/IDE-Agenten üblich. Kontrovers: ① Steganographie statt transparenter, abschaltbarer Telemetrie; ② keine Offenlegung über ~3 Monate; ③ gezielter Fingerabdruck nach Region und Wettbewerbern; ④ Hochprivilegiertes Tool, niedrige Toleranz für unsichtbares Verhalten.

version-check.sh
claude --version
echo $ANTHROPIC_BASE_URL
npm install -g @anthropic-ai/claude-code@latest
claude update

Deinstallation — zu löschende Pfade: macOS/Linux: ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows: %USERPROFILE%\.claude und zugehörige Cache-Verzeichnisse. In Unternehmen nach Deinstallation Egress-Audit auf Entwicklungs-Terminals empfohlen.

05 NVDB, Anthropic, Alibaba: Stellungnahmen und Wortwahl

MIIT / NVDB

  • Qualifizierung: Sicherheits-Hintertür, schwerwiegendes Risiko
  • Beschreibung: Eingebauter Überwachungsmechanismus übermittelt ohne Einwilligung Standort, Identifikatoren und weitere sensible Daten an Remote-Server
  • Empfehlung: Vollständige Prüfung Entwicklungs-Terminals → Deinstallation oder Upgrade → verstärkte Egress-Kontrolle und Traffic-Überwachung in Kernnetzsegmenten

Anthropic / Thariq Shihipar (Claude-Code-Team)

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Einordnung: „Experiment“, nicht „Backdoor“; Ziel Anti-Weiterverkauf und Anti-Distillation. Anthropic warf Alibaba/Qwen in einem Schreiben an den US-Senatsbankausschuss ~25.000 betrügerische Konten und 28,8 Mio. Interaktionen vor, um Claude-Fähigkeiten zu extrahieren.

Alibaba

  • Interne Mitteilung (SCMP, Ars Technica): "As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities."
  • Wirksamkeit: 10. Juli 2026
  • Umfang: Claude Code und Anthropic-Modelle (Sonnet, Opus, Fable u.a.)
  • Alternative: interne Plattform Qoder
Qualifizierung in Medien und Tech-Community
Quelle Schlüsselbegriffe Narrativ
NVDB / MIITbackdoor code / security backdoor risk / severe threatCompliance und Datenexfiltration
CNBC / Reuters / CBSsecurity backdoor / built-in monitoring mechanismNeutrale Wiedergabe + Unternehmensreaktionen
The Registercovert code / secret steganography systemTechnische Kritik + Undeclared-Update
Ars Technicaspyware-like tracking / secret Claude trackerVertrauenskrise + Policy-Analyse
Cybernews"a nothing burger" (Teil der Tech-Community)Überreaktion; Anti-Distillation-Engineering
Anthropicexperiment / anti-abuse / anti-distillation measureLegitime Abwehr, kein böswilliges Monitoring

06 Kontext: US-China-KI-Modell-Distillation

Kein isolierter Vorfall, sondern Ausdruck des KI-Wettbewerbs 2026:

  • Anthropic blockiert direkten Zugang aus China und „feindlichen“ Regionen; Umgehung via VPN, ausländische Zahlungsmittel, Drittanbieter-Proxies
  • Februar 2026: Peking-Uni und CAS-Paper meldet Distillation-Spuren in vielen chinesischen Großmodellen
  • Anthropic beschuldigte zuvor DeepSeek, Moonshot AI, MiniMax, Alibaba u.a. unautorisierte Nutzung von Claude-Ausgaben zum Training
  • Claude Opus 4.8 identifizierte sich in Tests teils als Qwen/DeepSeek — für manche Beobachter Doppelstandard
  • Chinesische Unternehmen wechseln zu Eigen-/Open-Source-Stacks (DeepSeek, Qwen, Kimi/Moonshot, Zhipu, MiniMax); Qoder als konkretes Alibaba-Beispiel

Ziel (Anti-Distillation) und Mittel (Steganographie, Undeclared) getrennt bewerten — sachliche Einordnung in der Debatte „Hintertür vs. Experiment“.

07 Maßnahmen: Checklisten für Einzelpersonen und Unternehmen

Checkliste Einzelentwickler

  1. Version prüfen: claude --version — liegt die Version in v2.1.91–2.1.196?
  2. Proxy-Konfiguration: echo $ANTHROPIC_BASE_URL — zeigt auf nicht-offiziellen Endpunkt?
  3. Sofort upgraden: npm install -g @anthropic-ai/claude-code@latest oder claude update auf v2.1.197+
  4. Zeitzone prüfen: Asia/Shanghai / Asia/Urumqi (relevant bei Proxy-Nutzung)
  5. Bei Bedarf deinstallieren: ~/.claude, ~/.claude.json u.a. löschen, Neuinstallation aktueller Version
  6. Alternativen evaluieren: Tongyi Lingma, Cursor, Qoder u.a.; Telemetrie-Transparenz in Auswahlkriterien aufnehmen

Checkliste Unternehmens-IT

  1. Entwicklungs-Terminals inventarisieren: alle Workstations und CI-Knoten mit Claude Code
  2. Upgrade oder Sperre erzwingen: v2.1.91–2.1.196 zwingend aktualisieren; bei Compliance-Anforderungen Sperre wie bei Alibaba
  3. Egress-Audit: dauerhafte Verbindungen zu nicht autorisierten KI-Endpunkten
  4. Egress-Filtering: ausgehende Verbindungen aus Kernnetzsegmenten einschränken
  5. Alternativen: interne Tools (Qoder) oder regionale KI-Assistenten
  6. Richtlinien aktualisieren: Drittanbieter-KI in Software-Whitelist/Blacklist-Prozesse aufnehmen; DSGVO-Dokumentation bei personenbezogenen Übermittlungen prüfen

08 Zitierbare technische Daten zum Vorfall

  • Betroffener Versionsbereich: v2.1.91 (2026-04-02) bis v2.1.196 (2026-06-29), nahezu 20 Iterationen
  • Fix-Version: v2.1.197 (teilweise v2.1.198, 2026-07-01/02); Changelog ohne explizite Entfernungsnotiz
  • Domain-Blacklist: ca. 147 Einträge, XOR(91) + Base64-Obfuskation
  • Kanal-Kapazität: 1 Datumsformat-Bit + 3 Apostroph-Varianten ≈ 3 Bit Umgebungsinformation
  • Anthropic Anti-Distillation-Skala: ~25.000 betrügerische Konten, 28,8 Mio. Interaktionen (Schreiben an US-Senatsbankausschuss, Qwen-Team)
  • Alibaba-Verbot: wirksam 10. Juli 2026; Claude Code und gesamtes Anthropic-Modellportfolio

Quellen: IT之家, Beijing News, CNBC, The Register, Thereallo, TechCrunch (Alibaba-Bericht), Ars Technica.

Haftungsausschluss: Analyse basiert auf NVDB-Mitteilung und öffentlichen Medienberichten; keine Rechtsberatung oder Sicherheitsaudit. Maßnahmen (Deinstallation, Sperre, Traffic-Kontrolle) vor Umsetzung an interne Sicherheits- und Compliance-Richtlinien anpassen.

09 FAQ: Claude-Code-Hintertür und MIIT-Warnung

F: Hat Claude Code eine Hintertür?
A: In v2.1.91–2.1.196 eingebaute, undeclarierte Steganographie-Fingerabdrücke; NVDB stuft dies als schwerwiegendes Sicherheitsrisiko ein. Anthropic nennt es Anti-Distillation-Experiment, entfernt in v2.1.197.

F: Welche Versionen sind betroffen?
A: v2.1.91 (2. April 2026) bis v2.1.196 (29. Juni 2026). Upgrade auf v2.1.197 oder neuer.

F: Betrifft das die offizielle Anthropic-API?
A: Nein. Aktivierung nur wenn ANTHROPIC_BASE_URL auf nicht-offiziellen Proxy oder Gateway zeigt.

F: Wie prüfe ich die Claude-Code-Version?
A: claude --version oder npm list -g @anthropic-ai/claude-code.

F: Kann Claude Code weiter genutzt werden?
A: Ab v2.1.197+ technisch behoben. Unternehmen mit Compliance-Anforderungen können zusätzlich deinstallieren und Egress auditieren. Offizielle API und nicht betroffene Version: Nutzung möglich.

F: Welche Steganographie-Technik wurde eingesetzt?
A: Manipulation des Datums-Trennzeichens im System-Prompt und Unicode-Apostroph-Varianten in Today's zur Kodierung von Zeitzone/Proxy-Signalen.

F: Warum hat Alibaba Claude Code gesperrt?
A: Nach Hintertür-Berichten Aufnahme in Hochrisiko-Softwareliste; ab 10. Juli 2026 Wechsel zu internem Tool Qoder.

F: Stand das in den Release Notes?
A: Nein. Kein betroffenes Changelog erwähnte den Mechanismus.

F: Ist Claude Code jetzt sicher?
A: Code in v2.1.197+ entfernt. Vertrauen hängt von Risikotoleranz und Compliance-Politik der Organisation ab.

F: Was hat Modell-Distillation damit zu tun?
A: Distillation nutzt Ausgaben eines Modells zum Training eines anderen. Anthropic positioniert den Mechanismus als Abwehr gegen unautorisierte Weiterverkäufer und Distillation-Pipelines im US-China-KI-Wettbewerb — die Implementierung bleibt umstritten.

10 Fazit: Compliance, technisches Vertrauen und JEXCLOUD

Wert dieses Beitrags: drei Linien zusammenführen — regulatorische Qualifizierung (MIIT/NVDB), verifizierbare Steganographie (Reverse-Engineering-Beweise), US-China-Distillation (Kontext). „Hintertür“ ist die Behörden-Einordnung; präziser technisch: „Steganographie-Erkennung“ oder „covert channel“. Diese Spannung sachlich darzustellen überzeugt mehr als reine Panikmache.

Produktionsteams, die Claude Code oder alternative KI-Programmierwerkzeuge in isolierten Umgebungen betreiben, kennen drei reale Schwächen reiner Local-Dev-Maschinen: instabiles Heim-Internet unterbricht SSH/API-Langverbindungen, Agent-Tasks hängen beim Zuklappen des Laptops, Mehrnutzer-Umgebungen sind schwer auditierbar. Für stabilere, agenten-taugliche Produktionsumgebungen: JEXCLOUD Multi-Region Bare-Metal Mac — dedizierte Apple-Silicon-Leistung, 7×24 online, monatlich skalierbar, 120-Sekunden-Bereitstellung. Schwere Claude-Code-Jobs in der Cloud, lokal nur Interaktion; separate Netzwerk- und Zeitzonen-Konfiguration für Compliance-Isolation. Preise und Knoten: JEXCLOUD Preisseite.