Ein Entwickler fand in Claude Code versteckten Code, der seit April heimlich prüfte, ob Nutzer aus China stammen – getarnt per Steganografie. Anthropic nennt es ein Experiment, Alibaba verbannt das Tool.
Kostenloses Erstgespräch — herstellerneutral, direkt aus dem Rheintal.
Selbst ein auf Vertrauen gebauter KI-Anbieter kann unsichtbare Logik ausliefern – prüfe bei Agenten mit Systemzugriff Anbieter, Berechtigungen und Datenflüsse.
Anthropic gilt als das KI-Labor mit dem Sicherheits- und Datenschutz-Gewissen. Umso grösser der Knall, als ein Entwickler in Claude Code – dem Programmier-Assistenten der Firma – versteckten Code fand, der monatelang unbemerkt prüfte, ob ein Nutzer aus China stammt. Und das mit Methoden, die man eher aus der Spionage kennt.
Aufgedeckt hat es der Reddit-Nutzer LegitMichel777, der Claude Code Ende Juni auseinandernahm und in einem Post im Forum r/ClaudeAI seine Funde teilte. Sein Ergebnis: Seit Version 2.1.91, veröffentlicht am 2. April 2026, prüfte das Tool im Verborgenen, ob ein Nutzer über einen aktiven Proxy aus China kommt, über eine chinesische Adresse geroutet wird oder mit einem chinesischen KI-Labor in Verbindung steht. In den Release Notes zu dieser Version stand davon kein Wort.
Konkret glich Claude Code die Zeitzone des Systems gegen Asia/Shanghai und Asia/Urumqi ab und durchsuchte die Proxy-URL nach chinesischen Domains und den Adressen bekannter KI-Labs.
Das eigentlich Brisante ist nicht das Prüfen selbst, sondern wie das Ergebnis übermittelt wurde: per Steganografie, also über für Menschen unsichtbare Signale, versteckt im System-Prompt an Anthropics Server.
Schlug die Prüfung an, veränderte die Software zwei winzige Details im Text:
Für den Menschen am Bildschirm sehen alle drei Varianten gleich aus. Für Anthropics Server sind sie sofort auslesbar. Zusätzlich hatte Anthropic den Code laut LegitMichel777 mit einer XOR-Verschlüsselung (Schlüssel 91) verschleiert, damit er in einem einfachen Textauszug nicht auffällt.
Der Entdecker nannte die heimliche Übertragung von System- und Proxy-Daten «einen fundamentalen Bruch des Nutzervertrauens». Sein Argument: Da Claude Code vollen Zugriff auf Dateisystem und Shell hat, öffne so ein verstecktes Verhalten Tür und Tor für Missbrauch. Gleichzeitig sei die Prüfung für versierte Angreifer trivial zu umgehen – der Nutzen also fraglich.
Thariq Shihipar, Mitarbeiter im Claude-Code-Team, bestätigte den Fund auf X. Er beschrieb den Mechanismus als «ein Experiment, das wir im März gestartet haben» – gedacht, um Konto-Missbrauch durch nicht autorisierte Wiederverkäufer zu verhindern und sich gegen Distillation zu schützen. Distillation bezeichnet das Nachbauen eines Modells, indem man es massenhaft abfragt und mit den Antworten ein eigenes Modell trainiert.
Man habe seither stärkere Schutzmassnahmen eingebaut und ohnehin geplant, den Code zu entfernen. Der entsprechende Pull Request sei am 1. Juli gemergt worden und mit dem nächsten Release vollständig zurückgerollt. Diese Darstellung stammt von Anthropic selbst und lässt sich nicht unabhängig überprüfen.
Die Reaktion aus China liess nicht lange auf sich warten: Alibaba untersagte seinen Mitarbeitenden die Nutzung von Claude Code – laut Berichten wirksam ab dem 10. Juli, mit der Anweisung, auf die hauseigene Alternative Qoder umzusteigen. In Entwickler-Communitys auf Reddit und Social Media brach ein spürbarer Sturm der Entrüstung los.
Der Zeitpunkt ist kein Zufall. Erst im Juni hatte Anthropic mehreren chinesischen Laboren – darunter DeepSeek, Moonshot AI, MiniMax und Alibaba – vorgeworfen, Claude-Ausgaben unerlaubt zum Training eigener Modelle genutzt zu haben (wir haben über den Distillation-Streit berichtet). Vor diesem Hintergrund wirkt der versteckte China-Check wie das nächste Kapitel eines eskalierenden Konflikts.
Besonders pikant: Anthropic positioniert sich seit jeher als Gegenpol zur Überwachung. Das Labor weigerte sich, die US-Regierung Claude zur Beobachtung amerikanischer Nutzer einsetzen zu lassen, und klagte deswegen gar gegen das Weisse Haus. Genau dieses Selbstbild bekommt nun Kratzer.
Für dich als Entwicklerin oder Entwickler in der Schweiz – wo Claude Code längst zum Werkzeugkasten vieler Teams gehört – steckt darin die eigentliche Lektion: Selbst ein Tool eines auf Vertrauen gebauten Anbieters kann unsichtbare Logik enthalten, die niemand in den Release Notes findet. Wer sensible Codebasen mit einem KI-Agenten mit Shell-Zugriff bearbeitet, tut gut daran, Anbieter, Berechtigungen und Datenflüsse kritisch zu prüfen – unabhängig davon, wie sauber das Image ist.