NVDB warnt vor Claude-Code-Backdoor-Risiko (2.1.91–2.1.196): Technische Analyse und Handlungsleitfaden für Entwickler
Am 8. Juli 2026 warnte die chinesische Plattform NVDB (Network Vulnerability Database), dass Anthropic Claude Code in den Versionen v2.1.91–2.1.196 ein schwerwiegendes Backdoor-Risiko birgt. Wenn Sie AI-Coding-Tools nutzen, führen Sie sofort claude --version aus. Dieser Artikel rekonstruiert die Timeline, erklärt die Steganographie in System-Prompts, vergleicht NVDB-, Anthropic- und Alibaba-Stellungnahmen, beleuchtet den US-China-Distillation-Kontext und liefert Checklisten, ein Fünf-Schritte-Runbook sowie zehn FAQ.
- Regulatorische Einordnung: NVDB — eingebaute Überwachung kann ohne Zustimmung Region und Identifikatoren übermitteln.
- Betroffene Versionen: v2.1.91 (2. Apr.) bis v2.1.196 (29. Jun.); Fix ab v2.1.197+.
- Trigger: Nur bei
ANTHROPIC_BASE_URLauf inoffizielle Endpunkte — offizielle API-Nutzer nicht betroffen. - Unternehmensfolge: Alibaba verbietet Claude Code ab 10. Juli, Wechsel zu Qoder.
- Sofortmaßnahmen: Upgrade oder Deinstallation → lokale Reste entfernen → Egress-Traffic auditieren.
Inhaltsverzeichnis
- I. Problem: Regulierung vs. Technik vermischt
- II. Ereignis-Zusammenfassung
- III. Vollständige Timeline
- IV. Wer ist wirklich betroffen
- V. Technischer Mechanismus
- VI. Stellungnahmen im Vergleich
- VII. Hintergrund: AI-Distillation
- VIII. Faktencheck
- IX. Entscheidungsmatrix
- X. Checklisten
- XI. Fünf-Schritte-Runbook
- XII. FAQ
- XIII. Fazit und Haftungsausschluss
- XIV. Quellen
I. Problem: Regulatorische Einordnung vs. Technik — falsche Formulierungen schaden der Glaubwürdigkeit
- Clickbait: „Claude Code überwacht alle Nutzer“ — falsch. Nur wer
ANTHROPIC_BASE_URLauf Nicht-Offizielles setzt, löst den Mechanismus aus. - Backdoor vs. Experiment: NVDB sagt „Backdoor-Risiko“; Anthropic „Anti-Missbrauch/ Anti-Distillation“; Techniker sprechen von „Steganographie-Covert-Channel“.
- Compliance-Fenster: NVDB am 8.7., Alibaba-Sperre ab 10.7. — IT-Teams müssen Versionen und Egress in Tagen prüfen.
Die Story-Kette: Anthropic legt Erkennung für China-Nutzer → Reverse Engineering → Entschuldigung und Rollback → Alibaba-Sperre → NVDB-Backdoor-Warnung.
II. Ereignis-Zusammenfassung
Am 8. Juli 2026 veröffentlichte die NVDB eine Risikomeldung zu Claude Code von Anthropic mit der Einordnung schwerwiegendes Backdoor-Risiko.
| Punkt | Inhalt |
|---|---|
| Art | Eingebaute Überwachung ohne Nutzerzustimmung |
| Übermittelt | Region, Identifikatoren und ähnliche sensible Daten |
| Betroffene Versionen | v2.1.91 bis v2.1.196 |
| Zeitraum | 2. April bis 29. Juni 2026 |
| Empfehlung | Deinstallieren oder upgraden; Egress-Kontrolle verstärken |
| Unternehmen | Alibaba und andere haben Nutzung eingeschränkt |
| Hersteller | Anthropic: „experimentell“, Anti-Distillation, Entfernung in neueren Versionen |
III. Vollständige Timeline
| Datum | Ereignis |
|---|---|
| Feb. 2026 | Anthropic investiert öffentlich in Anti-Distillation (Klassifikatoren, Fingerprints) |
| März 2026 | Verdeckter Erkennungsmechanismus intern live, ohne Offenlegung |
| 2026-04-02 | v2.1.91 — erster Release mit verdecktem Code |
| Apr.–Jun. 2026 | ~20 Versionen, Logik bleibt, kein Changelog-Eintrag |
| 2026-06-29 | v2.1.196 — letzte betroffene Version |
| 2026-06-30 | Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) dokumentieren Steganographie |
| 2026-07-01 | Thariq Shihipar (Anthropic) gibt Experiment zu, verspricht Rollback |
| 2026-07-02 | v2.1.197 (teils 2.1.198) — Code entfernt, Changelog schweigt |
| 2026-07-03/04 | Reuters/TechCrunch: Alibaba verbietet Claude Code ab 10.7., Wechsel zu Qoder |
| 2026-07-08 | NVDB veröffentlicht Backdoor-Warnung |
| 2026-07-10 | Alibaba-internes Verbot tritt in Kraft |
IV. Wer ist wirklich betroffen: Trigger-Bedingung
Der Mechanismus greift nicht für alle. Er aktiviert sich nur, wenn ANTHROPIC_BASE_URL auf einen inoffiziellen Endpunkt zeigt (Enterprise-Gateway, Proxy, API-Weiterverkauf). Wer api.anthropic.com nutzt, löst den Pfad nicht aus.
Die wahrscheinlichste Folge ist Kontosperr-Risiko, nicht ein bestätigtes Datenleck — Fokus auf undokumentierte Überwachung und Compliance.
V. Technischer Mechanismus im Detail
5.1 Umgebungs-Erkennung
- Zeitzone:
Asia/ShanghaioderAsia/Urumqi - Domain-Blacklist: Hostname von
ANTHROPIC_BASE_URLgegen interne Liste
Reverse Engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach): 147 Einträge — chinesische Tech-Giganten, AI-Lab-Keywords (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI u. a.) und bekannte Proxy-Gateways. Verschlüsselt mit XOR (Schlüssel 91) + Base64.
5.2 Steganographie im System-Prompt
Kein separater Telemetrie-Kanal — Manipulation des System-Prompts:
- Datums-Trennzeichen: Bei China-Zeitzone
2026-06-30→2026/06/30 - Unicode-Apostrophe: In
Today's date iswerden drei visuell ähnliche Apostrophe genutzt, um Zeitzone-, Domain- und Lab-Treffer zu kodieren
Adnane Khan: „a covert information channel embedded in system prompts“.
5.3 Abgrenzung zu normaler Telemetrie
- Steganographie statt transparenter Telemetrie
- ~3 Monate ohne Changelog-Offenlegung
- Gezieltes Fingerprinting nach Region und Wettbewerbern
- Tool mit Dateisystem- und Shell-Rechten — höhere Erwartung an Transparenz
5.4 Versionen und Befehle
| Typ | Version | Datum |
|---|---|---|
| Erste mit Mechanismus | v2.1.91 | 2026-04-02 |
| Letzte betroffene | v2.1.196 | 2026-06-29 |
| Fix | v2.1.197 (teils 2.1.198) | 2026-07-01/02 |
Deinstallation: macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows — %USERPROFILE%\.claude und Cache. Unternehmen: Egress-Audit auf Dev-Terminals.
Hard Facts: 147 Blacklist-Domains; ~20 Versionen undokumentiert; 3 Bit Steganographie (1 Datumsbit + 3 Apostroph-Varianten).
VI. Stellungnahmen im Vergleich
6.1 NVDB / MIIT
- Einordnung: schwerwiegendes Backdoor-Risiko
- Überwachung ohne Zustimmung, Rückübertragung sensibler Daten
- Empfehlung: Terminals prüfen, upgraden/deinstallieren, Egress filtern
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
Einordnung als „Experiment“, nicht „Backdoor“. Hintergrund: Anthropic warf Alibaba Qwen ~25.000 betrügerische Konten und 28,8 Mio. Interaktionen vor.
6.3 Alibaba
- „As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.“
- Ab 10. Juli 2026 — Claude Code und Anthropic-Modelle verboten
- Alternative: internes Qoder
6.4 Medien-Vokabular
| Quelle | Begriff | Fokus |
|---|---|---|
| NVDB / MIIT | backdoor / severe threat | Compliance, Datenabfluss |
| CNBC / Reuters | security backdoor / monitoring | Regulatorik + Unternehmensreaktion |
| The Register | covert code / secret steganography | Technik + Accountability |
| Ars Technica | spyware-like tracking | Vertrauenskrise |
| Cybernews | „a nothing burger“ | Überreaktion vs. Anti-Distillation |
| Anthropic | experiment / anti-distillation | Verteidigungszweck |
VII. Hintergrund: US-China AI-Distillation
- Anthropic blockiert direkten Zugang aus China; Umgehung via VPN, Proxy, ausländische Karten
- Feb. 2026: Peking-Uni/CAS-Paper zu Distillation-Spuren in chinesischen Modellen
- Anthropic beschuldigte DeepSeek, Moonshot, MiniMax, Alibaba u. a.
- Claude Opus 4.8 „hielt sich für Qwen/DeepSeek“ — Debatte über Doppelstandards
- Qoder als Beispiel für interne Alternativen
VIII. Faktencheck
- ⚠️ Nicht alle Nutzer betroffen — nur mit inoffiziellem
ANTHROPIC_BASE_URL - ⚠️ Fix-Version: meist v2.1.197, teils 2.1.198 — „2.1.197+“ empfohlen
- ⚠️ „Backdoor“ ist regulatorische, nicht die einzige technische Einordnung
- ⚠️ Folge: Kontosperre-Risiko, kein bestätigtes Leck
- ⚠️ Datumsabweichungen — GitHub-Changelog als Referenz
IX. Entscheidungsmatrix
| Szenario | Trigger? | Maßnahme | Risiko |
|---|---|---|---|
| Offizielles api.anthropic.com | Nein | Trotzdem auf 2.1.197+ upgraden | Niedrig |
| Enterprise-Proxy mit BASE_URL | Ja | Sofort upgraden/deinstallieren; Egress auditieren | Hoch |
| China-Zeitzone + Proxy | Ja (doppeltes Signal) | Upgrade + Alternativen (Qoder/Cursor) | Hoch |
| Alibaba-Mitarbeiter | — | Internes Verbot befolgen, Qoder | Compliance |
| Bereits v2.1.197+ | Nein | Changelog-Transparenz beobachten | Mittel |
X. Checklisten für Entwickler und IT
Einzelentwickler
- ☐
claude --version— liegt Version in 2.1.91–2.1.196? - ☐
echo $ANTHROPIC_BASE_URL— inoffizieller Endpunkt? - ☐ Upgrade auf v2.1.197+ oder Deinstallation mit Restbereinigung
- ☐ Alternative evaluieren (Cursor, Qoder, andere)
Unternehmens-IT
- ☐ Claude-Code-Installationen und Versionen inventarisieren
- ☐ Egress-Filtering und Traffic-Monitoring
- ☐ Software-Whitelist/Blacklist aktualisieren
- ☐ Interne Alternativen (Qoder, isolierte Mac-Cloud)
- ☐ Audit-Trail für Compliance
XI. Fünf-Schritte-Runbook
- Version:
claude --versionodernpm list -g @anthropic-ai/claude-code. - Endpunkt:
echo $ANTHROPIC_BASE_URL— alles außerapi.anthropic.com= hohe Priorität. - Upgrade/Deinstallation:
npm install -g @anthropic-ai/claude-code@latestoderclaude update; Reste unter~/.claudelöschen. - Egress-Audit (Unternehmen): unautorisierte AI-Endpunkte auf Dev-Terminals prüfen.
- Alternativen: Qoder, Cursor oder isolierte Mac-Cloud für Agent-Workflows.
XII. FAQ
Q1: Hat Claude Code eine Backdoor?
In v2.1.91–2.1.196: undokumentierte Steganographie. NVDB: Backdoor-Risiko; Anthropic: Experiment, entfernt in v2.1.197.
Q2: Welche Versionen?
v2.1.91 (2.4.2026) bis v2.1.196 (29.6.2026). Upgrade auf v2.1.197+.
Q3: Offizielle API überwacht?
Nein — nur bei inoffiziellem ANTHROPIC_BASE_URL.
Q4: Version prüfen?
claude --version im Terminal.
Q5: Deinstallieren?
Betroffene Versionen sofort upgraden; Unternehmen zusätzlich deinstallieren und Egress prüfen.
Q6: Steganographie?
Datums-Trennzeichen und Unicode-Apostrophe im System-Prompt kodieren Treffer-Flags.
Q7: Alibaba?
Hochrisiko-Software, Verbot ab 10.7., Wechsel zu Qoder.
Q8: Changelog?
Keine Offenlegung in betroffenen oder Fix-Versionen.
Q9: Jetzt sicher?
v2.1.197+ ohne Code; Nutzung nach Risikopolitik.
Q10: Distillation?
Anthropic: Anti-Weiterverkauf/Distillation; Vorwurf gegen Qwen mit ~25.000 Konten.
XIII. Fazit und Haftungsausschluss
Drei Linien zusammenführen: Regulatorik + Steganographie-Technik + Distillation-Kontext. Pragmatisch: Version prüfen → Endpunkt prüfen → upgraden/deinstallieren → Egress auditieren.
Claude Code auf einem unisolieren PC oder Linux-VPS birgt langfristig Transparenz-, Egress- und Secrets-Risiken. Für compliance-sensitive oder 7×24-Agent-Szenarien trennt ein VPSMAC M4 Mac-Cloud-Knoten AI-Workflows physisch ab — SSH als einziger Einstieg, API-Keys getrennt von Produktionsassets, launchd für stabile Prozesse, volle Xcode/Apple-Toolchain. Für Teams, die Claude Code ersetzen wollen ohne macOS-Native-Erfahrung zu opfern, ist das auditierbarer als ein generischer VPS.
Haftungsausschluss: Basierend auf NVDB-Meldung und öffentlichen Berichten; keine Rechts- oder Sicherheitsaudit-Beratung. Maßnahmen nach eigener Sicherheitspolitik evaluieren.
XIV. Quellen
- IT之家, 新京报, 36氪 — NVDB-Meldungen
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — Backdoor-Warnung und Covert-Code-Entfernung
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?