NVDB warnt vor Claude-Code-Backdoor-Risiko (2.1.91–2.1.196): Technische Analyse und Handlungsleitfaden für Entwickler

Am 8. Juli 2026 warnte die chinesische Plattform NVDB (Network Vulnerability Database), dass Anthropic Claude Code in den Versionen v2.1.91–2.1.196 ein schwerwiegendes Backdoor-Risiko birgt. Wenn Sie AI-Coding-Tools nutzen, führen Sie sofort claude --version aus. Dieser Artikel rekonstruiert die Timeline, erklärt die Steganographie in System-Prompts, vergleicht NVDB-, Anthropic- und Alibaba-Stellungnahmen, beleuchtet den US-China-Distillation-Kontext und liefert Checklisten, ein Fünf-Schritte-Runbook sowie zehn FAQ.

Terminal mit Claude-Code-Versionsprüfung als Symbol für Sicherheits-Compliance bei AI-Programmiertools
Kurzüberblick:

Inhaltsverzeichnis

I. Problem: Regulatorische Einordnung vs. Technik — falsche Formulierungen schaden der Glaubwürdigkeit

  1. Clickbait: „Claude Code überwacht alle Nutzer“ — falsch. Nur wer ANTHROPIC_BASE_URL auf Nicht-Offizielles setzt, löst den Mechanismus aus.
  2. Backdoor vs. Experiment: NVDB sagt „Backdoor-Risiko“; Anthropic „Anti-Missbrauch/ Anti-Distillation“; Techniker sprechen von „Steganographie-Covert-Channel“.
  3. Compliance-Fenster: NVDB am 8.7., Alibaba-Sperre ab 10.7. — IT-Teams müssen Versionen und Egress in Tagen prüfen.

Die Story-Kette: Anthropic legt Erkennung für China-Nutzer → Reverse Engineering → Entschuldigung und Rollback → Alibaba-Sperre → NVDB-Backdoor-Warnung.

II. Ereignis-Zusammenfassung

Am 8. Juli 2026 veröffentlichte die NVDB eine Risikomeldung zu Claude Code von Anthropic mit der Einordnung schwerwiegendes Backdoor-Risiko.

PunktInhalt
ArtEingebaute Überwachung ohne Nutzerzustimmung
ÜbermitteltRegion, Identifikatoren und ähnliche sensible Daten
Betroffene Versionenv2.1.91 bis v2.1.196
Zeitraum2. April bis 29. Juni 2026
EmpfehlungDeinstallieren oder upgraden; Egress-Kontrolle verstärken
UnternehmenAlibaba und andere haben Nutzung eingeschränkt
HerstellerAnthropic: „experimentell“, Anti-Distillation, Entfernung in neueren Versionen

III. Vollständige Timeline

DatumEreignis
Feb. 2026Anthropic investiert öffentlich in Anti-Distillation (Klassifikatoren, Fingerprints)
März 2026Verdeckter Erkennungsmechanismus intern live, ohne Offenlegung
2026-04-02v2.1.91 — erster Release mit verdecktem Code
Apr.–Jun. 2026~20 Versionen, Logik bleibt, kein Changelog-Eintrag
2026-06-29v2.1.196 — letzte betroffene Version
2026-06-30Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) dokumentieren Steganographie
2026-07-01Thariq Shihipar (Anthropic) gibt Experiment zu, verspricht Rollback
2026-07-02v2.1.197 (teils 2.1.198) — Code entfernt, Changelog schweigt
2026-07-03/04Reuters/TechCrunch: Alibaba verbietet Claude Code ab 10.7., Wechsel zu Qoder
2026-07-08NVDB veröffentlicht Backdoor-Warnung
2026-07-10Alibaba-internes Verbot tritt in Kraft

IV. Wer ist wirklich betroffen: Trigger-Bedingung

Der Mechanismus greift nicht für alle. Er aktiviert sich nur, wenn ANTHROPIC_BASE_URL auf einen inoffiziellen Endpunkt zeigt (Enterprise-Gateway, Proxy, API-Weiterverkauf). Wer api.anthropic.com nutzt, löst den Pfad nicht aus.

Die wahrscheinlichste Folge ist Kontosperr-Risiko, nicht ein bestätigtes Datenleck — Fokus auf undokumentierte Überwachung und Compliance.

V. Technischer Mechanismus im Detail

5.1 Umgebungs-Erkennung

  1. Zeitzone: Asia/Shanghai oder Asia/Urumqi
  2. Domain-Blacklist: Hostname von ANTHROPIC_BASE_URL gegen interne Liste

Reverse Engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach): 147 Einträge — chinesische Tech-Giganten, AI-Lab-Keywords (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI u. a.) und bekannte Proxy-Gateways. Verschlüsselt mit XOR (Schlüssel 91) + Base64.

5.2 Steganographie im System-Prompt

Kein separater Telemetrie-Kanal — Manipulation des System-Prompts:

Adnane Khan: „a covert information channel embedded in system prompts“.

5.3 Abgrenzung zu normaler Telemetrie

  1. Steganographie statt transparenter Telemetrie
  2. ~3 Monate ohne Changelog-Offenlegung
  3. Gezieltes Fingerprinting nach Region und Wettbewerbern
  4. Tool mit Dateisystem- und Shell-Rechten — höhere Erwartung an Transparenz

5.4 Versionen und Befehle

TypVersionDatum
Erste mit Mechanismusv2.1.912026-04-02
Letzte betroffenev2.1.1962026-06-29
Fixv2.1.197 (teils 2.1.198)2026-07-01/02
# Version prüfen claude --version # Proxy-Endpunkt prüfen echo $ANTHROPIC_BASE_URL # Upgrade npm install -g @anthropic-ai/claude-code@latest claude update

Deinstallation: macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows — %USERPROFILE%\.claude und Cache. Unternehmen: Egress-Audit auf Dev-Terminals.

Hard Facts: 147 Blacklist-Domains; ~20 Versionen undokumentiert; 3 Bit Steganographie (1 Datumsbit + 3 Apostroph-Varianten).

VI. Stellungnahmen im Vergleich

6.1 NVDB / MIIT

6.2 Anthropic / Thariq Shihipar

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Einordnung als „Experiment“, nicht „Backdoor“. Hintergrund: Anthropic warf Alibaba Qwen ~25.000 betrügerische Konten und 28,8 Mio. Interaktionen vor.

6.3 Alibaba

6.4 Medien-Vokabular

QuelleBegriffFokus
NVDB / MIITbackdoor / severe threatCompliance, Datenabfluss
CNBC / Reuterssecurity backdoor / monitoringRegulatorik + Unternehmensreaktion
The Registercovert code / secret steganographyTechnik + Accountability
Ars Technicaspyware-like trackingVertrauenskrise
Cybernews„a nothing burger“Überreaktion vs. Anti-Distillation
Anthropicexperiment / anti-distillationVerteidigungszweck

VII. Hintergrund: US-China AI-Distillation

VIII. Faktencheck

  1. ⚠️ Nicht alle Nutzer betroffen — nur mit inoffiziellem ANTHROPIC_BASE_URL
  2. ⚠️ Fix-Version: meist v2.1.197, teils 2.1.198 — „2.1.197+“ empfohlen
  3. ⚠️ „Backdoor“ ist regulatorische, nicht die einzige technische Einordnung
  4. ⚠️ Folge: Kontosperre-Risiko, kein bestätigtes Leck
  5. ⚠️ Datumsabweichungen — GitHub-Changelog als Referenz

IX. Entscheidungsmatrix

SzenarioTrigger?MaßnahmeRisiko
Offizielles api.anthropic.comNeinTrotzdem auf 2.1.197+ upgradenNiedrig
Enterprise-Proxy mit BASE_URLJaSofort upgraden/deinstallieren; Egress auditierenHoch
China-Zeitzone + ProxyJa (doppeltes Signal)Upgrade + Alternativen (Qoder/Cursor)Hoch
Alibaba-MitarbeiterInternes Verbot befolgen, QoderCompliance
Bereits v2.1.197+NeinChangelog-Transparenz beobachtenMittel

X. Checklisten für Entwickler und IT

Einzelentwickler

Unternehmens-IT

XI. Fünf-Schritte-Runbook

  1. Version: claude --version oder npm list -g @anthropic-ai/claude-code.
  2. Endpunkt: echo $ANTHROPIC_BASE_URL — alles außer api.anthropic.com = hohe Priorität.
  3. Upgrade/Deinstallation: npm install -g @anthropic-ai/claude-code@latest oder claude update; Reste unter ~/.claude löschen.
  4. Egress-Audit (Unternehmen): unautorisierte AI-Endpunkte auf Dev-Terminals prüfen.
  5. Alternativen: Qoder, Cursor oder isolierte Mac-Cloud für Agent-Workflows.

XII. FAQ

Q1: Hat Claude Code eine Backdoor?

In v2.1.91–2.1.196: undokumentierte Steganographie. NVDB: Backdoor-Risiko; Anthropic: Experiment, entfernt in v2.1.197.

Q2: Welche Versionen?

v2.1.91 (2.4.2026) bis v2.1.196 (29.6.2026). Upgrade auf v2.1.197+.

Q3: Offizielle API überwacht?

Nein — nur bei inoffiziellem ANTHROPIC_BASE_URL.

Q4: Version prüfen?

claude --version im Terminal.

Q5: Deinstallieren?

Betroffene Versionen sofort upgraden; Unternehmen zusätzlich deinstallieren und Egress prüfen.

Q6: Steganographie?

Datums-Trennzeichen und Unicode-Apostrophe im System-Prompt kodieren Treffer-Flags.

Q7: Alibaba?

Hochrisiko-Software, Verbot ab 10.7., Wechsel zu Qoder.

Q8: Changelog?

Keine Offenlegung in betroffenen oder Fix-Versionen.

Q9: Jetzt sicher?

v2.1.197+ ohne Code; Nutzung nach Risikopolitik.

Q10: Distillation?

Anthropic: Anti-Weiterverkauf/Distillation; Vorwurf gegen Qwen mit ~25.000 Konten.

XIII. Fazit und Haftungsausschluss

Drei Linien zusammenführen: Regulatorik + Steganographie-Technik + Distillation-Kontext. Pragmatisch: Version prüfen → Endpunkt prüfen → upgraden/deinstallieren → Egress auditieren.

Claude Code auf einem unisolieren PC oder Linux-VPS birgt langfristig Transparenz-, Egress- und Secrets-Risiken. Für compliance-sensitive oder 7×24-Agent-Szenarien trennt ein VPSMAC M4 Mac-Cloud-Knoten AI-Workflows physisch ab — SSH als einziger Einstieg, API-Keys getrennt von Produktionsassets, launchd für stabile Prozesse, volle Xcode/Apple-Toolchain. Für Teams, die Claude Code ersetzen wollen ohne macOS-Native-Erfahrung zu opfern, ist das auditierbarer als ein generischer VPS.

Haftungsausschluss: Basierend auf NVDB-Meldung und öffentlichen Berichten; keine Rechts- oder Sicherheitsaudit-Beratung. Maßnahmen nach eigener Sicherheitspolitik evaluieren.

XIV. Quellen