Der versteckte Tracker von Claude Code war ein „Experiment“, so Anthropic

| 7. Juli 2026
Claude-Logo

Als Entwickler möchten Sie Tools verwenden, denen Sie vertrauen und auf die Sie sich verlassen können. Ein Forscher nahm diesen Gedanken so ernst, dass er seine lokale Installation von Claude Code (2.1.196) genau unter die Lupe nahm. Für Entwickler, die KI-Assistenten nutzen, die Zugriff auf ihren Code, ihre Dateien und ihr Terminal haben, wird es mittlerweile genauso wichtig, zu verstehen, was diese Tools hinter den Kulissen tun, wie ihre Programmierfähigkeiten zu bewerten.

Wenn Sie einem KI-Programmierassistenten Zugriff auf die Shell, das Dateisystem und das Repository gewähren, gehen Sie bereits ein kalkuliertes Risiko ein. Sie rechnen mit Fehlern, vielleicht sogar mit Telemetriedaten, aber nicht mit einem versteckten Kanal, der unbemerkt aufzeichnet, wohin Ihr Datenverkehr fließt und wer am anderen Ende möglicherweise zusieht.

Genau das hat der unabhängige Entwickler „Thereallo“ beim Reverse-Engineering des Claude-Code-Clients von Anthropic entdeckt. Versteckt im minimierten JavaScript-Bundle befand sich eine Funktion, die die ansonsten harmlose Zeile „Today’s date is 2026‑06‑30.“ und verwandelte es in einen versteckten Marker für das Backend von Anthropic, abhängig vom API-Endpunkt des Benutzers und der Systemzeitzone.

Für Nutzer und die meisten Entwickler, die die Protokolle lasen, sah der Text nach wie vor wie normales Englisch aus. Nur wer den Unicode-Rohtext oder das Backend von Anthropic selbst untersuchte, konnte das verschlüsselte Signal erkennen, das ausgelöst wurde, wenn die lokale Zeitzone auf „Asia/Shanghai“ oder „Asia/Urumqi“ eingestellt war.

Nachdem sich die Nachricht über soziale Medien und Nachrichtenkanäle verbreitet hatte, bestätigte Anthropic die Existenz des Codes und entfernte ihn umgehend; eine detaillierte öffentliche Nachbetrachtung zu dieser Funktion hat das Unternehmen jedoch bislang noch nicht veröffentlicht.

Berichten zufolge bestätigte ein Ingenieur von Anthropic auf X es sich bei dem Marker um „ein Experiment handelte, das wir im März gestartet haben“, um den Missbrauch von Konten durch unbefugte Wiederverkäufer zu verhindern und vor „Distillation“ zu schützen. Auslöser hierfür könnte die Entscheidung der US-Regierung vom 12. Juni gewesen sein, den Zugang zu den Modellen für ausländische Staatsangehörige unter Berufung auf nationale Sicherheitsbedenken auszusetzen. Diese Exportkontrollen wurden am 30. Juni aufgehoben.

Ein weiterer möglicher Grund könnte darin bestehen, mehr über die gemeldeten chinesischen „Distillation“-Angriffe zu erfahren, die eine ernsthafte Bedrohung für die nationale Sicherheit der USA darstellen und die Sicherheitsstandards im Bereich der KI untergraben.

Wer muss sich Sorgen machen?

Anthropic ist in einen sehr öffentlichen Streit um sogenannte „Distillation-Angriffe“ verwickelt. Dabei handelt es sich um Kampagnen, bei denen Angreifer angeblich Modellausgaben wiederholen oder über Proxys weiterleiten, um konkurrierende Systeme zu trainieren – häufig aus Ländern mit schwächerem Schutz des geistigen Eigentums. Mit China verbundene KI-Labore und Zwischenhändler spielen in diesen Vorwürfen eine herausragende Rolle, und Medienberichten zufolge verkaufen nicht autorisierte Händler den Zugang zu Claude mit erheblichen Preisnachlässen weiter.

Alibaba hat Claude Code wegen dieser Angelegenheit bereits gesperrt. Alibaba ist nicht nur einer der weltweit größten Einzelhändler und E-Commerce-Anbieter, sondern wurde 2020 auch als fünftgrößtes Unternehmen im Bereich der künstlichen Intelligenz eingestuft.

Entwickler, die befürchten, ins Visier zu geraten, können:

  • Erfassen Sie die Hash-Werte und Versionen der in sensiblen Umgebungen verwendeten KI-Clients und vermeiden Sie automatische Updates, ohne diese zumindest oberflächlich zu überprüfen.
  • Erfassen Sie mithilfe der Netzwerküberwachung alle Anfragen an KI-APIs in Testumgebungen und analysieren Sie diese anschließend auf versteckte oder unerwartete Merkmale, einschließlich Unicode-Anomalien in Systemaufforderungen.

Wie dieser Fall zeigt, kann die Entscheidung eines einzelnen Anbieters dazu führen, dass ein zuvor bewährtes Tool für manche Unternehmen inakzeptabel wird. Bewahren Sie sich Ihre Wahlmöglichkeiten und vermeiden Sie starre Abhängigkeiten von einem einzigen KI-Assistenten.


Stöbern Sie, als würde niemand zusehen. 

Malwarebytes Privacy VPN Ihre Verbindung und protokolliert niemals Ihre Aktivitäten, sodass Sie sich beim Lesen des nächsten Artikels nicht persönlich angesprochen fühlen müssen.Kostenlos testen → 

Über den Autor

Pieter Arntz

Malware-Forscher

War 12 Jahre in Folge Microsoft MVP im Bereich Verbrauchersicherheit. Spricht vier Sprachen. Riecht nach edlem Mahagoni und ledergebundenen Büchern.