MIIT-Warnung zu Claude Code: Backdoor-Risiko in v2.1.91–2.1.196 — Steganographie, DSGVO und Egress-Filter für IT-Teams
8. Juli 2026: Das chinesische Ministerium für Industrie und Informationstechnologie (MIIT) veröffentlichte über die Plattform NVDB eine Risikomeldung zu Claude Code in den Versionen v2.1.91 bis v2.1.196 — offiziell als schwerwiegendes Backdoor-Risiko eingestuft. Unabhängige Reverse-Engineering-Berichte zeigen: Bei gesetztem ANTHROPIC_BASE_URL auf nicht-offizielle Proxys kodierte die CLI Umgebungsfingerabdrücke per Steganographie im Systemprompt und sandte sie ohne Nutzerzustimmung an Anthropic-Server. Für europäische IT-Verantwortliche ist das kein abstraktes Fernost-Thema: DSGVO-relevante Datenverarbeitung ohne Transparenz, hohe lokale Privilegien und fehlende Changelog-Offenlegung treffen direkt auf Egress-Governance und Lieferanten-Audits. Führen Sie jetzt claude --version und echo $ANTHROPIC_BASE_URL aus — bevor Sie die Entscheidungsmatrix weiter unten lesen.
Kurzfassung (TL;DR)
- Regulatorik: MIIT/NVDB, 8. Juli 2026 — Backdoor-Risiko, schwere Gefährdung; betroffen v2.1.91–2.1.196.
- Trigger: Nur bei
ANTHROPIC_BASE_URL≠api.anthropic.com; offizielle API-Nutzer nicht im Steganographie-Pfad. - Technik: Zeitzonen-Reconnaissance, 147-Einträge-Blacklist (XOR 91 + Base64), Prompt-Steganographie — kein regulärer Telemetry-Kanal.
- Reaktionen: Anthropic v2.1.197 (2. Juli); Alibaba-Verbot ab 10. Juli, Wechsel zu Qoder.
- Maßnahmen: Version → BASE_URL → Upgrade/Deinstallation → Egress-Filter und DSGVO-Dokumentation.
1. Drei Compliance-Schmerzpunkte für Entwickler und Datenschutzbeauftragte
- Regulatorische Einordnung vs. technische Präzision. NVDB spricht von „Backdoor“ — Reverse Engineering zeigt jedoch eine bedingte Aktivierung nur bei nicht-offiziellem
ANTHROPIC_BASE_URL. Ohne diese Nuance riskieren IT-Abteilungen pauschale Verbote und verschwenden Audit-Ressourcen; mit Nuance bleibt die DSGVO-Problematik undeclared Verarbeitung für Proxy-Nutzer bestehen. - Undeclared Verhalten in einem Hochprivileg-CLI. Claude Code liest Repositories, führt Shell-Befehle aus und schreibt Dateien. Drei Monate und ~20 Versionen ohne Changelog-Hinweis — Steganographie im Systemprompt ist für Nutzer und SOC-Teams schwerer zu erkennen als Datadog/OpenTelemetry-Spuren.
- Egress-Kontrolle wird zur Pflicht, nicht zur Option. Alibaba verbietet Claude Code ab 10. Juli 2026 unternehmensweit. Wer über Firmen-Gateways oder regionale Proxys routet, gehört zur expliziten Zielgruppe. Upgrade auf v2.1.197+ entfernt den Code, beantwortet aber nicht, ob historische Requests bereits geflaggt wurden — Egress-Logs und Lieferanten-Nachweise werden zur Compliance-Baseline.
2. Zeitachse: von Anti-Distillation bis MIIT-Warnung
| Datum | Ereignis |
|---|---|
| Feb. 2026 | Anthropic kündigt Investitionen in Anti-Distillation-Technologien an |
| März 2026 | Verdeckte Erkennungslogik intern aktiviert — ohne öffentliche Ankündigung |
| 2026-04-02 | v2.1.91 veröffentlicht; Steganographie-Code im Release-Train |
| Apr.–Jun. 2026 | ~20 Versionen; Logik persistent; Changelog schweigt |
| 2026-06-29 | v2.1.196 — letzte betroffene Version |
| 2026-06-30 | Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) bestätigen v2.1.193–196 |
| 2026-07-01 | Thariq Shihipar (Anthropic) gibt Experiment auf X zu; Rollback angekündigt |
| 2026-07-02 | v2.1.197 (teilw. v2.1.198 in CN-Medien) — Code entfernt, Changelog ohne Eintrag |
| 2026-07-03/04 | Reuters, TechCrunch: Alibaba-Verbot ab 10. Juli, Wechsel zu Qoder |
| 2026-07-08 | MIIT/NVDB — offizielle Backdoor-Risiko-Warnung |
| 2026-07-10 | Alibaba-internes Verbot tritt in Kraft |
3. NVDB-Meldung im Detail
| Feld | Inhalt |
|---|---|
| Herausgeber | MIIT — Plattform für Cyber-Bedrohungs- und Schwachstelleninformation (NVDB) |
| Datum | 8. Juli 2026 |
| Produkt | Claude Code (Anthropic, USA) |
| Einordnung | Sicherheits-Backdoor-Risiko, schwere Gefährdung |
| Beschreibung | Integrierte Überwachungslogik überträgt ohne Zustimmung Standort- und Identifikationsdaten an Remote-Server |
| Betroffene Versionen | v2.1.91 – v2.1.196 (2. April – 29. Juni 2026) |
| Empfehlung | Entwickler-Terminals prüfen → deinstallieren oder upgraden → Egress-Kontrolle und Traffic-Monitoring verstärken |
| Unternehmensreaktion | Alibaba und weitere Großkonzerne schränken Nutzung ein oder verbieten das Tool |
4. Wer ist wirklich betroffen? (Entmystifizierung)
Die zentrale technische Tatsache: Die Logik greift nicht für alle Claude-Code-Nutzer.
Aktivierung nur wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpunkt zeigt — Unternehmens-Gateway, Drittanbieter-Proxy, API-Weiterverkauf. Direktverbindung zu api.anthropic.com ohne Custom-Base-URL: kein Steganographie-Pfad.
Schlagzeilen wie „Claude Code überwacht alle Nutzer“ sind technisch falsch und schaden der Glaubwürdigkeit von Compliance-Berichten. Die schwere NVDB-Einordnung betrifft dennoch das Faktum undeclared Covert Channels in einem privilegierten CLI — unabhängig von der Nutzerzahl im Trigger-Pfad.
Dokumentierte Folgen: vor allem Konto-Sanktionen und Missbrauchserkennung, keine bestätigte Massen-Exfiltration lokaler Dateien.
5. Technischer Mechanismus — drei Schritte
Nach LegitMichel777, Thereallo, Adnane Khan und Vincent Schmalbach:
Schritt 1: Umgebungs-Reconnaissance
- Systemzeitzone:
Asia/ShanghaioderAsia/Urumqi - Proxy-Hostname: Abgleich mit eingebetteter Liste (~147 Einträge)
Blacklist: chinesische Tech-Domains (Alibaba, Alipay, Ant, Baidu, ByteDance), KI-Lab-Keywords (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI) und bekannte API-Reseller. Verschleierung: Base64 + XOR(91) — strings allein reicht nicht.
Schritt 2: Steganographie im Systemprompt
- Datumsseparator: China-Zeitzone →
2026/06/30statt2026-06-30 - Unicode-Apostrophe: in
Today's date is— U+0027, U+2019, U+02BC, U+02B9 kodieren Domain-/Lab-Treffer
Adnane Khan: „a covert information channel embedded in system prompts“ — ~3 Bit Umgebungsinfo pro Request, für Menschen unsichtbar.
Schritt 3: Serverseitige Auswertung
Anthropic-Server parsen die Signale → Identifikation von Proxy-Nutzern, Resellern, Distillation-Pipelines → Kontobeschränkungen. Motiv nachvollziehbar; Mittel undeclared und verschleiert — Kern der Vertrauens- und Regulierungskrise.
6. Abgrenzung zu normaler Telemetrie
- Steganographie statt auditierbarem Telemetry-Kanal
- Null Changelog-Offenlegung über ~3 Monate / ~20 Releases
- Gezieltes Geo-/Wettbewerbs-Fingerprinting, nicht aggregierte Crash-Reports
- Hochprivilegiertes CLI mit Dateisystem- und Shell-Zugriff — höhere Erwartung an Transparenz (DSGVO Art. 5: Transparenz, Rechenschaftspflicht)
Vertiefung Unicode-Mapping: Claude-Code-Steganographie-Analyse.
7. Versionstabelle und Prüfbefehle
| Meilenstein | Version | Datum |
|---|---|---|
| Erste Version mit verdeckter Logik | v2.1.91 | 2026-04-02 |
| Letzte betroffene Version | v2.1.196 | 2026-06-29 |
| Fix-Release | v2.1.197 (CN-Medien teils v2.1.198) | 2026-07-01/02 |
| Sicherheitsbasis | v2.1.197 oder höher | |
# Version prüfen
claude --version
# Proxy-Endpunkt prüfen (Steganographie-Trigger)
echo $ANTHROPIC_BASE_URL
# Upgrade
npm install -g @anthropic-ai/claude-code@latest
# oder
claude update
# npm-Paketversion
npm list -g @anthropic-ai/claude-code
Deinstallation — Restpfade:
- macOS/Linux:
~/.claude,~/.claude.json,~/.cache/claude-code,~/.config/claude-code - Windows:
%USERPROFILE%\.claude,%USERPROFILE%\.claude.json
8. Stellungnahmen und Medienvergleich
MIIT / NVDB
Backdoor-Risiko, schwere Gefährdung; Überwachung ohne Zustimmung; Empfehlung: Terminal-Audit, Deinstallation/Upgrade, Egress-Kontrolle.
Anthropic / Thariq Shihipar
„This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release.“
Einordnung als Experiment, nicht Backdoor. Kontext: Brief an US-Senate Banking Committee — Vorwurf, Alibabas Qwen-Team nutzte ~25.000 betrügerische Konten für 28,8 Mio. Interaktionen zur Modell-Distillation.
Alibaba
Interne Mitteilung (SCMP, Ars Technica): „As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities.“ Ab 10. Juli 2026 Verbot für Claude Code und Anthropic-Modelle (Sonnet, Opus, Fable); Alternative: Qoder.
Medienvergleich
| Quelle | Schlüsselbegriff | Narrativ |
|---|---|---|
| MIIT / NVDB | Backdoor / schwere Gefährdung | Compliance, Datenexfiltration |
| CNBC / Reuters | Security backdoor; monitoring mechanism | Regulatorik + Unternehmensreaktion |
| The Register | Covert code; secret steganography | Technische Accountability |
| Ars Technica | Spyware-like tracking | Vertrauenskrise |
| Cybernews | „A nothing burger“ | Überreaktion; legitimes Anti-Distillation-Engineering |
| Anthropic | Experiment; anti-abuse | Defensiver Zweck; geplanter Rollback |
9. Distillation und geopolitischer Kontext
Teil der US-China-KI-Rivalität 2026. Anthropic blockiert China-Zugang; Umgehung via VPN und Proxys. Februar 2026: PKU/CAS-Forschung zu Distillation-Spuren in chinesischen LLMs. Anthropic beschuldigte DeepSeek, Moonshot, MiniMax, Alibaba — Qwen-Vorwürfe im Senatsbrief verstärken die Ironie der „China-User-Erkennung“. Opus 4.8 identifizierte sich in Tests teils als Qwen/DeepSeek — Doppelstandard-Debatte.
Alibaba Qoder symbolisiert den Shift zu domestic stacks. Regulierung, Unternehmensverbote und Anthropics „Experiment“ sind verkettet — kein isoliertes Spyware-Drama.
10. Fakten-Checkliste vor Veröffentlichung
- Nicht alle Nutzer betroffen —
ANTHROPIC_BASE_URL-Qualifikation in Headlines. - Fix-Version: v2.1.197 primär, v2.1.198 in CN-Medien — Basis „2.1.197+“.
- „Backdoor“ = regulatorisch; technisch Steganographie/covert channel; Anthropic = Experiment.
- Folge: Kontorisiko, keine bestätigte Massen-Exfiltration.
- Versionsdaten in Medien leicht abweichend —
claude --versionist maßgeblich.
11. Entscheidungsmatrix
| Szenario | Risiko | Empfehlung | Anmerkung |
|---|---|---|---|
| Einzelentwickler, offizielle API | Niedrig | Upgrade auf 2.1.197+; BASE_URL prüfen | Steganographie-Pfad nicht aktiv; Hygiene-Upgrade sinnvoll |
| Unternehmens-IT / DSB | Hoch | Terminal-Inventar; Software-Allowlist; Egress-Filter; NVDB-Dokumentation; Alternativen (Qoder, genehmigte IDEs) | Alibaba als Präzedenzfall; DSGVO-Verarbeitungsverzeichnis aktualisieren |
| Proxy-/Gateway-Nutzer | Hoch | Sofort upgraden/deinstallieren; BASE_URL-Historie; Konto-Compliance prüfen | Einzige Gruppe mit aktivem Trigger — Priorität 1 |
| Offizielle API + regulierte Branche | Mittel | Versionsbaseline; isolierter Entwicklungsknoten; Lieferanten-Audit | Hohes Privileg trotz fehlendem Steganographie-Trigger |
12. Fünfstufige Prüfung (How-to)
- Version:
claude --version— Intervall v2.1.91–2.1.196? - BASE_URL:
echo $ANTHROPIC_BASE_URL; Shell-Profile, IDE, CI-Secrets prüfen. - Upgrade:
npm install -g @anthropic-ai/claude-code@latestoderclaude update→ ≥ v2.1.197. - Deinstallation: Bei Verbot: Paket + Restverzeichnisse löschen (siehe oben).
- Egress-Audit: Ausgehenden Traffic auf nicht genehmigte KI-API-Endpunkte filtern und protokollieren; Ergebnis für DSGVO/ISMS dokumentieren.
13. IT-Compliance-Checkliste (DSGVO & Egress)
- Asset-Inventar: Claude-Code-Installationen und Versionen (Fokus 2.1.91–2.1.196) auf Laptops, CI, Remote Desktops.
- Umgebungsvariablen-Audit:
ANTHROPIC_BASE_URL, Proxy-Configs,.env-Dateien. - Software-Governance: Allow/Deny-Liste; Referenz Alibaba Hochrisiko-Einstufung.
- Egress-Filtering: Entwicklungs-VLAN nur genehmigte KI-API-Domains; Anthropic-Domains über auditierbaren Proxy.
- Least Privilege: Keine Produktions-DB-Credentials im selben User-Kontext wie AI-CLI.
- Incident Response: Bei betroffener Version + nicht-offiziellem BASE_URL: Konto-Review, Credential-Rotation, Log-Sicherung.
- Lieferantenkommunikation: Anthropic-Sicherheitserklärung anfordern; NVDB/Changelog verfolgen.
- Schulung: Interne Meldung mit Trigger-Bedingung — keine Panik-Deinstallation ohne Datenbasis.
14. FAQ
Hat Claude Code wirklich eine Backdoor?
NVDB: ja, als schwerwiegendes Risiko. Technisch: Steganographie in v2.1.91–2.1.196. Anthropic: März-Experiment, entfernt in v2.1.197.
Welche Versionen?
v2.1.91 (2026-04-02) bis v2.1.196 (2026-06-29). Basis: 2.1.197+.
Offizielle API betroffen?
Nein — nur bei nicht-offiziellem ANTHROPIC_BASE_URL.
Version prüfen?claude --version.
Deinstallieren?
Einzelnutzer: upgraden. Unternehmen: ggf. deinstallieren + Egress-Audit.
Steganographie?
Datumsseparator + Unicode-Apostrophe im Systemprompt.
Alibaba-Verbot?
Hochrisiko-Liste; ab 10. Juli 2026 → Qoder.
Changelog?
Keine Offenlegung bis Community-RE am 30. Juni.
Jetzt sicher?
Code entfernt in 2.1.197+; Vertrauen = Organisationsentscheidung.
Distillation?
Anti-Reseller/Anti-Distillation-Motiv; Qwen-Senatsvorwürfe als Kontext. Vollständige FAQ im JSON-LD oben.
15. Quellen
- CNBC: China warns about AI risks with Anthropic's Claude Code
- The Register: China — ditch older Claude versions with backdoor code
- The Register: Anthropic removing covert code
- Ars Technica: Secret Claude tracker
- TechCrunch: Alibaba bans Claude Code
- Thereallo: Steganographically Marking Requests
- IT之家: MIIT NVDB advisory
- 新京报: MIIT backdoor warning
- Cybernews: fair detection?
- MIIT NVDB offizielle Risikomeldung (2026-07-08)
16. Haftungsausschluss
Dieser Artikel basiert auf öffentlichen NVDB-Meldungen, Anthropic-Stellungnahmen und unabhängiger Sicherheitsforschung. Er dient der Information und ersetzt keine Rechts-, DSGVO- oder Sicherheitsaudit-Beratung. Maßnahmen vor Durchsetzung mit interner Compliance abstimmen. Stand: 2026-07-09.
17. SFTPMAC Remote-Mac-Brücke
MIIT-Warnung plus Alibaba-Verbot zeigen: KI-Programmiertools sind Supply-Chain- und Terminal-Governance-Thema. Pragmatisch heißt das nicht „alles deinstallieren“, sondern Hochprivileg-CLI vom Alltags-Mac trennen: dedizierter, auditierbarer Knoten für Claude Code oder Alternativen; lokaler Rechner synchronisiert nur Code-Artefakte per SFTP/rsync.
Lokale MacBooks vermischen Umgebungsvariablen, Proxy-Configs und Browser-Credentials — Egress pro Tool schwer filterbar. Wer jemals nicht-offizielles ANTHROPIC_BASE_URL nutzte, sollte Upgrade und Log-Sicherung in einer isolierten Umgebung durchführen, nicht neben Produktions-Signing-Keys.
Stabilere Architektur: dedizierter Remote-Mac-Knoten mit Egress-Policy, Versions-Baseline und 7×24-Verfügbarkeit — konsistent mit Steganographie-Tiefenanalyse und JADEPUFFER-Sicherheitsleitfaden. SFTPMAC Remote-Mac-Miete: SSH/SFTP-Isolation, launchd, Egress-Anbindung — unter Regulierungsdruck kontrollierbarer als Patch-Roulette auf dem Laptop.