Zielgruppe: Entwickler mit Claude Code, Teams über Unternehmens-Gateways oder Drittanbieter-Proxies, sowie Führungskräfte, die regulatorische Einordnung und Datenschutz-Compliance bewerten müssen. Am 8. Juli 2026 warnte das chinesische MIIT über die Plattform NVDB vor Anthropic Claude Code v2.1.91–2.1.196 als sicherheitsrelevante Backdoor-Gefahr mit schwerwiegenden Folgen. Sie erhalten: vollständige Timeline, NVDB-Kernpunkte, Klärung der ANTHROPIC_BASE_URL-Triggerbedingung, 3-stufige Steganografie, Stellungnahmen und Medienvergleich, Versions-/Upgrade-/Deinstall-Befehle, persönliche 6-Schritte- und Unternehmens-4-Schritte-Checklisten. Aufbau: TL;DR, sechs Problemfelder, Technik, Faktencheck, Hard Data, FAQ, MACCOME-Brücke.
TL;DR — 30 Sekunden
ANTHROPIC_BASE_URL ≠ api.anthropic.com.claude --version und echo $ANTHROPIC_BASE_URL ausführen; bei Treffer upgraden oder deinstallieren (siehe Befehlsblock).Am 8. Juli 2026 stufte das MIIT/NVDB Anthropic Claude Code als sicherheitsrelevante Backdoor-Gefahr mit schwerwiegenden Folgen ein — die erste offizielle chinesische Regulierungsaussage zu diesem Vorfall. Die Kette: Anthropic März (verdeckte Erkennung) → April (Verteilung) → Juni (Reverse Engineering) → Juli (Rollback) → Alibaba-Verbot → MIIT-Qualifizierung. Wer bereits den Steganografie-Tiefenartikel gelesen hat, findet hier die NVDB-Regulierungsachse mit Handlungsschritten; beide Artikel ergänzen sich.
ANTHROPIC_BASE_URL auf Nicht-Standard-Endpunkte.strings reicht nicht — vollständiges RE nötig.Kurzdefinition: Kein nachgewiesener Massen-Leak, sondern unoffengelegte Klassifikation + regulatorische Qualifizierung + Konzernverbot. Priorität: Versions- und base-URL-Check — kein Panik-Verbot, kein Wegschauen.
In der Entscheidungsmatrix für Coding-Assistenten eine Zeile „verdecktes Client-Verhalten / Regulierungsfall“ ergänzen.
ANTHROPIC_BASE_URL als SchalterWenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpunkt zeigt (Unternehmens-Gateway, Reseller-Proxy, Reverse Proxy), dann aktiviert sich die Logik. Wenn der Standard api.anthropic.com gilt, dann nicht.
Priorität: Reseller/Aggregator-Teams; DevOps mit Custom base URL in CI/Agent-Hosts; Organisationen mit Compliance-Proxy; Versionen 2.1.91–2.1.196 ohne Upgrade.
Geringeres Risiko: Offizielle API, v2.1.197+, kein Custom base URL — dennoch claude --version prüfen (npm-Drift).
Drei Schritte. Details: Steganografie-Artikel.
Asia/Shanghai oder Asia/UrumqiANTHROPIC_BASE_URL vs. Blacklist (147 Einträge)Speicherung: Base64 + XOR(91).
2026-06-30 → 2026/06/30 bei China-ZeitzoneToday's: U+0027 / U+2019 / U+02BC / U+02B9Vermutete Nutzung: Reseller-Erkennung, Destillations-Pipelines, Account-Risk. Direkte Folge oft Account-Sperre, kein belegter Datei-Leak — Fokus auf Datenschutz- und Transparenzrisiko, nicht auf übertriebene Leak-Narrative.
Cybernews zitiert „a nothing burger“ — wir zeigen beide Seiten.
Backdoor-Gefahr, schwerwiegende Folgen; Prüfung, Deinstallation/Upgrade, Egress-Kontrolle.
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
„experiment“, nicht „backdoor“. Hintergrund: Qwen ~25.000 betrügerische Konten, 28,8 Mio. Interaktionen — Anthropic Series H.
Hochrisiko-Software; Claude Code und Anthropic-Modelle verboten; Qoder als Alternative.
| Quelle | Schlüsselbegriffe | Fokus |
|---|---|---|
| NVDB/MIIT | backdoor code / schwerwiegende Backdoor-Gefahr | Compliance, Datenabfluss; behördliche Maßnahmen |
| CNBC/Reuters | security backdoor / built-in monitoring | Neutrale Regulierungsberichte + Unternehmensfolgen |
| The Register | covert code / secret steganography | Technische Kritik, fehlende Changelog-Transparenz |
| Ars Technica | spyware-like tracking / secret tracker | Vertrauenskrise, Policy |
| Cybernews | "a nothing burger" | Überreaktion; Anti-Destillation-Engineering |
| Anthropic | experiment / anti-abuse / anti-distillation | Legitimes Abwehrziel |
Konsens: Ziel nachvollziehbar, Methode inakzeptabel — Unicode-Steganografie untergräbt Vertrauen schneller als Benchmarks.
Faktencheck — 5 Punkte
ANTHROPIC_BASE_URL.claude --version maßgeblich.| Typ | Version | Datum | Hinweis |
|---|---|---|---|
| Erste betroffene | v2.1.91 | 2026-04-02 | Verteilung beginnt |
| RE-verifiziert | v2.1.193/195/196 | 2026-06 | Khan, Thereallo |
| Letzte betroffene | v2.1.196 | 2026-06-29 | NVDB-Obergrenze |
| Fix | v2.1.197+ | 2026-07-01/02 | Steganografie entfernt; changelog still |
| Bedingung | Datum | Apostroph | Unicode |
|---|---|---|---|
| Default | 2026-06-30 |
' |
U+0027 |
| China-Domain/Reseller | 2026-06-30 |
’ | U+2019 |
| AI-Lab-Keyword | 2026-06-30 |
ʼ |
U+02BC |
| Domain + Lab | 2026-06-30 |
ʹ |
U+02B9 |
| + China-Zeitzone | 2026/06/30 |
(s. o.) | — |
# 1. Version prüfen claude --version # 2. Proxy-Endpunkt prüfen echo $ANTHROPIC_BASE_URL # 3. Global upgraden npm install -g @anthropic-ai/claude-code@latest # 4. Built-in Update claude update
Deinstallation — Restpfade: macOS/Linux ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows %USERPROFILE%\.claude usw. Unternehmen: Egress-Audit für nicht autorisierte AI-Endpunkte.
claude --version — Wenn 2.1.91–2.1.196, dann Hochrisiko.echo $ANTHROPIC_BASE_URL — Wenn ≠ leer und ≠ api.anthropic.com, dann Proxy-Historie prüfen.~/.claude* löschen.ANTHROPIC_BASE_URL-Liste.Kern: verteidigbares Ziel, indefensible Verheimlichung. NVDB, Anthropic, Community — drei Vokabulare, ein Supply-Chain-Risiko 2026.
(a) Totalverbot bricht MCP/hook-Workflows. (b) Fehlende Selbstprüfung = Audit-Lücke. (c) Hochprivilegierter Agent auf dem Alltags-MacBook mit Browser und Produktions-Keys maximiert den Blast Radius — auch unter DSGVO-Gesichtspunkten (Datenminimierung, Zweckbindung).
Nach Upgrade, base-URL-Policy und Egress-Audit ist Host-Isolation meist der nächste Engpass. Wenn Sie SSH in Minuten, planbare Monatskosten und minimal privilegierte Claude-Code-Agenten auf macOS ohne Browser-/Key-Mix brauchen, dann ist ein MACCOME Mac Mini M4 Cloud-Host oft die stabilere Option — echtes Apple Silicon, launchd-taugliche Uptime, getrennte Zeitzone/base URL. Preise: Mietpreise; Betrieb: Hilfe & FAQ.
Bleiben Sie skeptisch, bis Verhalten reproduzierbar, dokumentiert und abschaltbar ist. Fordern Sie Offenlegung statt Steganografie. Behandeln Sie jeden CLI-Agenten als Hochrechte-Software.
Haftungsausschluss: Analyse auf Basis von NVDB, Anthropic, unabhängiger Forschung und Medien — keine Rechts- oder Audit-Beratung. Maßnahmen vor Umsetzung mit Ihrer Sicherheitsrichtlinie und ggf. Datenschutz-Beauftragtem abstimmen.
FAQ
Hat Claude Code wirklich eine Backdoor?
v2.1.91–2.1.196: changelog-unbekannte Steganografie-Logik. NVDB 8.7.: schwerwiegende Backdoor-Gefahr. Shihipar: experiment, v2.1.197 entfernt. Präziser: covert channel.
Welche Versionen sind betroffen?
v2.1.91 (04-02) bis v2.1.196 (06-29). Sofort v2.1.197+. Tabelle.
Werden api.anthropic.com-Nutzer überwacht?
Nein. Nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Betroffene.
Version prüfen?
claude --version oder npm list -g @anthropic-ai/claude-code. Befehle.
Deinstallieren?
Zuerst Upgrade auf 2.1.197+. Unternehmen optional Deinstall, Reste, Egress-Audit.
Welche Steganografie?
Today's date is... manipuliert; U+0027/2019/02BC/02B9. Mapping, Tiefenartikel.
Warum Alibaba-Verbot?
Hochrisiko, ab 10.7.2026 intern verboten → Qoder.
Release Notes?
Nein. 2.1.91–196 ohne Eintrag; 2.1.197-Entfernung undokumentiert.
Jetzt sicher?
Code ab v2.1.197+ entfernt. Nutzung = Risikotoleranz. Isolation: MACCOME Mietpreise.
Destillation?
Anti-Reselling/-Destillation. Qwen 25k Konten, 28,8 Mio. Interaktionen. Kontext.