Claude Code Backdoor erklärt (v2.1.91–2.1.196): Steganografie, betroffene Versionen & Maßnahmen

ca. 16 Min. Lesezeit · MACCOME

Zielgruppe: Entwickler mit Claude Code, Teams über Unternehmens-Gateways oder Drittanbieter-Proxies, sowie Führungskräfte, die regulatorische Einordnung und Datenschutz-Compliance bewerten müssen. Am 8. Juli 2026 warnte das chinesische MIIT über die Plattform NVDB vor Anthropic Claude Code v2.1.91–2.1.196 als sicherheitsrelevante Backdoor-Gefahr mit schwerwiegenden Folgen. Sie erhalten: vollständige Timeline, NVDB-Kernpunkte, Klärung der ANTHROPIC_BASE_URL-Triggerbedingung, 3-stufige Steganografie, Stellungnahmen und Medienvergleich, Versions-/Upgrade-/Deinstall-Befehle, persönliche 6-Schritte- und Unternehmens-4-Schritte-Checklisten. Aufbau: TL;DR, sechs Problemfelder, Technik, Faktencheck, Hard Data, FAQ, MACCOME-Brücke.

bolt

TL;DR — 30 Sekunden

  • Regulierung: NVDB (8.7.): eingebaute, nicht offengelegte Überwachung; Rückübertragung von Region und Identifikatoren möglich — sofort prüfen, deinstallieren oder upgraden.
  • Betroffene Versionen: v2.1.91 (2026-04-02) bis v2.1.196 (2026-06-29); Fix: v2.1.197+ (1.–2. Juli).
  • Wichtige Einschränkung: Logik nicht für alle Nutzer — nur wenn ANTHROPIC_BASE_URLapi.anthropic.com.
  • Unternehmensfolge: Alibaba verbietet ab 10.7. intern Claude Code und Anthropic-Modelle; Wechsel zu Qoder.
  • Sofort: claude --version und echo $ANTHROPIC_BASE_URL ausführen; bei Treffer upgraden oder deinstallieren (siehe Befehlsblock).

Sechs Problemfelder: Vertrauenskette von Reddit bis MIIT

Am 8. Juli 2026 stufte das MIIT/NVDB Anthropic Claude Code als sicherheitsrelevante Backdoor-Gefahr mit schwerwiegenden Folgen ein — die erste offizielle chinesische Regulierungsaussage zu diesem Vorfall. Die Kette: Anthropic März (verdeckte Erkennung) → April (Verteilung) → Juni (Reverse Engineering) → Juli (Rollback) → Alibaba-Verbot → MIIT-Qualifizierung. Wer bereits den Steganografie-Tiefenartikel gelesen hat, findet hier die NVDB-Regulierungsachse mit Handlungsschritten; beide Artikel ergänzen sich.

  1. Clickbait vs. Technik: „Claude Code überwacht alle chinesischen Nutzer“ ist laut Reverse-Engineering-Konsens falsch — nur bei gesetztem ANTHROPIC_BASE_URL auf Nicht-Standard-Endpunkte.
  2. ~3 Monate ohne Offenlegung: Seit v2.1.91 (2.4.2026), ~20 Releases, kein changelog-Eintrag. v2.1.197 (1.7.) still entfernt, ohne explizite Ankündigung.
  3. Steganografie statt Telemetrie: Manipulation von system prompt (Datum, Unicode-Apostroph) — Adnane Khan: covert channel, kein dokumentiertes usage telemetry.
  4. 147 obfuskierte Regeln: XOR(91) + Base64; Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax u. a.; strings reicht nicht — vollständiges RE nötig.
  5. Hohe Rechte: Dateizugriff, Shell, MCP — unoffengelegte Fingerprints werden in Compliance-Reviews als Backdoor-Risiko eingestuft, nicht als „normale Datenerhebung“.
  6. Unternehmensreaktion: Reuters/TechCrunch — Alibaba ab 10.7. internes Verbot von Claude Code und Sonnet/Opus/Fable.

Kurzdefinition: Kein nachgewiesener Massen-Leak, sondern unoffengelegte Klassifikation + regulatorische Qualifizierung + Konzernverbot. Priorität: Versions- und base-URL-Check — kein Panik-Verbot, kein Wegschauen.

In der Entscheidungsmatrix für Coding-Assistenten eine Zeile „verdecktes Client-Verhalten / Regulierungsfall“ ergänzen.

Timeline: Februar 2026 — 10. Juli 2026

  • Feb. 2026: Anthropic investiert in Anti-Destillations-Technologien.
  • März 2026: Verdeckte Erkennung in Claude Code, ohne Public Disclosure.
  • 2026-04-02: v2.1.91 — Verteilung beginnt.
  • 2026-04-02 bis 06-29: ~20 Versionen, changelog schweigt.
  • 2026-06-29: v2.1.196 — letzte betroffene Version.
  • 2026-06-30: Reddit LegitMichel777; Thereallo (thereallo.dev); Adnane Khan (GitHub) bestätigt v2.1.193/195/196.
  • 2026-07-01: Thariq Shihipar (X) bestätigt „experiment“; Rollback versprochen.
  • 2026-07-02: v2.1.197 — Code entfernt, changelog ohne expliziten Hinweis.
  • 2026-07-03/04: Reuters/TechCrunch — Alibaba ab 10.7. Verbot, Qoder.
  • 2026-07-08: NVDB-Warnung.
  • 2026-07-10: Alibaba-Verbot wirksam.

NVDB-Kernpunkte

Laut IT之家, 新京报:

  • Art: Eingebaute Überwachung, ohne Einwilligung Rückübertragung sensibler Daten.
  • Inhalt: Region, Identifikatoren (entspricht Steganografie-Signalen).
  • Versionen: v2.1.91–v2.1.196 (2.4.–29.6.2026).
  • Empfehlung: Endgeräte prüfen → deinstallieren oder auf sichere Version upgradenEgress-Kontrolle und Traffic-Monitoring.
  • Wortlaut: „sicherheitsrelevante Backdoor-Gefahr, schwerwiegende Folgen“ vs. Anthropic „experiment“.

Wer ist betroffen? ANTHROPIC_BASE_URL als Schalter

Wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpunkt zeigt (Unternehmens-Gateway, Reseller-Proxy, Reverse Proxy), dann aktiviert sich die Logik. Wenn der Standard api.anthropic.com gilt, dann nicht.

Priorität: Reseller/Aggregator-Teams; DevOps mit Custom base URL in CI/Agent-Hosts; Organisationen mit Compliance-Proxy; Versionen 2.1.91–2.1.196 ohne Upgrade.

Geringeres Risiko: Offizielle API, v2.1.197+, kein Custom base URL — dennoch claude --version prüfen (npm-Drift).

Technik: Zeitzonen-Check + 147 Regeln + Steganografie

Drei Schritte. Details: Steganografie-Artikel.

Schritt 1 — Umgebungserkennung

  1. Zeitzone Asia/Shanghai oder Asia/Urumqi
  2. Hostname von ANTHROPIC_BASE_URL vs. Blacklist (147 Einträge)

Speicherung: Base64 + XOR(91).

Schritt 2 — Steganografie (~3 Bit)

  • Datum: 2026-06-302026/06/30 bei China-Zeitzone
  • Apostroph in Today's: U+0027 / U+2019 / U+02BC / U+02B9

Schritt 3 — Server-Klassifikation (Inferenz)

Vermutete Nutzung: Reseller-Erkennung, Destillations-Pipelines, Account-Risk. Direkte Folge oft Account-Sperre, kein belegter Datei-Leak — Fokus auf Datenschutz- und Transparenzrisiko, nicht auf übertriebene Leak-Narrative.

Abgrenzung zu normaler Telemetrie (4 Punkte)

  1. Kanal: Steganografie im system prompt vs. reguläre SDK-Telemetrie
  2. Offenlegung: ~3 Monate ohne changelog; Entfernung undokumentiert
  3. Targeting: Gezielte Fingerprints (Region, Wettbewerber, Reseller) vs. aggregierte Metrics
  4. Kontext: Hohe Systemrechte — geringere Toleranz für unsichtbares Verhalten; relevant für DSGVO-Art.-5-Transparenz und Verarbeitungsverzeichnis

Cybernews zitiert „a nothing burger“ — wir zeigen beide Seiten.

Stellungnahmen: NVDB, Anthropic, Alibaba

MIIT/NVDB

Backdoor-Gefahr, schwerwiegende Folgen; Prüfung, Deinstallation/Upgrade, Egress-Kontrolle.

Anthropic / Thariq Shihipar

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

„experiment“, nicht „backdoor“. Hintergrund: Qwen ~25.000 betrügerische Konten, 28,8 Mio. Interaktionen — Anthropic Series H.

Alibaba (ab 10.7.2026)

Hochrisiko-Software; Claude Code und Anthropic-Modelle verboten; Qoder als Alternative.

Medienvergleich: backdoor vs. experiment vs. steganography

Quelle Schlüsselbegriffe Fokus
NVDB/MIIT backdoor code / schwerwiegende Backdoor-Gefahr Compliance, Datenabfluss; behördliche Maßnahmen
CNBC/Reuters security backdoor / built-in monitoring Neutrale Regulierungsberichte + Unternehmensfolgen
The Register covert code / secret steganography Technische Kritik, fehlende Changelog-Transparenz
Ars Technica spyware-like tracking / secret tracker Vertrauenskrise, Policy
Cybernews "a nothing burger" Überreaktion; Anti-Destillation-Engineering
Anthropic experiment / anti-abuse / anti-distillation Legitimes Abwehrziel

Kontext: US-China-Destillationskonflikt 2026

  • Anthropic blockiert direkten Zugang aus China — Umgehung via VPN/Proxy möglich
  • Feb. 2026: Peking/CAS-Paper zu Destillations-Spuren in chinesischen LLMs
  • Anthropic beschuldigt DeepSeek, Moonshot, MiniMax, Alibaba; Qwen: 25.000 Konten, 28,8 Mio. Interaktionen
  • Claude Opus 4.8 „hielt sich für Qwen/DeepSeek“ — Doppelstandard-Debatte
  • Trend zu Qoder, DeepSeek, Qwen; Alibaba Qoder auf Tool-Ebene

Konsens: Ziel nachvollziehbar, Methode inakzeptabel — Unicode-Steganografie untergräbt Vertrauen schneller als Benchmarks.

fact_check

Faktencheck — 5 Punkte

  • Keine Vollüberwachung: Nur Custom ANTHROPIC_BASE_URL.
  • Fix: Meist v2.1.197 (1.7.), teils v2.1.198 — „2.1.197+“.
  • „Backdoor“ = Regulierung: Technisch: covert channel; Anthropic: experiment.
  • Folge = Account-Risk: Kein belegter Datei-Leak — Datenschutz-Risiko fokussieren.
  • Datumsabweichung v2.1.196: 29./30.6. — claude --version maßgeblich.

Versionstabelle

Typ Version Datum Hinweis
Erste betroffene v2.1.91 2026-04-02 Verteilung beginnt
RE-verifiziert v2.1.193/195/196 2026-06 Khan, Thereallo
Letzte betroffene v2.1.196 2026-06-29 NVDB-Obergrenze
Fix v2.1.197+ 2026-07-01/02 Steganografie entfernt; changelog still

Unicode-Apostroph-Mapping (3 Bit)

Bedingung Datum Apostroph Unicode
Default 2026-06-30 ' U+0027
China-Domain/Reseller 2026-06-30 U+2019
AI-Lab-Keyword 2026-06-30 ʼ U+02BC
Domain + Lab 2026-06-30 ʹ U+02B9
+ China-Zeitzone 2026/06/30 (s. o.)

Selbstprüf-Befehle

bash
# 1. Version prüfen
claude --version

# 2. Proxy-Endpunkt prüfen
echo $ANTHROPIC_BASE_URL

# 3. Global upgraden
npm install -g @anthropic-ai/claude-code@latest

# 4. Built-in Update
claude update

Deinstallation — Restpfade: macOS/Linux ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code; Windows %USERPROFILE%\.claude usw. Unternehmen: Egress-Audit für nicht autorisierte AI-Endpunkte.

Checkliste: 6 persönliche + 4 Unternehmens-Schritte

Persönlich (6)

  1. claude --versionWenn 2.1.91–2.1.196, dann Hochrisiko.
  2. echo $ANTHROPIC_BASE_URLWenn ≠ leer und ≠ api.anthropic.com, dann Proxy-Historie prüfen.
  3. Sofort v2.1.197+ upgraden.
  4. Optional: Deinstall + ~/.claude* löschen.
  5. Optional: Prompt-Stichprobe — Steganografie-Artikel.
  6. Toolchain-Entscheidung dokumentieren; Isolations-Host erwägen.

IT/Sicherheit (4)

  1. Asset-Inventar: Versionen + ANTHROPIC_BASE_URL-Liste.
  2. 2.1.91–2.1.196 → 2.1.197+ oder NVDB-Deinstallation; MDM-Pinning.
  3. Egress-Logs; 147-Regel-Reseller-Domains (Threat Intel).
  4. Whitelist-Update — Vergleichsmatrix um Regulierungs-/Client-Verhalten erweitern; DSGVO-Fragebogen anpassen.

Drei Hard-Data-Punkte fürs Security-Briefing

  • 147 Regeln Base64+XOR(91) in v2.1.193/195/196; entfernt in v2.1.197 (1.7.2026).
  • HN 350+ Upvotes, 100+ Kommentare (30.6.2026).
  • Alibaba-Verbot ab 10.7.2026 — vollständige Anthropic-Produktlinie.

Fazit: Lokales Notebook vs. isolierter Agent-Host

Kern: verteidigbares Ziel, indefensible Verheimlichung. NVDB, Anthropic, Community — drei Vokabulare, ein Supply-Chain-Risiko 2026.

(a) Totalverbot bricht MCP/hook-Workflows. (b) Fehlende Selbstprüfung = Audit-Lücke. (c) Hochprivilegierter Agent auf dem Alltags-MacBook mit Browser und Produktions-Keys maximiert den Blast Radius — auch unter DSGVO-Gesichtspunkten (Datenminimierung, Zweckbindung).

Nach Upgrade, base-URL-Policy und Egress-Audit ist Host-Isolation meist der nächste Engpass. Wenn Sie SSH in Minuten, planbare Monatskosten und minimal privilegierte Claude-Code-Agenten auf macOS ohne Browser-/Key-Mix brauchen, dann ist ein MACCOME Mac Mini M4 Cloud-Host oft die stabilere Option — echtes Apple Silicon, launchd-taugliche Uptime, getrennte Zeitzone/base URL. Preise: Mietpreise; Betrieb: Hilfe & FAQ.

Bleiben Sie skeptisch, bis Verhalten reproduzierbar, dokumentiert und abschaltbar ist. Fordern Sie Offenlegung statt Steganografie. Behandeln Sie jeden CLI-Agenten als Hochrechte-Software.

Quellen

gavel

Haftungsausschluss: Analyse auf Basis von NVDB, Anthropic, unabhängiger Forschung und Medien — keine Rechts- oder Audit-Beratung. Maßnahmen vor Umsetzung mit Ihrer Sicherheitsrichtlinie und ggf. Datenschutz-Beauftragtem abstimmen.

FAQ

Hat Claude Code wirklich eine Backdoor?

v2.1.91–2.1.196: changelog-unbekannte Steganografie-Logik. NVDB 8.7.: schwerwiegende Backdoor-Gefahr. Shihipar: experiment, v2.1.197 entfernt. Präziser: covert channel.

Welche Versionen sind betroffen?

v2.1.91 (04-02) bis v2.1.196 (06-29). Sofort v2.1.197+. Tabelle.

Werden api.anthropic.com-Nutzer überwacht?

Nein. Nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Betroffene.

Version prüfen?

claude --version oder npm list -g @anthropic-ai/claude-code. Befehle.

Deinstallieren?

Zuerst Upgrade auf 2.1.197+. Unternehmen optional Deinstall, Reste, Egress-Audit.

Welche Steganografie?

Today's date is... manipuliert; U+0027/2019/02BC/02B9. Mapping, Tiefenartikel.

Warum Alibaba-Verbot?

Hochrisiko, ab 10.7.2026 intern verboten → Qoder.

Release Notes?

Nein. 2.1.91–196 ohne Eintrag; 2.1.197-Entfernung undokumentiert.

Jetzt sicher?

Code ab v2.1.197+ entfernt. Nutzung = Risikotoleranz. Isolation: MACCOME Mietpreise.

Destillation?

Anti-Reselling/-Destillation. Qwen 25k Konten, 28,8 Mio. Interaktionen. Kontext.