Regulatorische Warnung KI-Sicherheit 2026-07-09

NVDB-Warnung 2026: Claude Code Backdoor-Risiko (2.1.91–2.1.196) – Technikanalyse und Entwickler-Runbook

Wer ist betroffen? Mac- und iOS-Entwickler sowie IT-Security-Leiter, die am 8. Juli 2026 die NVDB-Einstufung „schwerwiegend“ zur Kenntnis nehmen mussten. Was liefert dieser Artikel? Vollständige Zeitachse, dreistufige Steganographie-Erklärung, Gegenüberstellung NVDB/Anthropic/Alibaba, Terminal-Befehle zur Versionsprüfung und ein siebenstufiges Compliance-Runbook. Enthalten: Versionsmatrix, Medienvergleich, Risikomatrix, persönliche und unternehmensweite Checklisten, zehn FAQ-Antworten und ein Validierungspfad über isolierte Mac-Miete.

NVDB-Warnung Claude Code 2.1.91 bis 2.1.196 Backdoor-Risiko Anthropic Steganographie 2026

⚠️ Dieser Artikel basiert auf der NVDB-Mitteilung vom 8. Juli 2026, öffentlichen Berichten (u. a. IT之家, Beijing News, People's Daily, 36Kr, CNBC) und dem Reverse-Engineering-Bericht von thereallo.dev. Anthropics Motive sind Community- und Medienanalysen, keine offizielle Regulierungsfeststellung. Datenstand: 9. Juli 2026. Technische Tiefe zur Steganographie: Claude Code Steganographie – Vollanalyse. Dieser Text fokussiert Regulierungsnarrativ und Unternehmens-Compliance.

01 · NVDB-Warnung auf einen Blick

Am 8. Juli 2026 veröffentlichte die National Vulnerability Database China (NVDB) unter dem MIIT eine Risikomeldung: Das von Anthropic entwickelte KI-Programmiertool Claude Code weise eine schwerwiegende Backdoor-Gefährdung auf. Betroffen sind die Versionen v2.1.91 bis v2.1.196. Eingebaute Überwachungslogik kann laut NVDB ohne Nutzereinwilligung Region, Identitätsmerkmale und weitere sensible Metadaten an entfernte Server übermitteln.

Dimension Kernpunkt
Regulatorische EinstufungNVDB stuft Claude Code erstmals offiziell als „schwerwiegend“ ein (08.07.2026)
Betroffene Versionen2.1.91 (Release 02.04.2026) bis 2.1.196 (29.06.2026) — insgesamt 106 Patch-Versionen
Fix-VersionAnthropic veröffentlichte am 1.–2. Juli 2.1.197 mit Entfernung; Stand 08.07. neueste Version 2.1.204
Technischer MechanismusPrompt-Steganographie: Datumsseparator + Unicode-Apostrophe + 147 XOR+base64-obfuskierte Domain-Regeln
Undisclosed-ZeitraumSeit März 2026 aktiv, bis Exposure am 30. Juni — ca. drei Monate ohne Changelog- oder Datenschutzhinweis
AuslösebedingungNur wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpunkt zeigt (Proxy, Gateway, Reseller)
UnternehmensreaktionAlibaba verbietet Claude Code ab 10. Juli im Büro; empfiehlt Qoder als Ersatz
Harte KennzahlenHN-Diskussion 350+ Punkte; Distillationsvorwurf: 25.000 Fake-Konten, 28,8 Mio. Dialoge (Anthropic-Behauptung)

02 · Drei zentrale Pain Points: Warum Entwickler und Unternehmen jetzt handeln müssen

  1. Regulatorische Einstufung ist Realität, Compliance-Kosten steigen. Die NVDB-Formulierung „schwerwiegend“ ist kein Clickbait — sie zwingt Unternehmen in China und Lieferketten mit CN-Exposure, bei Audits (ISO 27001, Lieferkettensicherheit, Software-Whitelists) nachzuweisen, dass Entwickler-Macs keine Version 2.1.91–2.1.196 tragen und Egress-Monitoring verschärft ist. Alibabas Verbot vom 10. Juli ist ein Frühindikator; weitere Tech-Konzerne könnten folgen. EU-Teams mit CN-Tochtergesellschaften oder Zulieferern sollten das als Präzedenz lesen.
  2. Covert Channels sind schwerer zu erkennen als Klartext-Exfiltration. Laut Reverse-Engineering versteckt sich das Signal in Interpunktion des System-Prompts — Datumsseparator wechselt von - zu /, der Apostroph in Today's rotiert zwischen vier Unicode-Codepoints. Firewalls und DLP scannen Payload-Keywords, nicht unsichtbare Zeichencodierung; Entdeckung erfordert Binär-Reverse-Engineering oder A/B-Vergleich der System-Prompts.
  3. Multi-Version-CLI auf dem Daily-Driver-Mac erzeugt Forensik-Chaos. Wer in der Produktionsumgebung offizielle und Proxy-Endpunkte vergleichen, ANTHROPIC_BASE_URL und Shell-Reste auditieren will, kämpft auf einem Mac mit Firmen-VPN, mehreren Homebrew-Node-Versionen und Keychain-Kontamination mit wochenlangem Debugging-Baseline-Drift — dieselbe Schmerzpunkte wie in der Steganographie-Technikanalyse, hier jedoch mit Fokus auf Regulierung und Unternehmens-Compliance.

03 · Vollständige Zeitachse (Februar–Juli 2026)

DatumEreignis
Februar 2026Spannungen zwischen Anthropic und chinesischen KI-Anbietern zu Modellzugang und Exportkontrolle (Fable 5) eskalieren; Unternehmen nutzen zunehmend Proxy-Gateways für Claude-API-Zugriff
März 2026Laut nachträglicher Aussage von Thariq Shihipar aktiviert das Claude-Code-Team eine „experimentelle“ Überwachungslogik gegen unautorisierten Weiterverkauf und Distillation
Anfang April 2026Anthropic beschuldigt öffentlich Alibabas Qwen-Team eines industriellen Distillationsangriffs: ca. 25.000 Fake-Konten, 28,8 Mio. Dialoge (April–Juni)
2. April 2026Claude Code v2.1.91 erscheint mit eingebauter Steganographie-Logik; Changelog erwähnt sie nie
ca. 18. April 2026Datenschutzberater Alexander Hanff deckt Claude Desktop auf: stilles Schreiben von Browser-Native-Messaging-Manifesten (Ereignis A, The Register)
April 2026Berater Noah Kenney bestätigt Reproduzierbarkeit von Ereignis A; Antiy Labs veröffentlicht Risikobericht zu Claude-Desktop-Hochprivileg-Kanälen
April–Juni 2026Claude Code iteriert 2.1.92–2.1.196; Steganographie bleibt aktiv und undisclosed in Release Notes
30. Juni 2026thereallo.dev veröffentlicht Reverse-Engineering-Bericht; Reddit → Hacker News (350+ Punkte)
1. Juli 2026Anthropic veröffentlicht v2.1.197; Medien berichten Entfernung der Steganographie; Changelog ohne klare Erwähnung
2. Juli 2026Thariq Shihipar gibt „experimentelle“ Maßnahme zu und kündigt Löschung an; Sicherheitsforscher Adnane Khan verifiziert Mechanismus unabhängig
3.–4. Juli 2026Alibaba-interne Mitteilung: ab 10. Juli vollständiges Verbot von Claude Code und Anthropic-Produkten; Empfehlung Qoder; Wall Street CN, 36Kr, Yicai berichten
8. Juli 2026NVDB veröffentlicht Risikomeldung, Einstufung „schwerwiegend“; IT之家, Beijing News, People's Daily, China Daily, CNBC berichten
10. Juli 2026Alibaba-Verbot tritt in Kraft; Mitarbeiter müssen Claude Code, Sonnet, Opus, Fable und weitere Anthropic-Produkte deinstallieren

04 · NVDB-Mitteilung und Handlungsempfehlungen

Kernformulierung der NVDB-Mitteilung (laut IT之家, Beijing News, People's Daily): Claude Code kann Code autonom schreiben und reparieren, enthält jedoch eine Überwachungslogik, die ohne Nutzereinwilligung Region, Identitätsmerkmale und weitere sensible Informationen an entfernte Server übermitteln kann.

Das NVDB gibt zwei Ebenen von Empfehlungen:

  1. Terminal-Inventar: Sofort alle Entwicklerterminals prüfen, ob Version 2.1.91–2.1.196 installiert ist; bei Treffer sofort deinstallieren oder upgraden auf eine Version ohne Backdoor-Code.
  2. Netzwerk-Kontrolle: Egress-Berechtigungen und Traffic-Monitoring für Entwicklungstools in Kernnetzsegmenten verschärfen, um unbefugten Datenabfluss zu verhindern.

Dies ist die erste explizite regulatorische Warnung des MIIT über NVDB zu einem ausländischen KI-Entwicklungstool — Claude Code wechselt von „Community-Kontroverse“ zu „Pflichtlektüre für Enterprise-Compliance“.

05 · Auslöser: Nur nicht-offizielle ANTHROPIC_BASE_URL aktiviert die Logik

Der wichtigste und am häufigsten falsch dargestellte technische Punkt. Laut thereallo.dev und unabhängiger Verifikation durch Adnane Khan:

Die Steganographie greift nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt. Typische Szenarien:

  • Unternehmens-API-Gateway oder Reverse Proxy (Weiterleitung zu Anthropic)
  • Drittanbieter-Reseller (OpenAI-kompatible Schicht, regionale Relay-Knoten)
  • Entwickler setzen Base URL in .zshrc, .bashrc oder CI-Umgebungsvariablen

Bei Direktverbindung zu https://api.anthropic.com bleibt die Zeile Today's date is... im System-Prompt unverändert. Das ist die entscheidende Grenze im Faktencheck — nicht „alle Claude-Code-Nutzer werden überwacht“.

06 · Steganographie in drei Schritten

Ist die Auslösebedingung erfüllt, bettet Claude Code bei jedem API-Request drei Ebenen verdeckter Signale in den System-Prompt ein. Unicode-Details: Claude Code Steganographie – Vollanalyse. Hier die Kernmechanik im NVDB-Kontext (ohne Binär-Reverse-Engineering-Tiefe):

Schritt 1: Datumsseparator (Regionssignal)

Bei Systemzeitzone Asia/Shanghai oder Asia/Urumqi wechselt das Datumsformat von 2026-07-08 zu 2026/07/08. Mensch und LLM bemerken den Unterschied kaum; Anthropics Server können ihn auswerten.

Schritt 2: Unicode-Apostroph-Kodierung (Identitätsklassifikation)

Der Apostroph in Today's rotiert zwischen vier Unicode-Zeichen je nach Trefferstatus:

Trefferbedingung Apostroph-Zeichen Unicode
Standard (kein Treffer)' ASCII-ApostrophU+0027
Treffer auf CN-Institutions-/Reseller-Domain' Rechter einfacher AnführungsstrichU+2019
Treffer auf KI-Lab-Schlüsselwortʼ Modifikator-ApostrophU+02BC
Domain und Lab gleichzeitigʹ Modifikator-PrimU+02B9

Schritt 3: 147 XOR+base64-Domain-Regeln

Domain- und Keyword-Listen sind mit base64 + XOR(91) leicht obfuskiert — insgesamt ca. 147 Regeln, u. a. für deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai und weitere chinesische KI-Lab-Strings. Das Programm vergleicht Proxy-Hostname, DNS-Auflösung und Umgebungsmerkmale, um die Unicode-Kombination zu wählen.

Kurzfassung: Es geht nicht um klassisches „Quellcode-Upload auf fremde Server“, sondern um unsichtbare Klassifikationsmarker in jedem API-System-Prompt, mit denen Anthropics Backend erkennt, ob die Anfrage über CN-bezogene Proxies oder verdächtige Distillations-Szenarien läuft.

07 · Abgrenzung zur normalen Telemetrie: vier Punkte

Anthropic und Teile der Presse argumentieren mit „Anti-Missbrauch-Telemetrie“. Aus Regulierungs- und Compliance-Sicht erklären vier Punkte, warum das die Grenze überschreitet — und warum das NVDB „Backdoor-Gefährdung“ sagt:

  1. Keine Offenlegung, keine informierte Einwilligung. Normale Telemetrie steht in Datenschutzerklärung, AGB oder Einstellungen, oft mit Opt-out. Die Claude-Code-Steganographie lief von März bis 30. Juni — ca. drei Monate — ohne Changelog, Release Notes oder sichtbare Dokumentation.
  2. Anomaler Träger und Protokoll. Übliche Telemetrie nutzt separate Analytics-Felder, HTTP-Header oder SDKs. Hier steckt das Signal in Unicode-Codepoints von Interpunktion im System-Prompt — ein Covert Channel, den Firewalls und DLP mit Standardregeln nicht abfangen.
  3. Selektiv und asymmetrisch. Normale Telemetrie gilt für alle Nutzer (oder nach Abo-Stufe). Hier wird der Prompt nur bei nicht-offiziellem ANTHROPIC_BASE_URL manipuliert — gleiche Version, unterschiedliches Verhalten je nach Konfiguration.
  4. Obfuskation und Anti-Reverse-Engineering. Domain-Blacklist mit base64+XOR(91), visuell ähnliche Apostrophe — offensichtlich gegen statische Analyse und Nutzerprüfung gerichtet. Das widerspricht „transparenter, auditierbarer Missbrauchserkennung“ und nähert sich malware-adjacenten Implementierungen.

08 · Stellungnahmen im Vergleich: NVDB · Anthropic · Alibaba

Akteur Datum Kernaussage Maßnahme
NVDB (MIIT) 08.07.2026 „Sicherheits-Backdoor-Gefährdung, schwerwiegend“; Übermittlung von Region und Identitätsmerkmalen ohne Einwilligung möglich Sofortige Inventarisierung, Deinstallation oder Upgrade; Egress-Kontrolle und Monitoring verstärken
Anthropic
Thariq Shihipar
02.07.2026 Gibt „experimentelle“ Maßnahme seit März 2026 zu; Ziel: unautorisierter Kontenweiterverkauf und Modell-Distillation Entfernung in Version vom 2. Juli; Changelog ohne klare Erwähnung
Alibaba Mitteilung 03.07.
Wirksam 10.07.
Nach Risikobewertung auf High-Risk-Softwareliste; Verbot von Claude Code und Anthropic-Produkten im Büro Fristgerechte Deinstallation; Empfehlung Qoder als Agent-Programmier-Alternative

09 · Hintergrund: US-China-Distillationskonflikt — warum Anthropic „taggt“

Um die Motivation der Steganographie zu verstehen, gehört sie in den größeren KI-Geopolitik-Kontext Anfang 2026. Öffentlich dokumentierte Faktenkette:

  • Anthropics öffentliche Anklage: Alibabas Qwen-Team nutzte ca. 25.000 Fake-Konten für rund 28,8 Mio. Claude-Dialoge (April–Juni 2026) — größter dokumentierter Distillationsangriff (CNBC, South China Morning Post, TechCrunch).
  • Alibabas Gegenzug: Klage gegen das US-Verteidigungsministerium wegen Eintrag auf der „Chinese military companies“-Liste; intern förderte Alibaba externe Modelle (Claude, GPT) mit hohen Erstattungslimits — manche Entwickler verbrauchten wöchentlich Hunderte Dollar.
  • Exportkontroll-Reibung: Modelle wie Anthropic Fable 5 unterliegen US-Exportbeschränkungen; chinesische Entwickler greifen zunehmend über Proxy-Gateways zu — struktureller Grund für hohe Rate nicht-offizieller ANTHROPIC_BASE_URL-Endpunkte.
  • Community-Einschätzung (keine offizielle Anthropic-Position): Claude-Code-Steganographie als Gegenmaßnahme gegen Distillation und Reselling — Ziel nachvollziehbar, aber undisclosed, obfuskierte Implementierung in Interpunktion verletzt Vertrauensgrenzen von Entwicklertools und löste NVDB-Einstufung aus.

10 · Faktencheck und Risikogrenzen: Was gilt, was nicht

Zwischen regulatorischer Alarmstufe und Community-Panik brauchen technische Leser präzise Unterscheidungen — fünf zentrale Behauptungen:

Häufige Behauptung Prüfergebnis
„Alle Claude-Code-Nutzer werden überwacht“Unzutreffend. Nur bei ANTHROPIC_BASE_URL ≠ api.anthropic.com; Direktnutzer offizieller API nicht betroffen
„Quellcode wird auf fremde Server hochgeladen“Keine öffentlichen Belege. Bestätigt: Klassifikationsmarker im System-Prompt, mit normalen API-Requests an Anthropic
„Klassische bösartige Backdoor“Teilweise zutreffend. NVDB nutzt „Backdoor“; Tech-Community eher „Covert Channel“. Kein RCE, kein persistentes C2
„Web-Claude ist betroffen“Nicht zutreffend. Logik nur in Claude-Code-CLI-Binary, nicht in Web-Client
„2.1.197 ist vollständig sicher“Anthropic sagt entfernt, Changelog bestätigt nicht. Empfehlung: 2.1.204+ und Isolations-Validierung
„Alibaba sperrt nur die API, nicht den Client“Verbot umfasst Claude-Code-Client und Anthropic-Modellprodukte; API-Zugriff hängt von interner Netzwerkpolitik ab

11 · Versionsmatrix: Was behandeln, was sicher ist

Version Release-Datum Steganographie-Logik Empfohlene Aktion
< 2.1.91Vor 02.04.2026KeineDennoch auf neueste Version aktualisieren
2.1.91 – 2.1.19602.04. bis 29.06.2026Vorhanden (NVDB-Warnbereich)Sofort upgraden oder deinstallieren
2.1.19701.07.2026Laut Berichten entfernt (Changelog unbestätigt)Upgraden und validieren
2.1.198 – 2.1.20302.07. bis 07.07.2026Laut Berichten keineNutzung empfohlen
2.1.204+Ab 08.07.2026Laut Berichten keineReferenzversion

12 · Medienvergleich: Formulierungen im Überblick

Quelle Schlüsselformulierung Editorieller Fokus
NVDB / People's Daily„Backdoor-Gefährdung“ „schwerwiegend“Regulatorische Compliance, Unternehmensaudit
IT之家 / Beijing News„Überwachungsmechanismus“ „Übermittlung ohne Einwilligung“Technischer Mechanismus + Alibaba-Verbot-Chronologie
36Kr / 智东西„Erste offizielle MIIT-Qualifikation“Industrielle Auswirkungen, lokale Alternativen (Qoder)
CNBC / China Daily„backdoor risk“ „unauthorized data transmission“Internationale Perspektive, Geopolitik
Ars Technica„covert tracking“ „prompt steganography“Technische Tiefe, Vertrauensgrenzen für Entwickler
The Register„changes software permissions without consent“ (Ereignis A)Claude Desktop Hochprivileg-Kanal
TechCrunch„distillation attack“ „Alibaba ban“Distillationskrieg und Industrieauswirkungen
Hacker News„prompt steganography“ „malware-adjacent“Ethische Debatte in der Entwickler-Community
thereallo.dev„covert information channel“Binär-Reverse-Engineering, Funktionsebene

13 · Risikomatrix

Nutzerszenario Steganographie aktiv? Regulatorisches Risiko Handlungspriorität
Offizielle API + 2.1.204+NeinNiedrigRoutine-Updates
Offizielle API + 2.1.91–2.1.196NeinMittel (Versions-Compliance)Auf 2.1.204+ aktualisieren
Proxy Base URL + 2.1.91–2.1.196JaHochSofort upgraden oder deinstallieren
Proxy Base URL + 2.1.197+Laut Berichten neinMittelIn isolierter Umgebung validieren
Chinesisches Unternehmensnetz (jede Version)Abhängig von Base URLHoch (Compliance)NVDB + interne Policy; Qoder/Cursor prüfen
Alibaba-Mitarbeiter (ab 10.07.)VerbotenVollständige Deinstallation, Migration zu Qoder

14 · Terminal: Version prüfen, upgraden, vollständig deinstallieren

Die folgenden Befehle gelten für das macOS-Terminal. Sichern Sie nützliche Konfigurationen aus ~/.claude vor der Deinstallation (ohne API-Keys im Klartext).

14.1 Installierte Version prüfen

# Methode 1: CLI-Version direkt claude --version # Methode 2: über globales npm-Paket npm list -g @anthropic-ai/claude-code # Methode 3: NVDB-Warnbereich 2.1.91–2.1.196 prüfen VERSION=$(claude --version 2>/dev/null | grep -oE '[0-9]+\.[0-9]+\.[0-9]+') echo "Aktuelle Version: $VERSION"

14.2 ANTHROPIC_BASE_URL auditieren

# Aktuelle Shell-Umgebungsvariable echo "ANTHROPIC_BASE_URL=${ANTHROPIC_BASE_URL:-nicht gesetzt (offizieller Endpunkt)}" # Shell-Konfigurationsdateien durchsuchen grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.bash_profile ~/.profile 2>/dev/null # Projekt- und CI-.env-Dateien find ~ -name ".env" -maxdepth 4 -exec grep -l "ANTHROPIC_BASE_URL" {} \; 2>/dev/null

14.3 Auf neueste sichere Version aktualisieren

# Auf neueste npm-Version (empfohlen: 2.1.204+) npm install -g @anthropic-ai/claude-code@latest # Ergebnis bestätigen claude --version # Bei Homebrew-Installation (einige Umgebungen) brew upgrade claude-code 2>/dev/null || echo "Keine Homebrew-Installation, übersprungen"

14.4 Vollständige Deinstallation

# Globales npm-Paket entfernen npm uninstall -g @anthropic-ai/claude-code # Benutzerkonfigurationsverzeichnis löschen rm -rf ~/.claude # Umgebungsvariablen aus Shell-Konfiguration entfernen (manuell bearbeiten) # Zeilen mit ANTHROPIC_BASE_URL, ANTHROPIC_API_KEY usw. löschen source ~/.zshrc # oder source ~/.bashrc # Reste prüfen which claude && echo "Rest gefunden" || echo "Deinstallation bestätigt"

15 · Siebenstufiges Compliance-Runbook

  1. Posten und Versionen inventarisieren: claude --version auf jedem Entwickler-Mac, CI-Runner und Remote-Build-Knoten ausführen; Register erstellen und Instanzen mit 2.1.91–2.1.196 markieren.
  2. ANTHROPIC_BASE_URL auditieren: Shell-Konfiguration, CI-Secrets, Docker Compose und Kubernetes-ConfigMaps auf nicht-offizielle Proxies oder Gateways prüfen.
  3. Sofort upgraden oder deinstallieren: Auf betroffenen Versionen npm install -g @anthropic-ai/claude-code@latest oder vollständige Deinstallation (Abschnitt 14) durchführen.
  4. Egress-Kontrolle verschärfen: Ausgehende Whitelists für Entwicklungstools in kritischen Netzsegmenten; TLS-Monitoring und Anomalie-Alarme aktivieren.
  5. Alternativen evaluieren: Unternehmen können Qoder, Cursor, GitHub Copilot vergleichen — siehe KI-Coding-Assistenten-Vergleich.
  6. Fix in isolierter Umgebung validieren: Auf sauberem macOS-Knoten Claude Code neu installieren und A/B-Test offizieller vs. Proxy-Endpunkt; System-Prompt-Diffs auf fehlende Steganographie-Marker prüfen.
  7. Sicherheitsrichtlinie aktualisieren und Teams informieren: NVDB-Warnung in internen Software-Whitelist-Prozess aufnehmen; betroffene Mitarbeiter mit Compliance-Frist benachrichtigen und Audit-Nachweise archivieren.

16 · Checkliste für Einzelentwickler

Für Freelancer, Solo-Entwickler und technische Leiter kleiner Teams — in etwa 30 Minuten umsetzbar:

  1. Version bestätigen: claude --version ausführen; liegt die Version zwischen 2.1.91 und 2.1.196, sofort auf 2.1.204+ aktualisieren oder deinstallieren.
  2. Base-URL-Audit: echo $ANTHROPIC_BASE_URL und alle Shell- sowie Projekt-.env-Dateien durchsuchen; nicht-offizielle Endpunkte dokumentieren.
  3. Zeitzone und Proxy-Kette: Prüfen, ob Asia/Shanghai oder Asia/Urumqi gesetzt ist und wie das mit der Datumsseparator-Kodierung zusammenspielt.
  4. Deinstallations-Cleanup: npm uninstall -g @anthropic-ai/claude-code und ~/.claude entfernen.
  5. Alternativen prüfen: Cursor-, Copilot- und Gemini-Vergleich für den eigenen Workflow nutzen.
  6. Isolierte Validierung (empfohlen): Auf gemietetem oder Reserve-Mac A/B-Test „offiziell vs. Proxy“ reproduzieren und Screenshots als Selbstaudit sichern.

17 · Unternehmens-IT- und DSGVO-Checkliste

Für Security-, IT- und Compliance-Teams — abgestimmt auf NVDB-Meldung und Lieferketten-Audit:

  1. Asset-Inventar: Per MDM, Endpoint-Management oder Ansible-Skripten claude --version und ANTHROPIC_BASE_URL flächendeckend erfassen.
  2. Software-Whitelist aktualisieren: Claude Code 2.1.91–2.1.196 verbieten; analog zum Alibaba-Verbot vom 10.07. globale Sperre von Anthropic-Clients prüfen.
  3. Egress-Netzwerkpolitik: API-Ausgangs-Whitelists im Entwickler-VLAN; TLS-Verbindungen zu Domains außerhalb api.anthropic.com überwachen.
  4. Schlüssel- und Konfigurationsrotation: Bei Proxy-Nutzung API-Key-Risiko bewerten und rotieren; Base-URL-Variablen in CI/CD-Pipelines bereinigen.
  5. Interne Kommunikation und Frist: Security Notice mit NVDB-Qualifikation, Deadline und Verantwortlichem; Empfangsbestätigungen archivieren.
  6. Alternativen-PoC: Qoder, Cursor, Copilot oder private Modelle testen; Auswahlkriterien für Audits dokumentieren.
  7. Abnahme und Archivierung: Nach Isolations-Validierung Versionsscreenshots, Deinstallationslogs und Netzwerk-Policy-Tickets in ISO-27001- oder DSGVO-Verarbeitungsverzeichnis ablegen.

18 · FAQ (zehn Fragen)

Welche Versionen betrifft die NVDB-Warnung?

Claude Code v2.1.91 bis v2.1.196. Version 2.1.91 erschien am 2. April 2026, 2.1.196 am 29. Juni. Anthropic veröffentlichte am 1.–2. Juli 2026 Version 2.1.197 mit Entfernung des betreffenden Codes.

Werden alle Claude-Code-Nutzer überwacht?

Nein. Laut Reverse-Engineering-Berichten greift die Steganographie nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt. Direktnutzer der offiziellen API sind nicht betroffen.

Handelt es sich um ein Datenleck?

Keine öffentlichen Belege für direkten Upload von Quellcode oder Gesprächen. Bestätigt sind Klassifikationsmarker im System-Prompt — ein Covert Channel, den das NVDB dennoch als schwerwiegendes Backdoor-Risiko einstuft.

Warum hat Alibaba Claude Code gesperrt?

Anfang Juli 2026 stufte Alibaba das Backdoor-Risiko als hoch ein und verbot ab dem 10. Juli die Nutzung im Büro; Qoder wird als Ersatz empfohlen.

Wie hat Anthropic reagiert?

Thariq Shihipar gab zu, dass es sich um eine seit März laufende experimentelle Maßnahme gegen Weiterverkauf und Distillation handelte. Der Code wurde am 2. Juli entfernt, ohne expliziten Changelog-Eintrag.

Wie funktioniert die Steganographie technisch?

In der Zeile Today's date is... werden Datumsseparator und Unicode-Apostrophe (U+0027 / U+2019 / U+02BC / U+02B9) zur Kodierung genutzt, kombiniert mit 147 Regeln per base64+XOR(91).

Hängt das mit Claude Desktop Browser-Injection zusammen?

Zwei getrennte Vorfälle. Native-Messaging-Injection durch Claude Desktop (April, Alexander Hanff) = Ereignis A; Prompt-Steganographie in Claude Code (Juni, thereallo.dev) = Ereignis B. NVDB-Warnung betrifft primär Ereignis B.

Was sollten Unternehmen tun?

NVDB-Empfehlungen befolgen: Versionen inventarisieren, upgraden oder deinstallieren, Egress-Kontrolle und Traffic-Monitoring verstärken. Details in Abschnitten 15–17.

Reicht ein Upgrade auf 2.1.197?

Anthropic gibt Entfernung an, Changelog bestätigt nicht. Empfehlung: 2.1.204+ (Stand 8. Juli 2026) und Validierung in isolierter Umgebung.

Steht das im Zusammenhang mit dem US-China-Distillationsstreit?

Ja. Anthropic beschuldigt Alibabas Qwen-Team, mit ca. 25.000 Fake-Konten etwa 28,8 Mio. Dialoge für Distillation genutzt zu haben. Die Community sieht die Steganographie als Gegenmaßnahme — die undisclosed Implementierung löste regulatorische Kritik aus.

19 · Haftungsausschluss

Dieser Artikel basiert auf der NVDB-Meldung, öffentlichen Medienberichten und Community-Reverse-Engineering-Berichten. Er soll Entwicklern und IT-Verantwortlichen helfen, Risiken zu verstehen und Compliance-Maßnahmen umzusetzen. Er stellt keine Rechtsberatung und keine Sicherheitszertifizierung dar. Anthropic-Richtlinien, interne Unternehmensverbote und regulatorische Auslegungen können sich ändern — maßgeblich sind die jeweils aktuellen offiziellen Mitteilungen. MacDate steht in keiner kommerziellen Verbindung zu Anthropic oder Alibaba; genannte Alternativen und Mietdienste dienen ausschließlich der technischen Entscheidungsfindung.

20 · Isolierte Mac-Miete: der kontrollierbarste Validierungspfad

Um innerhalb der NVDB-Compliance-Frist eine auditierbare Beweiskette zu liefern — „wir haben auf eine sichere Version aktualisiert, der System-Prompt enthält keine Steganographie-Marker mehr, ANTHROPIC_BASE_URL zeigt wieder auf den offiziellen Endpunkt“ — brauchen Sie einen vollständigen A/B-Test in einer sauberen, snapshot-fähigen, zerstörbaren macOS-Umgebung. Auf dem Daily-Driver-MacBook vermischen sich Homebrew-Node-Versionen, Firmen-VPN, Keychain und Browserprofile — ein Experiment kann wochenlang nicht unterscheidbar machen, ob Reste alter Versionen oder Umgebungsvariablen-Pollution vorliegen; wiederholtes Installieren/Deinstallieren kann zudem die Native-Messaging-Liste von Ereignis A neu erzeugen.

npm install -g @anthropic-ai/claude-code auf einem Linux-Cloud-Host ist nur ein temporärer Validierungspfad — ohne natives Keychain-Verhalten, ohne Injektionsfläche unter ~/Library/Application Support/, ohne Fidelity zum echten macOS/iOS-CLI-Ökosystem. Für eine reproduzierbare, auditierbare, produktionsnahe Abnahme ist der Zyklus „Upgrade → Prompt-Diff → Deinstallation → Umgebung zerstören“ auf einem tagesweise gemieteten Apple-Silicon-Mac mini meist günstiger als die Kontamination des Hauptrechners. Preise und SSH-Zugang: Mac mini M4 Preisleitfaden. Parallel zur Agent-Orchestrierung siehe auch JADEPUFFER Langflow-Ransomware-Vorfall.

21 · Quellen

  • NVDB / MIIT — Claude Code Backdoor-Risikomeldung (08.07.2026)
  • IT之家工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
  • Beijing News (新京报)工信部监测发现 Claude Code 存安全后门隐患
  • People's Daily (人民网) — Berichte zur NVDB-Warnung
  • 36Kr / 智东西工信部首次定调:Claude Code 危害严重; 突发,阿里全面禁用 Claude
  • CNBC — Anthropics Distillationsvorwürfe gegen Alibaba
  • China DailyChina's industry regulator flags 'backdoor' risk in Claude Code
  • Ars Technica — Berichterstattung zu Prompt-Steganographie und verdecktem Tracking
  • TechCrunch — Alibaba-Verbot und Distillationsstreit
  • The RegisterClaude Desktop changes software permissions without consent (Ereignis A)
  • thereallo.dev — Original Reverse-Engineering-Bericht zur Claude-Code-Steganographie
  • Adnane Khan — Unabhängiger Validierungsbericht (v2.1.193 / 195 / 196 bestätigt)
  • TechTimes / Tech Startups — Fix 2.1.197 und Shihipar-Antwort
  • Yicai / Wall Street CN — Alibaba-Verbot und Qoder-Alternative
  • Antiy Labs (安天实验室) — Analyse Hochprivileg-Browserkanäle von Claude Desktop
  • Hacker News — Diskussion Claude Code Steganographie (350+ Punkte)

Letzte Aktualisierung: 9. Juli 2026. Bei neuer NVDB-Mitteilung oder offiziellem Anthropic-Security-Bulletin wird dieser Artikel überarbeitet.