NVDB-Warnung 2026: Claude Code Backdoor-Risiko (2.1.91–2.1.196) – Technikanalyse und Entwickler-Runbook
Wer ist betroffen? Mac- und iOS-Entwickler sowie IT-Security-Leiter, die am 8. Juli 2026 die NVDB-Einstufung „schwerwiegend“ zur Kenntnis nehmen mussten. Was liefert dieser Artikel? Vollständige Zeitachse, dreistufige Steganographie-Erklärung, Gegenüberstellung NVDB/Anthropic/Alibaba, Terminal-Befehle zur Versionsprüfung und ein siebenstufiges Compliance-Runbook. Enthalten: Versionsmatrix, Medienvergleich, Risikomatrix, persönliche und unternehmensweite Checklisten, zehn FAQ-Antworten und ein Validierungspfad über isolierte Mac-Miete.
📋 Inhaltsverzeichnis
⚠️ Dieser Artikel basiert auf der NVDB-Mitteilung vom 8. Juli 2026, öffentlichen Berichten (u. a. IT之家, Beijing News, People's Daily, 36Kr, CNBC) und dem Reverse-Engineering-Bericht von thereallo.dev. Anthropics Motive sind Community- und Medienanalysen, keine offizielle Regulierungsfeststellung. Datenstand: 9. Juli 2026. Technische Tiefe zur Steganographie: Claude Code Steganographie – Vollanalyse. Dieser Text fokussiert Regulierungsnarrativ und Unternehmens-Compliance.
01 · NVDB-Warnung auf einen Blick
Am 8. Juli 2026 veröffentlichte die National Vulnerability Database China (NVDB) unter dem MIIT eine Risikomeldung: Das von Anthropic entwickelte KI-Programmiertool Claude Code weise eine schwerwiegende Backdoor-Gefährdung auf. Betroffen sind die Versionen v2.1.91 bis v2.1.196. Eingebaute Überwachungslogik kann laut NVDB ohne Nutzereinwilligung Region, Identitätsmerkmale und weitere sensible Metadaten an entfernte Server übermitteln.
| Dimension | Kernpunkt |
|---|---|
| Regulatorische Einstufung | NVDB stuft Claude Code erstmals offiziell als „schwerwiegend“ ein (08.07.2026) |
| Betroffene Versionen | 2.1.91 (Release 02.04.2026) bis 2.1.196 (29.06.2026) — insgesamt 106 Patch-Versionen |
| Fix-Version | Anthropic veröffentlichte am 1.–2. Juli 2.1.197 mit Entfernung; Stand 08.07. neueste Version 2.1.204 |
| Technischer Mechanismus | Prompt-Steganographie: Datumsseparator + Unicode-Apostrophe + 147 XOR+base64-obfuskierte Domain-Regeln |
| Undisclosed-Zeitraum | Seit März 2026 aktiv, bis Exposure am 30. Juni — ca. drei Monate ohne Changelog- oder Datenschutzhinweis |
| Auslösebedingung | Nur wenn ANTHROPIC_BASE_URL auf einen nicht-offiziellen Endpunkt zeigt (Proxy, Gateway, Reseller) |
| Unternehmensreaktion | Alibaba verbietet Claude Code ab 10. Juli im Büro; empfiehlt Qoder als Ersatz |
| Harte Kennzahlen | HN-Diskussion 350+ Punkte; Distillationsvorwurf: 25.000 Fake-Konten, 28,8 Mio. Dialoge (Anthropic-Behauptung) |
02 · Drei zentrale Pain Points: Warum Entwickler und Unternehmen jetzt handeln müssen
- Regulatorische Einstufung ist Realität, Compliance-Kosten steigen. Die NVDB-Formulierung „schwerwiegend“ ist kein Clickbait — sie zwingt Unternehmen in China und Lieferketten mit CN-Exposure, bei Audits (ISO 27001, Lieferkettensicherheit, Software-Whitelists) nachzuweisen, dass Entwickler-Macs keine Version 2.1.91–2.1.196 tragen und Egress-Monitoring verschärft ist. Alibabas Verbot vom 10. Juli ist ein Frühindikator; weitere Tech-Konzerne könnten folgen. EU-Teams mit CN-Tochtergesellschaften oder Zulieferern sollten das als Präzedenz lesen.
- Covert Channels sind schwerer zu erkennen als Klartext-Exfiltration. Laut Reverse-Engineering versteckt sich das Signal in Interpunktion des System-Prompts — Datumsseparator wechselt von
-zu/, der Apostroph inToday'srotiert zwischen vier Unicode-Codepoints. Firewalls und DLP scannen Payload-Keywords, nicht unsichtbare Zeichencodierung; Entdeckung erfordert Binär-Reverse-Engineering oder A/B-Vergleich der System-Prompts. - Multi-Version-CLI auf dem Daily-Driver-Mac erzeugt Forensik-Chaos. Wer in der Produktionsumgebung offizielle und Proxy-Endpunkte vergleichen,
ANTHROPIC_BASE_URLund Shell-Reste auditieren will, kämpft auf einem Mac mit Firmen-VPN, mehreren Homebrew-Node-Versionen und Keychain-Kontamination mit wochenlangem Debugging-Baseline-Drift — dieselbe Schmerzpunkte wie in der Steganographie-Technikanalyse, hier jedoch mit Fokus auf Regulierung und Unternehmens-Compliance.
03 · Vollständige Zeitachse (Februar–Juli 2026)
| Datum | Ereignis |
|---|---|
| Februar 2026 | Spannungen zwischen Anthropic und chinesischen KI-Anbietern zu Modellzugang und Exportkontrolle (Fable 5) eskalieren; Unternehmen nutzen zunehmend Proxy-Gateways für Claude-API-Zugriff |
| März 2026 | Laut nachträglicher Aussage von Thariq Shihipar aktiviert das Claude-Code-Team eine „experimentelle“ Überwachungslogik gegen unautorisierten Weiterverkauf und Distillation |
| Anfang April 2026 | Anthropic beschuldigt öffentlich Alibabas Qwen-Team eines industriellen Distillationsangriffs: ca. 25.000 Fake-Konten, 28,8 Mio. Dialoge (April–Juni) |
| 2. April 2026 | Claude Code v2.1.91 erscheint mit eingebauter Steganographie-Logik; Changelog erwähnt sie nie |
| ca. 18. April 2026 | Datenschutzberater Alexander Hanff deckt Claude Desktop auf: stilles Schreiben von Browser-Native-Messaging-Manifesten (Ereignis A, The Register) |
| April 2026 | Berater Noah Kenney bestätigt Reproduzierbarkeit von Ereignis A; Antiy Labs veröffentlicht Risikobericht zu Claude-Desktop-Hochprivileg-Kanälen |
| April–Juni 2026 | Claude Code iteriert 2.1.92–2.1.196; Steganographie bleibt aktiv und undisclosed in Release Notes |
| 30. Juni 2026 | thereallo.dev veröffentlicht Reverse-Engineering-Bericht; Reddit → Hacker News (350+ Punkte) |
| 1. Juli 2026 | Anthropic veröffentlicht v2.1.197; Medien berichten Entfernung der Steganographie; Changelog ohne klare Erwähnung |
| 2. Juli 2026 | Thariq Shihipar gibt „experimentelle“ Maßnahme zu und kündigt Löschung an; Sicherheitsforscher Adnane Khan verifiziert Mechanismus unabhängig |
| 3.–4. Juli 2026 | Alibaba-interne Mitteilung: ab 10. Juli vollständiges Verbot von Claude Code und Anthropic-Produkten; Empfehlung Qoder; Wall Street CN, 36Kr, Yicai berichten |
| 8. Juli 2026 | NVDB veröffentlicht Risikomeldung, Einstufung „schwerwiegend“; IT之家, Beijing News, People's Daily, China Daily, CNBC berichten |
| 10. Juli 2026 | Alibaba-Verbot tritt in Kraft; Mitarbeiter müssen Claude Code, Sonnet, Opus, Fable und weitere Anthropic-Produkte deinstallieren |
04 · NVDB-Mitteilung und Handlungsempfehlungen
Kernformulierung der NVDB-Mitteilung (laut IT之家, Beijing News, People's Daily): Claude Code kann Code autonom schreiben und reparieren, enthält jedoch eine Überwachungslogik, die ohne Nutzereinwilligung Region, Identitätsmerkmale und weitere sensible Informationen an entfernte Server übermitteln kann.
Das NVDB gibt zwei Ebenen von Empfehlungen:
- Terminal-Inventar: Sofort alle Entwicklerterminals prüfen, ob Version 2.1.91–2.1.196 installiert ist; bei Treffer sofort deinstallieren oder upgraden auf eine Version ohne Backdoor-Code.
- Netzwerk-Kontrolle: Egress-Berechtigungen und Traffic-Monitoring für Entwicklungstools in Kernnetzsegmenten verschärfen, um unbefugten Datenabfluss zu verhindern.
Dies ist die erste explizite regulatorische Warnung des MIIT über NVDB zu einem ausländischen KI-Entwicklungstool — Claude Code wechselt von „Community-Kontroverse“ zu „Pflichtlektüre für Enterprise-Compliance“.
05 · Auslöser: Nur nicht-offizielle ANTHROPIC_BASE_URL aktiviert die Logik
Der wichtigste und am häufigsten falsch dargestellte technische Punkt. Laut thereallo.dev und unabhängiger Verifikation durch Adnane Khan:
Die Steganographie greift nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt. Typische Szenarien:
- Unternehmens-API-Gateway oder Reverse Proxy (Weiterleitung zu Anthropic)
- Drittanbieter-Reseller (OpenAI-kompatible Schicht, regionale Relay-Knoten)
- Entwickler setzen Base URL in
.zshrc,.bashrcoder CI-Umgebungsvariablen
Bei Direktverbindung zu https://api.anthropic.com bleibt die Zeile Today's date is... im System-Prompt unverändert. Das ist die entscheidende Grenze im Faktencheck — nicht „alle Claude-Code-Nutzer werden überwacht“.
06 · Steganographie in drei Schritten
Ist die Auslösebedingung erfüllt, bettet Claude Code bei jedem API-Request drei Ebenen verdeckter Signale in den System-Prompt ein. Unicode-Details: Claude Code Steganographie – Vollanalyse. Hier die Kernmechanik im NVDB-Kontext (ohne Binär-Reverse-Engineering-Tiefe):
Schritt 1: Datumsseparator (Regionssignal)
Bei Systemzeitzone Asia/Shanghai oder Asia/Urumqi wechselt das Datumsformat von 2026-07-08 zu 2026/07/08. Mensch und LLM bemerken den Unterschied kaum; Anthropics Server können ihn auswerten.
Schritt 2: Unicode-Apostroph-Kodierung (Identitätsklassifikation)
Der Apostroph in Today's rotiert zwischen vier Unicode-Zeichen je nach Trefferstatus:
| Trefferbedingung | Apostroph-Zeichen | Unicode |
|---|---|---|
| Standard (kein Treffer) | ' ASCII-Apostroph | U+0027 |
| Treffer auf CN-Institutions-/Reseller-Domain | ' Rechter einfacher Anführungsstrich | U+2019 |
| Treffer auf KI-Lab-Schlüsselwort | ʼ Modifikator-Apostroph | U+02BC |
| Domain und Lab gleichzeitig | ʹ Modifikator-Prim | U+02B9 |
Schritt 3: 147 XOR+base64-Domain-Regeln
Domain- und Keyword-Listen sind mit base64 + XOR(91) leicht obfuskiert — insgesamt ca. 147 Regeln, u. a. für deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai und weitere chinesische KI-Lab-Strings. Das Programm vergleicht Proxy-Hostname, DNS-Auflösung und Umgebungsmerkmale, um die Unicode-Kombination zu wählen.
Kurzfassung: Es geht nicht um klassisches „Quellcode-Upload auf fremde Server“, sondern um unsichtbare Klassifikationsmarker in jedem API-System-Prompt, mit denen Anthropics Backend erkennt, ob die Anfrage über CN-bezogene Proxies oder verdächtige Distillations-Szenarien läuft.
07 · Abgrenzung zur normalen Telemetrie: vier Punkte
Anthropic und Teile der Presse argumentieren mit „Anti-Missbrauch-Telemetrie“. Aus Regulierungs- und Compliance-Sicht erklären vier Punkte, warum das die Grenze überschreitet — und warum das NVDB „Backdoor-Gefährdung“ sagt:
- Keine Offenlegung, keine informierte Einwilligung. Normale Telemetrie steht in Datenschutzerklärung, AGB oder Einstellungen, oft mit Opt-out. Die Claude-Code-Steganographie lief von März bis 30. Juni — ca. drei Monate — ohne Changelog, Release Notes oder sichtbare Dokumentation.
- Anomaler Träger und Protokoll. Übliche Telemetrie nutzt separate Analytics-Felder, HTTP-Header oder SDKs. Hier steckt das Signal in Unicode-Codepoints von Interpunktion im System-Prompt — ein Covert Channel, den Firewalls und DLP mit Standardregeln nicht abfangen.
- Selektiv und asymmetrisch. Normale Telemetrie gilt für alle Nutzer (oder nach Abo-Stufe). Hier wird der Prompt nur bei nicht-offiziellem
ANTHROPIC_BASE_URLmanipuliert — gleiche Version, unterschiedliches Verhalten je nach Konfiguration. - Obfuskation und Anti-Reverse-Engineering. Domain-Blacklist mit base64+XOR(91), visuell ähnliche Apostrophe — offensichtlich gegen statische Analyse und Nutzerprüfung gerichtet. Das widerspricht „transparenter, auditierbarer Missbrauchserkennung“ und nähert sich malware-adjacenten Implementierungen.
08 · Stellungnahmen im Vergleich: NVDB · Anthropic · Alibaba
| Akteur | Datum | Kernaussage | Maßnahme |
|---|---|---|---|
| NVDB (MIIT) | 08.07.2026 | „Sicherheits-Backdoor-Gefährdung, schwerwiegend“; Übermittlung von Region und Identitätsmerkmalen ohne Einwilligung möglich | Sofortige Inventarisierung, Deinstallation oder Upgrade; Egress-Kontrolle und Monitoring verstärken |
| Anthropic Thariq Shihipar |
02.07.2026 | Gibt „experimentelle“ Maßnahme seit März 2026 zu; Ziel: unautorisierter Kontenweiterverkauf und Modell-Distillation | Entfernung in Version vom 2. Juli; Changelog ohne klare Erwähnung |
| Alibaba | Mitteilung 03.07. Wirksam 10.07. |
Nach Risikobewertung auf High-Risk-Softwareliste; Verbot von Claude Code und Anthropic-Produkten im Büro | Fristgerechte Deinstallation; Empfehlung Qoder als Agent-Programmier-Alternative |
09 · Hintergrund: US-China-Distillationskonflikt — warum Anthropic „taggt“
Um die Motivation der Steganographie zu verstehen, gehört sie in den größeren KI-Geopolitik-Kontext Anfang 2026. Öffentlich dokumentierte Faktenkette:
- Anthropics öffentliche Anklage: Alibabas Qwen-Team nutzte ca. 25.000 Fake-Konten für rund 28,8 Mio. Claude-Dialoge (April–Juni 2026) — größter dokumentierter Distillationsangriff (CNBC, South China Morning Post, TechCrunch).
- Alibabas Gegenzug: Klage gegen das US-Verteidigungsministerium wegen Eintrag auf der „Chinese military companies“-Liste; intern förderte Alibaba externe Modelle (Claude, GPT) mit hohen Erstattungslimits — manche Entwickler verbrauchten wöchentlich Hunderte Dollar.
- Exportkontroll-Reibung: Modelle wie Anthropic Fable 5 unterliegen US-Exportbeschränkungen; chinesische Entwickler greifen zunehmend über Proxy-Gateways zu — struktureller Grund für hohe Rate nicht-offizieller
ANTHROPIC_BASE_URL-Endpunkte. - Community-Einschätzung (keine offizielle Anthropic-Position): Claude-Code-Steganographie als Gegenmaßnahme gegen Distillation und Reselling — Ziel nachvollziehbar, aber undisclosed, obfuskierte Implementierung in Interpunktion verletzt Vertrauensgrenzen von Entwicklertools und löste NVDB-Einstufung aus.
10 · Faktencheck und Risikogrenzen: Was gilt, was nicht
Zwischen regulatorischer Alarmstufe und Community-Panik brauchen technische Leser präzise Unterscheidungen — fünf zentrale Behauptungen:
| Häufige Behauptung | Prüfergebnis |
|---|---|
| „Alle Claude-Code-Nutzer werden überwacht“ | Unzutreffend. Nur bei ANTHROPIC_BASE_URL ≠ api.anthropic.com; Direktnutzer offizieller API nicht betroffen |
| „Quellcode wird auf fremde Server hochgeladen“ | Keine öffentlichen Belege. Bestätigt: Klassifikationsmarker im System-Prompt, mit normalen API-Requests an Anthropic |
| „Klassische bösartige Backdoor“ | Teilweise zutreffend. NVDB nutzt „Backdoor“; Tech-Community eher „Covert Channel“. Kein RCE, kein persistentes C2 |
| „Web-Claude ist betroffen“ | Nicht zutreffend. Logik nur in Claude-Code-CLI-Binary, nicht in Web-Client |
| „2.1.197 ist vollständig sicher“ | Anthropic sagt entfernt, Changelog bestätigt nicht. Empfehlung: 2.1.204+ und Isolations-Validierung |
| „Alibaba sperrt nur die API, nicht den Client“ | Verbot umfasst Claude-Code-Client und Anthropic-Modellprodukte; API-Zugriff hängt von interner Netzwerkpolitik ab |
11 · Versionsmatrix: Was behandeln, was sicher ist
| Version | Release-Datum | Steganographie-Logik | Empfohlene Aktion |
|---|---|---|---|
< 2.1.91 | Vor 02.04.2026 | Keine | Dennoch auf neueste Version aktualisieren |
| 2.1.91 – 2.1.196 | 02.04. bis 29.06.2026 | Vorhanden (NVDB-Warnbereich) | Sofort upgraden oder deinstallieren |
| 2.1.197 | 01.07.2026 | Laut Berichten entfernt (Changelog unbestätigt) | Upgraden und validieren |
| 2.1.198 – 2.1.203 | 02.07. bis 07.07.2026 | Laut Berichten keine | Nutzung empfohlen |
| 2.1.204+ | Ab 08.07.2026 | Laut Berichten keine | Referenzversion |
12 · Medienvergleich: Formulierungen im Überblick
| Quelle | Schlüsselformulierung | Editorieller Fokus |
|---|---|---|
| NVDB / People's Daily | „Backdoor-Gefährdung“ „schwerwiegend“ | Regulatorische Compliance, Unternehmensaudit |
| IT之家 / Beijing News | „Überwachungsmechanismus“ „Übermittlung ohne Einwilligung“ | Technischer Mechanismus + Alibaba-Verbot-Chronologie |
| 36Kr / 智东西 | „Erste offizielle MIIT-Qualifikation“ | Industrielle Auswirkungen, lokale Alternativen (Qoder) |
| CNBC / China Daily | „backdoor risk“ „unauthorized data transmission“ | Internationale Perspektive, Geopolitik |
| Ars Technica | „covert tracking“ „prompt steganography“ | Technische Tiefe, Vertrauensgrenzen für Entwickler |
| The Register | „changes software permissions without consent“ (Ereignis A) | Claude Desktop Hochprivileg-Kanal |
| TechCrunch | „distillation attack“ „Alibaba ban“ | Distillationskrieg und Industrieauswirkungen |
| Hacker News | „prompt steganography“ „malware-adjacent“ | Ethische Debatte in der Entwickler-Community |
| thereallo.dev | „covert information channel“ | Binär-Reverse-Engineering, Funktionsebene |
13 · Risikomatrix
| Nutzerszenario | Steganographie aktiv? | Regulatorisches Risiko | Handlungspriorität |
|---|---|---|---|
| Offizielle API + 2.1.204+ | Nein | Niedrig | Routine-Updates |
| Offizielle API + 2.1.91–2.1.196 | Nein | Mittel (Versions-Compliance) | Auf 2.1.204+ aktualisieren |
| Proxy Base URL + 2.1.91–2.1.196 | Ja | Hoch | Sofort upgraden oder deinstallieren |
| Proxy Base URL + 2.1.197+ | Laut Berichten nein | Mittel | In isolierter Umgebung validieren |
| Chinesisches Unternehmensnetz (jede Version) | Abhängig von Base URL | Hoch (Compliance) | NVDB + interne Policy; Qoder/Cursor prüfen |
| Alibaba-Mitarbeiter (ab 10.07.) | — | Verboten | Vollständige Deinstallation, Migration zu Qoder |
14 · Terminal: Version prüfen, upgraden, vollständig deinstallieren
Die folgenden Befehle gelten für das macOS-Terminal. Sichern Sie nützliche Konfigurationen aus ~/.claude vor der Deinstallation (ohne API-Keys im Klartext).
14.1 Installierte Version prüfen
14.2 ANTHROPIC_BASE_URL auditieren
14.3 Auf neueste sichere Version aktualisieren
14.4 Vollständige Deinstallation
15 · Siebenstufiges Compliance-Runbook
- Posten und Versionen inventarisieren:
claude --versionauf jedem Entwickler-Mac, CI-Runner und Remote-Build-Knoten ausführen; Register erstellen und Instanzen mit 2.1.91–2.1.196 markieren. - ANTHROPIC_BASE_URL auditieren: Shell-Konfiguration, CI-Secrets, Docker Compose und Kubernetes-ConfigMaps auf nicht-offizielle Proxies oder Gateways prüfen.
- Sofort upgraden oder deinstallieren: Auf betroffenen Versionen
npm install -g @anthropic-ai/claude-code@latestoder vollständige Deinstallation (Abschnitt 14) durchführen. - Egress-Kontrolle verschärfen: Ausgehende Whitelists für Entwicklungstools in kritischen Netzsegmenten; TLS-Monitoring und Anomalie-Alarme aktivieren.
- Alternativen evaluieren: Unternehmen können Qoder, Cursor, GitHub Copilot vergleichen — siehe KI-Coding-Assistenten-Vergleich.
- Fix in isolierter Umgebung validieren: Auf sauberem macOS-Knoten Claude Code neu installieren und A/B-Test offizieller vs. Proxy-Endpunkt; System-Prompt-Diffs auf fehlende Steganographie-Marker prüfen.
- Sicherheitsrichtlinie aktualisieren und Teams informieren: NVDB-Warnung in internen Software-Whitelist-Prozess aufnehmen; betroffene Mitarbeiter mit Compliance-Frist benachrichtigen und Audit-Nachweise archivieren.
16 · Checkliste für Einzelentwickler
Für Freelancer, Solo-Entwickler und technische Leiter kleiner Teams — in etwa 30 Minuten umsetzbar:
- Version bestätigen:
claude --versionausführen; liegt die Version zwischen 2.1.91 und 2.1.196, sofort auf 2.1.204+ aktualisieren oder deinstallieren. - Base-URL-Audit:
echo $ANTHROPIC_BASE_URLund alle Shell- sowie Projekt-.env-Dateien durchsuchen; nicht-offizielle Endpunkte dokumentieren. - Zeitzone und Proxy-Kette: Prüfen, ob
Asia/ShanghaioderAsia/Urumqigesetzt ist und wie das mit der Datumsseparator-Kodierung zusammenspielt. - Deinstallations-Cleanup:
npm uninstall -g @anthropic-ai/claude-codeund~/.claudeentfernen. - Alternativen prüfen: Cursor-, Copilot- und Gemini-Vergleich für den eigenen Workflow nutzen.
- Isolierte Validierung (empfohlen): Auf gemietetem oder Reserve-Mac A/B-Test „offiziell vs. Proxy“ reproduzieren und Screenshots als Selbstaudit sichern.
17 · Unternehmens-IT- und DSGVO-Checkliste
Für Security-, IT- und Compliance-Teams — abgestimmt auf NVDB-Meldung und Lieferketten-Audit:
- Asset-Inventar: Per MDM, Endpoint-Management oder Ansible-Skripten
claude --versionundANTHROPIC_BASE_URLflächendeckend erfassen. - Software-Whitelist aktualisieren: Claude Code 2.1.91–2.1.196 verbieten; analog zum Alibaba-Verbot vom 10.07. globale Sperre von Anthropic-Clients prüfen.
- Egress-Netzwerkpolitik: API-Ausgangs-Whitelists im Entwickler-VLAN; TLS-Verbindungen zu Domains außerhalb
api.anthropic.comüberwachen. - Schlüssel- und Konfigurationsrotation: Bei Proxy-Nutzung API-Key-Risiko bewerten und rotieren; Base-URL-Variablen in CI/CD-Pipelines bereinigen.
- Interne Kommunikation und Frist: Security Notice mit NVDB-Qualifikation, Deadline und Verantwortlichem; Empfangsbestätigungen archivieren.
- Alternativen-PoC: Qoder, Cursor, Copilot oder private Modelle testen; Auswahlkriterien für Audits dokumentieren.
- Abnahme und Archivierung: Nach Isolations-Validierung Versionsscreenshots, Deinstallationslogs und Netzwerk-Policy-Tickets in ISO-27001- oder DSGVO-Verarbeitungsverzeichnis ablegen.
18 · FAQ (zehn Fragen)
Welche Versionen betrifft die NVDB-Warnung?
Claude Code v2.1.91 bis v2.1.196. Version 2.1.91 erschien am 2. April 2026, 2.1.196 am 29. Juni. Anthropic veröffentlichte am 1.–2. Juli 2026 Version 2.1.197 mit Entfernung des betreffenden Codes.
Werden alle Claude-Code-Nutzer überwacht?
Nein. Laut Reverse-Engineering-Berichten greift die Steganographie nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt. Direktnutzer der offiziellen API sind nicht betroffen.
Handelt es sich um ein Datenleck?
Keine öffentlichen Belege für direkten Upload von Quellcode oder Gesprächen. Bestätigt sind Klassifikationsmarker im System-Prompt — ein Covert Channel, den das NVDB dennoch als schwerwiegendes Backdoor-Risiko einstuft.
Warum hat Alibaba Claude Code gesperrt?
Anfang Juli 2026 stufte Alibaba das Backdoor-Risiko als hoch ein und verbot ab dem 10. Juli die Nutzung im Büro; Qoder wird als Ersatz empfohlen.
Wie hat Anthropic reagiert?
Thariq Shihipar gab zu, dass es sich um eine seit März laufende experimentelle Maßnahme gegen Weiterverkauf und Distillation handelte. Der Code wurde am 2. Juli entfernt, ohne expliziten Changelog-Eintrag.
Wie funktioniert die Steganographie technisch?
In der Zeile Today's date is... werden Datumsseparator und Unicode-Apostrophe (U+0027 / U+2019 / U+02BC / U+02B9) zur Kodierung genutzt, kombiniert mit 147 Regeln per base64+XOR(91).
Hängt das mit Claude Desktop Browser-Injection zusammen?
Zwei getrennte Vorfälle. Native-Messaging-Injection durch Claude Desktop (April, Alexander Hanff) = Ereignis A; Prompt-Steganographie in Claude Code (Juni, thereallo.dev) = Ereignis B. NVDB-Warnung betrifft primär Ereignis B.
Was sollten Unternehmen tun?
NVDB-Empfehlungen befolgen: Versionen inventarisieren, upgraden oder deinstallieren, Egress-Kontrolle und Traffic-Monitoring verstärken. Details in Abschnitten 15–17.
Reicht ein Upgrade auf 2.1.197?
Anthropic gibt Entfernung an, Changelog bestätigt nicht. Empfehlung: 2.1.204+ (Stand 8. Juli 2026) und Validierung in isolierter Umgebung.
Steht das im Zusammenhang mit dem US-China-Distillationsstreit?
Ja. Anthropic beschuldigt Alibabas Qwen-Team, mit ca. 25.000 Fake-Konten etwa 28,8 Mio. Dialoge für Distillation genutzt zu haben. Die Community sieht die Steganographie als Gegenmaßnahme — die undisclosed Implementierung löste regulatorische Kritik aus.
19 · Haftungsausschluss
Dieser Artikel basiert auf der NVDB-Meldung, öffentlichen Medienberichten und Community-Reverse-Engineering-Berichten. Er soll Entwicklern und IT-Verantwortlichen helfen, Risiken zu verstehen und Compliance-Maßnahmen umzusetzen. Er stellt keine Rechtsberatung und keine Sicherheitszertifizierung dar. Anthropic-Richtlinien, interne Unternehmensverbote und regulatorische Auslegungen können sich ändern — maßgeblich sind die jeweils aktuellen offiziellen Mitteilungen. MacDate steht in keiner kommerziellen Verbindung zu Anthropic oder Alibaba; genannte Alternativen und Mietdienste dienen ausschließlich der technischen Entscheidungsfindung.
20 · Isolierte Mac-Miete: der kontrollierbarste Validierungspfad
Um innerhalb der NVDB-Compliance-Frist eine auditierbare Beweiskette zu liefern — „wir haben auf eine sichere Version aktualisiert, der System-Prompt enthält keine Steganographie-Marker mehr, ANTHROPIC_BASE_URL zeigt wieder auf den offiziellen Endpunkt“ — brauchen Sie einen vollständigen A/B-Test in einer sauberen, snapshot-fähigen, zerstörbaren macOS-Umgebung. Auf dem Daily-Driver-MacBook vermischen sich Homebrew-Node-Versionen, Firmen-VPN, Keychain und Browserprofile — ein Experiment kann wochenlang nicht unterscheidbar machen, ob Reste alter Versionen oder Umgebungsvariablen-Pollution vorliegen; wiederholtes Installieren/Deinstallieren kann zudem die Native-Messaging-Liste von Ereignis A neu erzeugen.
npm install -g @anthropic-ai/claude-code auf einem Linux-Cloud-Host ist nur ein temporärer Validierungspfad — ohne natives Keychain-Verhalten, ohne Injektionsfläche unter ~/Library/Application Support/, ohne Fidelity zum echten macOS/iOS-CLI-Ökosystem. Für eine reproduzierbare, auditierbare, produktionsnahe Abnahme ist der Zyklus „Upgrade → Prompt-Diff → Deinstallation → Umgebung zerstören“ auf einem tagesweise gemieteten Apple-Silicon-Mac mini meist günstiger als die Kontamination des Hauptrechners. Preise und SSH-Zugang: Mac mini M4 Preisleitfaden. Parallel zur Agent-Orchestrierung siehe auch JADEPUFFER Langflow-Ransomware-Vorfall.
21 · Quellen
- NVDB / MIIT — Claude Code Backdoor-Risikomeldung (08.07.2026)
- IT之家 — 工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
- Beijing News (新京报) — 工信部监测发现 Claude Code 存安全后门隐患
- People's Daily (人民网) — Berichte zur NVDB-Warnung
- 36Kr / 智东西 — 工信部首次定调:Claude Code 危害严重; 突发,阿里全面禁用 Claude
- CNBC — Anthropics Distillationsvorwürfe gegen Alibaba
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Berichterstattung zu Prompt-Steganographie und verdecktem Tracking
- TechCrunch — Alibaba-Verbot und Distillationsstreit
- The Register — Claude Desktop changes software permissions without consent (Ereignis A)
- thereallo.dev — Original Reverse-Engineering-Bericht zur Claude-Code-Steganographie
- Adnane Khan — Unabhängiger Validierungsbericht (v2.1.193 / 195 / 196 bestätigt)
- TechTimes / Tech Startups — Fix 2.1.197 und Shihipar-Antwort
- Yicai / Wall Street CN — Alibaba-Verbot und Qoder-Alternative
- Antiy Labs (安天实验室) — Analyse Hochprivileg-Browserkanäle von Claude Desktop
- Hacker News — Diskussion Claude Code Steganographie (350+ Punkte)
Letzte Aktualisierung: 9. Juli 2026. Bei neuer NVDB-Mitteilung oder offiziellem Anthropic-Security-Bulletin wird dieser Artikel überarbeitet.