Skip to content

Claude Code's geheime 'Spyware' enthüllt

Anthropic wurde dabei ertappt, wie es ausgeklügelte Tracker in seiner Claude Code AI versteckte, um chinesische Nutzer und inoffizielle Gateways heimlich zu markieren. Die Entdeckung hat einen Sturm der Entrüstung über das Vertrauen der Entwickler und die Ethik der verdeckten Überwachung in KI-Tools ausgelöst.

Nora Vance
Hero image for: Claude Code's geheime 'Spyware' enthüllt

Zusammenfassung / Kernpunkte

  • Anthropic wurde dabei ertappt, wie es ausgeklügelte Tracker in seiner Claude Code AI versteckte, um chinesische Nutzer und inoffizielle Gateways heimlich zu markieren.
  • Die Entdeckung hat einen Sturm der Entrüstung über das Vertrauen der Entwickler und die Ethik der verdeckten Überwachung in KI-Tools ausgelöst.

Code Red: Die Enthüllung der versteckten Marker

Ein Reddit-Nutzer, „LegitMichel777“, lüftete kürzlich den Schleier über Claude Code und enthüllte ein verdecktes Tracking-System, das tief in dessen Binärdatei eingebettet ist. Durch sorgfältiges Reverse-Engineering entdeckte LegitMichel777 XOR-obfuscated code, der speziell für die heimliche Datenerfassung entwickelt wurde und seit mindestens Version 2.1.91 vorhanden ist. Dies ist nicht nur ein Fehler; es ist ein bewusster, versteckter Mechanismus.

Dieses System wird nicht wahllos aktiviert. Seine Logik wird unter zwei spezifischen Bedingungen ausgelöst: erstens, wenn die erkannte Zeitzone des Benutzers 'Asia/Shanghai' (oder 'Asia/Urumqi') ist; zweitens, wenn die Variable `ANTHROPIC_BASE_URL` auf benutzerdefinierte Endpunkte verweist, die mit bekannten chinesischen Domains, Resellern oder AI-Labs wie DeepSeek, Moonshot AI AI oder Zhipu verbunden sind. Diese doppelten Auslöser zeichnen ein klares Bild der beabsichtigten Ziele.

Das vielleicht heimtückischste Detail betrifft die Marker selbst. Anthropic wählte den scheinbar harmlosen System-Prompt „Today's date“ als Leinwand. Je nach Auslöser könnte sich der Datumstrennzeichen von einem Bindestrich zu einem Schrägstrich ändern, oder der Apostroph in „Today's“ könnte sich in eines von drei nahezu identischen Unicode characters verwandeln. Diese subtilen, praktisch unsichtbaren Marker machten das Tracking bei normaler Nutzung völlig unentdeckbar, eine Meisterleistung der digitalen Tarnung.

Die Anatomie eines digitalen Wasserzeichens

Das versteckte Tracking von Claude Code war eine Meisterleistung der steganography, bei der unsichtbare Marker direkt in die Zeile „Today's date“ des System-Prompts eingebettet wurden. Hier ging es nicht um die Übertragung von Daten; es war eine ausgeklügelte Methode der verdeckten Zuordnung, die subtile, visuell unmerkliche Änderungen in der Interpunktion nutzte, um Informationen zu kodieren. Entscheidend ist, dass Teile dieser Erkennungslogik mit dem Schlüssel 91 XOR-obfuscated waren, was auf eine bewusste Anstrengung hindeutet, ihren wahren Zweck vor beiläufiger Inspektion zu verbergen.

Ein primärer Mechanismus lokalisierte den geografischen Standort eines Benutzers. Wenn Claude Code eine chinesische Zeitzone, wie „Asia/Shanghai“ oder „Asia/Urumqi“, erkannte, änderte es subtil das Datumstrennzeichen. Ein Standarddatum wie '2026-06-30' verwandelte sich in '2026/06/30', eine fast unmerkliche Verschiebung, die als mächtige, versteckte geografische Markierung für Anthropic's Systeme diente.

Des Weiteren identifizierte das Tool akribisch Benutzer, die in bestimmten Reseller-Netzwerken operierten. Es untersuchte die Variable `ANTHROPIC_BASE_URL` nach benutzerdefinierten Endpunkten, verglich sie mit einer fest kodierten Liste oder suchte nach Schlüsselwörtern wie DeepSeek, Moonshot AI AI oder Zhipu. Je nachdem, welche Bedingungen für nicht autorisierte Gateways erfüllt waren, wurde der Apostroph in „Today's“ durch eines von drei unterschiedlichen, visuell identischen Unicode characters ersetzt, ein stiller Verrat des Benutzervertrauens.

„Account Abuse“ oder gebrochenes Vertrauen?

Anthropic’s anfängliche Verteidigung für den eingebetteten Tracking-Mechanismus war schnell, aber, offen gesagt, fadenscheinig. Thariq Shihipar, ein Ingenieur im Claude Code-Team, bestätigte die Existenz des Codes und bezeichnete ihn als ein „Experiment“, das im March 2026 gestartet wurde. Dieses „Experiment“ zielte darauf ab, unauthorized account abuse durch Reseller zu verhindern und die Modelldestillation zu bekämpfen, insbesondere gegen Entitäten wie DeepSeek und Moonshot AI AI, eine scheinbar vernünftige Rechtfertigung für ein Unternehmen, das sein IP schützt. Aber war es das?

Trotz dieser Begründung löste die verdeckte Natur der Funktion sofort eine intensive öffentliche Gegenreaktion aus. Der Aufschrei der Entwicklergemeinschaft gegen die versteckte „spyware“ war unübersehbar und zwang Anthropic, die Entfernung des Mechanismus in der nächsten Version schnell anzukündigen. Vertrauen, einmal durch solche undurchsichtigen Praktiken zerstört, lässt sich notorisch schwer wieder aufbauen, besonders wenn es um grundlegenden Benutzerdatenschutz geht.

Die Folgen waren schnell und schwerwiegend und gingen über bloße Benutzerunzufriedenheit hinaus. Der chinesische Tech-Riese Alibaba verbot Claude Code sofort und stufte es als „hochriskante Software“ für alle seine Mitarbeiter ein. Diese entschlossene Maßnahme unterstreicht die Schwere der Bereitstellung einer solchen Funktion ohne Transparenz und hebt den tiefgreifenden Reputationsschaden und die Sicherheitsbedenken hervor, die sie aufwarf. Weitere Einzelheiten zu dieser globalen Reaktion finden Sie unter Hidden code in Claude Code secretly flagged Chinese users - The Decoder.

Ein erschreckender Präzedenzfall für Entwickler-Tools

Dieser Vorfall handelt nicht nur von einem versteckten Datumsformat; er ist ein tiefgreifender Vertrauensbruch. Claude Code, ein Entwickler-Tool, erfordert tiefen Systemzugriff – auf lokale Dateien, Shell-Befehle, Netzwerkverbindungen – was seine verdeckte Steganographie besonders gravierend macht. Entwickler erteilen diese umfassenden Berechtigungen bereitwillig und erwarten Integrität, nicht versteckte Tracking-Mechanismen, die mit XOR key 91 verschleiert sind und dazu dienen, die Zeichensetzung in Prompts wie „Today's date“ zu ändern.

Enjoying this? Get one like it in your inbox each morning.

one email a day · unsubscribe in two clicks · no third-party tracking

Hinter Anthropic's Erzählung vom „Kontomissbrauch“ verbirgt sich die eskalierende KI-Rivalität zwischen den USA und China. Die explizite Ausrichtung des Systems auf chinesische Zeitzonen wie „Asia/Shanghai“ und KI-Labore wie DeepSeek, Moonshot AI AI und Zhipu, durch Änderung der Variable `ANTHROPIC_BASE_URL`, offenbart ein verzweifeltes unternehmerisches Ringen um den Schutz geistigen Eigentums. Dies geht nicht nur darum, unautorisierte Wiederverkäufer zu verhindern; es ist ein geopolitisches Spiel mit hohen Einsätzen, das sich in unseren CLI tools abspielt und seit Version 2.1.91 eingesetzt wird.

Die Kontroverse, die durch die Entdeckung des Reddit-Nutzers LegitMichel777 am 30. Juni 2026 ausgelöst wurde, erzwingt eine unbequeme, aber wesentliche Debatte. Wir benötigen absolute Transparenz von Entwicklern von KI-Tools bezüglich Datenerfassung und Systeminteraktionen. Ohne klare ethische Grenzen und explizite Zustimmung wird die weit verbreitete Einführung tief integrierter KI-Tools unweigerlich das grundlegende Vertrauen untergraben, das Entwickler in ihre wesentlichen Dienstprogramme setzen, und damit einen erschreckenden Präzedenzfall für das gesamte Ökosystem schaffen.

Häufig gestellte Fragen

Was hat die Claude Code 'spyware' eigentlich gemacht?

Sie hat heimlich unsichtbare Zeichen und Satzzeichen im System-Prompt geändert, um Benutzer aus bestimmten chinesischen Zeitzonen oder solche, die über inoffizielle Dienste auf die API zugreifen, zu markieren.

Warum hat Anthropic dieses versteckte Tracking hinzugefügt?

Anthropic erklärte, es sei ein Experiment gewesen, um den unautorisierten Weiterverkauf seiner Dienste zu bekämpfen und sich vor 'Distillation' zu schützen, bei der die Ausgaben einer KI verwendet werden, um ein konkurrierendes Modell zu trainieren.

Ist der Tracking-Code noch in Claude Code enthalten?

Nach der öffentlichen Entdeckung bestätigte Anthropic, dass die Funktion zur Entfernung vorgesehen war und in der für den 1. Juli 2026 geplanten Veröffentlichung entfernt wurde.

Was ist Steganographie in diesem Kontext?

Steganographie ist das Verbergen von Daten in anderen Daten. Hier versteckte Anthropic Tracking-Signale in scheinbar normalen Satzzeichen (Apostrophe, Datumstrenner), indem sie diese durch nahezu identisch aussehende Unicode-Zeichen ersetzten.

Found this useful? Share it.

AI Reputation Report

What AI knows about you.

ChatGPT, Perplexity, Gemini, Claude & Grok are already answering questions in your category. Type your site, see who they name — you, or your competitor. Free preview.

Check my sitefree preview

One short daily email of tools worth shipping. No drip funnel.

one email a day · unsubscribe in two clicks · no third-party tracking

🚀Mehr entdecken

Bleiben Sie der KI voraus

Entdecken Sie die besten KI-Tools, Agenten und MCP-Server, kuratiert von Stork.AI.

P.S. Etwas Brauchbares gebaut? Bei Stork listen