Anthropic macht verdeckte Überwachungsfunktion in Claude Code rückgängig

Anthropic sieht sich nach der Entdeckung eines versteckten Überwachungsmechanismus innerhalb seines Claude Code-Tools, der darauf ausgelegt war, chinesische Nutzer zu identifizieren, intensiver Kritik ausgesetzt. Die Enthüllung hat eine massive Debatte über den Schutz der Privatsphäre der Nutzer, Risiken der Datenexfiltration und die ethischen Grenzen des Modellschutzes ausgelöst.

Die Mechanik der verdeckten Erkennung

Die Kontroverse entbrannte, als ein Reddit-Nutzer namens LegitMichel777 aufdeckte, dass Claude Code Version 2.1.91 – veröffentlicht am 2. April 2026 – undokumentierten Code enthielt, um Nutzer in China zu markieren. Im Gegensatz zur Standard-Telemetrie nutzte diese Funktion eine ausgeklügelte Form der Steganografie, um Daten durch „kaum wahrnehmbare“ Änderungen im System-Prompt zu übertragen.

Die Software war darauf ausgelegt, die Systemzeitzone mit „Asia/Shanghai“ oder „Asia/Urumqi“ zu vergleichen und Proxy-URLs auf chinesische Domains oder Verbindungen zu chinesischen KI-Laboren zu scannen. Sobald eine Übereinstimmung gefunden wurde, änderte das Tool subtil die Ausgabe, indem es das Datumsformat anpasste oder ein Standard-Apostroph in der Phrase „Today's date is“ durch ein anderes Zeichen ersetzte. Obwohl diese Mikroanpassungen für das menschliche Auge unsichtbar waren, ermöglichten sie es Anthropic, den Ursprung des Nutzers sofort zu identifizieren. Um diese Aktivität weiter zu verbergen, wurde der Code Berichten zufolge mittels XOR-Verschlüsselung mit einem Schlüssel von 91 verschleiert, um zu verhindern, dass er in Standard-Text-Dumps auftaucht.

Sicherheitsrisiken und Datenschutzverletzungen

Die Entdeckung hat in der Entwicklergemeinschaft erhebliche Alarmbereitschaft ausgelöst. Da Claude Code mit vollem Dateisystem- und Shell-Zugriff arbeitet, argumentieren Kritiker, dass jeder verdeckte Kommunikationskanal potenziell für schwerwiegendere Formen des Missbrauchs ausgenutzt werden könnte, einschließlich Fernsteuerung oder unbefugter Datenexfiltration.

Über die technischen Sicherheitsimplikationen hinaus wird die Entdeckung als grundlegender Vertrauensbruch gegenüber den Nutzern angesehen. Die Funktion wurde ohne jegliche Erwähnung in den offiziellen Release Notes implementiert, sodass Entwickler nicht wussten, dass ihre Proxy-Daten und Systemeinstellungen analysiert wurden, um regionale Beschränkungen zu umgehen.

Anthropics Verteidigung: Schutz vor Model Distillation

Als Reaktion auf den Gegenwind stellte der Anthropic-Mitarbeiter Thariq Shihipar klar, dass es sich bei der Funktion um ein im März gestartetes „Experiment“ handelte. Das Hauptziel bestand darin, Account-Missbrauch durch unbefugte Wiederverkäufer zu verhindern und sich gegen „Model Distillation“ zu schützen – den Prozess, bei dem Wettbewerber Modell-Outputs nutzen, um ihre eigenen LLMs zu trainieren.

Anthropic hat eine Vorgeschichte von Spannungen mit chinesischen KI-Unternehmen und hat zuvor Unternehmen wie DeepSeek, Moonshot AI, MiniMax und Alibaba beschuldigt, Claude-Outputs ohne Erlaubnis zu verwenden. Da Anthropic seine Modelle aus Gründen der nationalen Sicherheit in China nicht offiziell anbietet, wurde die Identifizierung von Nutzern, die über ausländische Kreditkarten und Telefonnummern auf den Dienst zugreifen, als Weg angesehen, um geschützte Informationen zu sichern. Nach dem Aufschrei bestätigte Anthropic jedoch, dass ein Pull Request gemergt wurde, um die Funktion vollständig rückgängig zu machen.

Wichtigste Erkenntnisse

  • Steganografische Erkennung: Claude Code nutzte subtile Zeichenaustausche in System-Prompts und XOR-Verschlüsselung, um Nutzer, die aus China zugreifen, heimlich zu identifizieren.
  • Sicherheitsbedenken: Die Fähigkeit, verdeckte Prüfungen in einem Tool mit vollem Dateisystemzugriff durchzuführen, schürt erhebliche Ängste hinsichtlich Datenexfiltration und der Privatsphäre der Nutzer.
  • Modellschutz vs. Privatsphäre: Anthropic verteidigte den Schritt als Experiment zur Verhinderung von Model Distillation durch chinesische KI-Labore, hat sich jedoch seither zu einem vollständigen Rollback verpflichtet.