Verstecktes Tracking in Claude Code: was der Fund lehrt
In Claude Code steckte versteckter Code, der chinesische Nutzer per Steganografie markierte. Was er tat und was Teams daraus über Tool-Vertrauen lernen.
Ein Entwickler hat beim Reverse-Engineering von Claude Code obfuszierten Code gefunden, der still prüft, ob ein Nutzer aus China kommt oder über einen chinesischen Anbieter zugreift, und das Ergebnis unsichtbar markiert. Der Code steckte seit Version 2.1.91 vom 2. April 2026 im Tool, ohne ein Wort in den Release Notes. Anthropic nennt es ein Experiment gegen Missbrauch und entfernt es wieder. Der eigentliche Aufreger ist nicht das Ziel, sondern die Art, wie es versteckt wurde.
Was der Code tat
Sobald Claude Code über einen Proxy oder ein Gateway lief, sprang eine mehrstufige Prüfung an. Sie las die Zeitzone des Systems (etwa Asia/Shanghai oder Asia/Urumqi) und glich Hostname und Proxy-URL gegen eine fest eingebaute Liste ab: bekannte chinesische KI-Labore, andere KI-Firmen, Account-Reseller und Gateway-Domains.
Interessant ist, wie das Ergebnis übermittelt wurde. Es tauchte nirgends im Klartext auf, sondern wurde per Steganografie in den System-Prompt eingewoben, also in genau den Text, den das Modell bei jeder Anfrage mitbekommt:
| Signal | Wie es versteckt wurde |
|---|---|
| Klassifizierung als China-Zugriff | Datumsformat wechselt von 2026-07-02 zu 2026/07/02 |
| Kombination aus Proxy- und Labor-Treffer | Das Apostroph in "Today's date is" wird durch eines von drei praktisch identisch aussehenden Unicode-Zeichen ersetzt |
| Die Domain-Liste selbst | hinter XOR und base64 verschleiert, damit sie eine einfache Textsuche nicht findet |
Für Menschen sind diese Marker unsichtbar, für Anthropics Server aber auslesbar. Faktisch war es ein verstecktes Wasserzeichen im Prompt, das signalisiert: Dieser Zugriff sieht nach einem chinesischen Labor oder einem nicht autorisierten Reseller aus.
Warum die Absicht nicht das Problem ist
Anthropic-Ingenieur Thariq Shihipar ordnet den Fund so ein: "Das ist ein Experiment, das wir im März gestartet haben, um Account-Missbrauch durch nicht autorisierte Reseller zu verhindern und uns gegen Distillation zu schützen." Distillation meint hier, dass Wettbewerber die Antworten eines starken Modells absaugen, um damit ihre eigenen Modelle zu trainieren. Das Team habe seitdem stärkere Schutzmechanismen eingebaut und wollte die Sache ohnehin abschalten.
Dieser Kern ist nachvollziehbar. Modell-Distillation und Reseller-Missbrauch sind reale Probleme, und ein Anbieter darf sich dagegen wehren. Der Reibungspunkt ist ein anderer: Der Schutz war nicht dokumentiert, nicht in den Nutzungsbedingungen erwähnt und aktiv verschleiert. XOR-Verschleierung und in Unicode versteckte Marker sind kein Nebeneffekt, sondern der bewusste Aufwand, damit genau niemand den Mechanismus bemerkt. Auf die Frage, ob die Nutzungsbedingungen so etwas offenlegen, ging Anthropic laut The Register nicht direkt ein.
Genau da kippt es vom legitimen Anti-Missbrauch-Werkzeug zum Vertrauensbruch. Ein Entwickler-Tool, das man sich tief in die eigene Umgebung holt, das Zugriff auf Code, Terminal und Keys hat, lebt von Vertrauen. Verstecktes Verhalten, das erst durch Reverse-Engineering ans Licht kommt, beschädigt genau dieses Vertrauen, auch wenn das konkrete Verhalten harmlos ist.
Einordnung: kein Datenleck, aber ein Muster
Wichtig für die realistische Bewertung: Hier sind keine Kundendaten abgeflossen, und der Marker hat niemandem den Rechner kompromittiert. Wer nicht über einen der gelisteten chinesischen Anbieter zugreift, war von der Klassifizierung ohnehin nicht betroffen. Das ist kein Vorfall in der Liga der Clean-Repo-Falle oder eines kompromittierten npm-Pakets.
Es reiht sich aber in ein Muster ein, das wir bei KI-Coding-Tools öfter sehen: Die Werkzeuge tun mehr, als in der Doku steht, und die Grenze zwischen legitimer Telemetrie und stiller Überwachung ist für den Nutzer von außen kaum zu erkennen. Dass hier ein Einzelner den Mechanismus überhaupt gefunden hat, war Zufall bei einer Reverse-Engineering-Session. Das ist die eigentliche Lehre: Man weiß bei geschlossenen Tools selten genau, was im Hintergrund läuft.
Was Teams jetzt mitnehmen
Die Konsequenz ist nicht, Claude Code aus der Werkzeugkiste zu werfen. Anthropic hat den Code entfernt, und das Grundproblem, dass proprietäre Tools undokumentierte Dinge tun, gilt für praktisch jeden Cloud-Anbieter. Die Konsequenz ist, das Thema Tool-Vertrauen bewusst zu behandeln.
Fazit
Der Fund ist kein Skandal um gestohlene Daten, aber ein lehrreicher Fall über Tool-Vertrauen. Ein an sich legitimes Ziel, sich gegen Distillation und Reseller-Missbrauch zu wehren, wurde mit versteckten Mitteln verfolgt, die genau das Vertrauen untergraben, auf das ein Entwickler-Tool angewiesen ist. Dass Anthropic den Code nach der Aufdeckung zügig entfernt, ist die richtige Reaktion. Die bessere wäre gewesen, solche Mechanismen von Anfang an offenzulegen.
Für Teams im DACH-Raum ist die Botschaft ruhig und praktisch: KI-Tools bleiben nützlich, aber sie verdienen dieselbe Sorgfalt wie jede andere Software mit Zugriff auf sensible Systeme. Wissen, was ein Werkzeug tut, ist Teil der Arbeit, nicht die Ausnahme.
Quellen
- The Decoder: Hidden code in Claude Code secretly flagged Chinese users - Bericht vom 01.07.2026 mit der Mechanik und Anthropics Reaktion
- The Register: Anthropic is removing its covert code for catching Chinese competitors - Einordnung inklusive Anthropics Statement und der offenen Frage zur Offenlegung