Anthropic sieht sich wegen verdeckter Überwachung in Claude Code mit Kritik konfrontiert

Anthropic nimmt eine versteckte Überwachungsfunktion in seinem Coding-Tool Claude Code zurück, nachdem der Mechanismus öffentlich bekannt wurde und Kritik an Transparenz und Nutzervertrauen auslöste. Laut dem von The Decoder bereitgestellten Quellentext prüfte die Funktion unauffällig, ob einige Nutzer mit aktiven Proxys scheinbar in China lokalisiert waren, über chinesische URLs liefen oder mit chinesischen KI-Laboren verbunden waren.

Der Streit ist nicht nur wegen dessen bemerkenswert, was der Code angeblich tat, sondern auch wegen der Art und Weise, wie er es getan haben soll. Der Quellentext sagt, das System habe Signale über nahezu unmerkliche Änderungen am System-Prompt des Tools übertragen, eine Form der Steganografie, die normale Nutzer kaum erkennen konnten. Diese Designentscheidung machte aus einem ansonsten möglicherweise simplen Mechanismus zur Durchsetzung von Richtlinien eine größere Debatte über verdeckte Telemetrie in einem KI-Entwicklungstool mit umfassendem lokalem Zugriff.

Was die versteckte Funktion angeblich prüfte

Der Quellentext von The Decoder sagt, die Funktion sei seit Claude Code Version 2.1.91 vorhanden gewesen, veröffentlicht am 2. April 2026. Sie habe offenbar nach mehreren Indikatoren gesucht, die mit China-bezogenen Zugriffsmustern zusammenhängen. Dazu gehörten, ob die Systemzeitzone mit Asia/Shanghai oder Asia/Urumqi übereinstimmte, ob eine Proxy-URL auf chinesische Domains verwies und ob die Verbindung offenbar mit einem chinesischen KI-Labor verbunden war.

Anstatt diese Prüfungen direkt in sichtbaren Logs oder Prompts anzuzeigen, soll die Software die Ergebnisse in subtile Formatierungsänderungen kodiert haben. Der bereitgestellte Text sagt, Claude Code habe das Datumsformat verändert und sogar das Apostroph-Zeichen in dem Satz „Today’s date is.“ ausgetauscht. Für Nutzer sah der Prompt unverändert aus. Intern konnten diese Abweichungen jedoch ein verborgenes Signal tragen, das für Anthropic lesbar war.

Der Bericht sagt außerdem, der betreffende Code sei mit XOR-Verschlüsselung unter dem Schlüssel 91 obfuskiert worden, was ihn bei einer flüchtigen Prüfung schwerer erkennbar machte. Laut dem Quellentext erwähnten die Release Notes für Version 2.1.91 die Prüfung nicht.

Warum die Enthüllung starke Reaktionen auslöste

Die schärfste Kritik konzentrierte sich auf Einwilligung und Vertrauen. Claude Code ist keine passive Consumer-App. Es ist ein Entwicklungstool, das laut dem bereitgestellten Text vollen Zugriff auf Dateisystem und Shell hat. In diesem Kontext wirkt jeder nicht offengelegte Mechanismus, der Systemeigenschaften oder Proxy-Konfigurationen prüft, besonders sensibel.

Der im Quellentext zitierte Reddit-Nutzer bezeichnete die verdeckte Übertragung von System- und Proxy-Daten ohne Wissen des Nutzers als fundamentalen Vertrauensbruch. Das Argument war nicht nur, dass die Funktion existierte, sondern dass sie versteckte Signalisierung auf Prompt-Ebene statt eines klar dokumentierten Durchsetzungsflusses verwendete. Für Entwickler und Enterprise-Teams, die KI-Tools bewerten, ist dieser Unterschied wichtig. Transparenz darüber, was geprüft, was übertragen und warum es übertragen wird, ist oft ebenso wichtig wie das Sicherheitsziel selbst.

Der Quellentext nennt auch einen praktischen Einwand: Der Mechanismus könnte für versierte Angreifer leicht zu umgehen gewesen sein, was Fragen aufwirft, ob die Vertrauenskosten den technischen Nutzen überwiegen. Wenn eine verdeckte Prüfung ohne große Schwierigkeit umgangen werden kann, könnte die verbleibende Wirkung vor allem normale Nutzer statt anspruchsvolle Missbraucher treffen.

Anthropics Erklärung

Laut dem bereitgestellten Text beschrieb Thariq Shihipar, ein Anthropic-Mitarbeiter im Claude-Code-Team, die Funktion auf X als Experiment, das Kontomissbrauch durch nicht autorisierte Wiederverkäufer verhindern und gegen Destillation schützen sollte. Er sagte außerdem, das Team habe inzwischen stärkere Gegenmaßnahmen implementiert und die Entfernung des früheren Mechanismus bereits geplant.

Die berichtete Reaktion ist relevant, weil sie den Vorfall als vorübergehende Sicherheitskontrolle und nicht als langfristige Produktpolitik einordnet. Anthropic, so der Quellentext, habe bereits einen Pull Request zum Entfernen der Funktion gemergt, wobei das Rollback in der Veröffentlichung des Folgetages erwartet wurde. In dieser Darstellung wurden die versteckten Prompt-Signale nicht als dauerhafte oder akzeptable Norm verteidigt, sondern als experimentelle Maßnahme behandelt, deren Nutzen abgelaufen war.

Dennoch beseitigt die Erklärung nicht das Governance-Problem, das der Vorfall offengelegt hat. Sicherheitsteams rechtfertigen temporäre Kontrollen häufig in Zeiten erhöhter Risiken. Wenn solche Kontrollen jedoch unsichtbar in Tools laufen, die von Entwicklern genutzt werden, liegen die Anforderungen an interne Prüfung, Offenlegung und Audit deutlich höher.

Der breitere geopolitische Hintergrund

Der Quellentext von The Decoder verortet das Überwachungsproblem in einem größeren politischen und wettbewerblichen Kontext. Anthropic bietet seine Modelle laut dem bereitgestellten Text aus nationalen Sicherheitsgründen nicht in China an. Gleichzeitig sollen viele chinesische Entwickler auf Claude über ausländische Telefonnummern und Kreditkarten zugreifen.

Der Bericht sagt außerdem, Anthropic habe zuvor mehrere chinesische KI-Unternehmen, darunter DeepSeek, Moonshot AI, MiniMax und Alibaba, beschuldigt, Claude-Modellausgaben ohne Erlaubnis für das Training eigener Modelle verwendet zu haben. Wenn diese Sorge Teil des Bedrohungsmodells des Unternehmens ist, erklärt das teilweise, warum Zugriffsmuster mit Proxys und Standortbezug unter besonderer Beobachtung standen.

Dieser Kontext ist wichtig, aber nicht ausreichend, um die Produktfrage zu klären. KI-Unternehmen operieren zunehmend an der Schnittstelle von kommerzieller Software, Exportkontrollen, Plattform-Missbrauchsbekämpfung und Modellschutzstrategie. Maßnahmen, die für ein Ziel entwickelt wurden, können an anderer Stelle neue Haftungsrisiken erzeugen, besonders wenn das betroffene Tool eng an Nutzersysteme und Entwickler-Workflows angebunden ist.

Warum das über eine einzelne Funktion hinaus zählt

Der Vorfall zeigt eine tiefere Spannung in der KI-Infrastruktur. Modellanbieter wollen Betrug, unautorisierte Weiterverkäufe und das Extrahieren von Trainingsdaten verhindern. Nutzer wollen leistungsfähige Werkzeuge, die vorhersehbar funktionieren und ihr Monitoring-Verhalten klar offenlegen. Mit leistungsfähigeren lokalen Privilegien für KI-Coding-Assistenten dürfte sich diese Spannung weiter verschärfen.

Was mit Claude Code passiert ist, ist deshalb mehr als ein kurzlebiges Produktproblem. Es ist ein frühes Warnsignal dafür, welche Standards fortschrittliche KI-Tools erfüllen müssen. Verborgene Kontrollen, die in einem Webdienst womöglich unbemerkt geblieben wären, lassen sich in Software, die lokale Umgebungen prüfen und Befehle ausführen kann, schwerer rechtfertigen.

Für den breiteren Markt ist die Lehre klar: Sicherheitsfunktionen in Entwickler-Tools für KI müssen sichtbar, überprüfbar und dem Risiko angemessen sein, dem sie begegnen sollen. Anthropics berichtetes Rollback mag dieses spezielle Kapitel schließen, beendet aber nicht die größere Debatte darüber, wie viel unsichtbare Durchsetzung Nutzer von den zunehmend in ihre Arbeit eingebetteten Systemen akzeptieren werden.

Dieser Artikel basiert auf der Berichterstattung von The Decoder. Zum Originalartikel.

Originally published on the-decoder.com