Anthropics Claude Code hat heimlich versteckte Marker eingebettet, um Nutzer mit Verbindungen zu 147 chinesischen Domains und KI-Laboren zu markieren, wie Entwickler diese Woche offengelegt haben.
Zentrale Punkte
- Claude Code kodierte Proxy- und Zeitzonendaten in unsichtbare Unicode-Markierungen, die in System-Prompts verborgen waren, wie Entwickler herausfanden
- Der Mechanismus prüfte Konfigurationen gegen 147 chinesische Domains und elf KI-Labor-Schlüsselwörter, bevor er eine Datumszeile im Prompt veränderte
- Anthropic erklärte, der Code werde in der nächsten Version von Claude Code entfernt, nachdem Entwickler und Forscher Alarm geschlagen hatten
Versteckte Prompt-Markierungen
Ein Entwickler, der Claude Code Version 2.1.196 beim Wiederherstellen einer deaktivierten Fernsteuerungsfunktion rückentwickelte, hat verschleierten Code gefunden, der seit April unbemerkt vorhanden war.
Die Erkenntnisse tauchten am 30. Juni unter einem Pseudonym auf Reddit auf und wurden in einer technischen Analyse auf GitHub bestätigt.
Analysten untersuchten drei separate Versionen von Claude Code und stellten fest, dass der Mechanismus in jeder identisch funktionierte, ohne irgendeine Erwähnung in den Release-Notes, obwohl es monatelang Updates gab. Er wird nur aktiv, wenn ein Nutzer Claude Code auf eine eigene Serveradresse statt auf Anthropics eigene richtet. Sobald er ausgelöst wird, liest das Tool die Systemzeitzone aus und prüft, ob sie zwei Städten zugeordnet ist, die mit dem chinesischen Festland verbunden sind.
Die Proxy-Adresse wird anschließend mit einer versteckten Domainliste von 147 Einträgen verglichen, die verschleiert ist, um nicht in einer Klartextsuche aufzutauchen, und Baidu, Alibaba, Ant Group und ByteDance umfasst, plus elf Schlüsselwörter, die an chinesische KI-Labore gebunden sind. Die Ergebnisse werden in den normal aussehenden Satz „Today's date is...“ eingebettet, wobei ein Bindestrich bei einer chinesischen Zeitzone durch einen Schrägstrich ersetzt wird und ein Standardapostroph gegen eines von drei nahezu identischen Zeichen getauscht wird.
Auch lesenswert: BitMine trotzt dem Ausverkauf mit einer 43-Millionen-Dollar-Ethereum-Wette, Strategie wankt
Vertrauensverlust bei Entwicklern
Entwickler reagierten alarmiert, als der Mechanismus öffentlich wurde, und argumentierten, dass ein Tool mit Zugriff auf Quellcode und Shell-Befehle den Nutzern einen höheren Offenlegungsstandard schulde als ein Chatfenster. Ein Bug-Report, der gegen das Code-Repository des Projekts eingereicht wurde, bezeichnete die Praxis als verdecktes Fingerprinting und fragte, welche anderen Signale vor Nutzern verborgen sein könnten. Kommentatoren merkten an, dass sich die Prüfung einfach umgehen lasse, indem man einen Hostnamen oder die Systemuhr ändere.
Das bedeutet, dass sie vor allem gewöhnliche Entwickler markiert, die legitime Unternehmens-Proxys verwenden, statt der ausgefeilten Akteure, für die sie eigentlich gebaut wurde. Anthropic hat zuvor chinesische Labore, darunter DeepSeek, Moonshot AI und MiniMax, beschuldigt, mithilfe von mehr als 24.000 betrügerischen Konten und über 16 Millionen Interaktionen das Denk- und Programmierverhalten von Claude in diesem Jahr kopiert zu haben.
Ein Anthropic-Ingenieur bestätigte den Code in sozialen Medien und erklärte, er werde in der Veröffentlichung des folgenden Tages entfernt, obwohl das Unternehmen noch keine formale schriftliche Stellungnahme abgegeben hatte. Der Vorfall reiht sich in eine Serie von Sicherheitsfragen rund um Claude Code in diesem Jahr ein.
Forscher bei Microsoft offenlegten im Juni eine Prompt-Injection-Schwachstelle in der GitHub-Integration, Check Point meldete im Februar drei separate Schwachstellen, und Anthropics eigener Quellcode ist im April kurzzeitig geleakt worden.
Als Nächstes lesen: CZ sagt, Binance stand Tage vor der MiCA-Genehmigung, bevor die Politik dazwischenfunkte





