Am 30. Juni zerlegte ein Forscher unter dem Pseudonym LegitMichel777 Claude Code und stieß auf etwas Beunruhigendes. In Anthropics Coding-Tool war seit Version 2.1.91 vom 2. April obfuskierter Code verborgen, der still prüfte, ob Nutzer aus China heraus arbeiten.
Der Mechanismus war raffiniert. Der Code verglich die Systemzeitzone mit Asia/Shanghai und Asia/Urumqi und scannte Proxy-Adressen auf chinesische Domains und KI-Labor-Adressen. Im Trefferfall wechselte das Datumsformat im System-Prompt von Bindestrichen zu Schrägstrichen, und das Apostroph in Today's date is wurde durch ein visuell identisches Unicode-Zeichen ersetzt — für Menschen unsichtbar, für Anthropics Server lesbar.
Anthropic bestätigte den Fund. Ingenieur Thariq Shihipar bezeichnete es als ein im März gestartetes Experiment zur Verhinderung von Kontomissbrauch und Destillation und räumte ein, das Team habe es schon länger entfernen wollen. Erledigt am 1. Juli — einen Tag nach der öffentlichen Enthüllung.
Alibaba handelte prompt. Ab dem 10. Juli untersagt das Unternehmen seinen Mitarbeitern die Nutzung von Claude Code, stuft es als Hochrisiko-Software mit Sicherheitslücken ein und empfiehlt stattdessen den eigenen Coding-Agenten Qoder.
Der Hintergrund ist konfliktgeladen. Ende Juni hatte Anthropic das Qwen-Labor von Alibaba des größten bekannten Destillationsangriffs auf Claude beschuldigt: Rund 25.000 betrügerische Accounts sollen zwischen April und Juni 28,8 Millionen Dialoge generiert haben, um Konkurrenzmodelle zu trainieren. Alibaba bestreitet dies. Die naheliegende Frage: Wenn ein Unternehmen Überwachung im Produktivcode versteckt und sie erst nach öffentlicher Enthüllung entfernt — wie glaubwürdig ist dann das Argument des Schutzes vor Missbrauch?



