Alibaba verbietet Claude Code nach Fund versteckten Tracking-Codes

iEXExchanger
Alibaba verbietet Claude Code nach Fund versteckten Tracking-Codes

Ein Forscher entdeckte in Claude Code versteckten Code, der chinesische Nutzer per Zeitzone erkannte und Prompts steganografisch veränderte. Anthropic entfernte ihn am 1. Juli, einen Tag nach der Enthüllung.

Am 30. Juni zerlegte ein Forscher unter dem Pseudonym LegitMichel777 Claude Code und stieß auf etwas Beunruhigendes. In Anthropics Coding-Tool war seit Version 2.1.91 vom 2. April obfuskierter Code verborgen, der still prüfte, ob Nutzer aus China heraus arbeiten.

Der Mechanismus war raffiniert. Der Code verglich die Systemzeitzone mit Asia/Shanghai und Asia/Urumqi und scannte Proxy-Adressen auf chinesische Domains und KI-Labor-Adressen. Im Trefferfall wechselte das Datumsformat im System-Prompt von Bindestrichen zu Schrägstrichen, und das Apostroph in Today's date is wurde durch ein visuell identisches Unicode-Zeichen ersetzt — für Menschen unsichtbar, für Anthropics Server lesbar.

Anthropic bestätigte den Fund. Ingenieur Thariq Shihipar bezeichnete es als ein im März gestartetes Experiment zur Verhinderung von Kontomissbrauch und Destillation und räumte ein, das Team habe es schon länger entfernen wollen. Erledigt am 1. Juli — einen Tag nach der öffentlichen Enthüllung.

Alibaba handelte prompt. Ab dem 10. Juli untersagt das Unternehmen seinen Mitarbeitern die Nutzung von Claude Code, stuft es als Hochrisiko-Software mit Sicherheitslücken ein und empfiehlt stattdessen den eigenen Coding-Agenten Qoder.

Der Hintergrund ist konfliktgeladen. Ende Juni hatte Anthropic das Qwen-Labor von Alibaba des größten bekannten Destillationsangriffs auf Claude beschuldigt: Rund 25.000 betrügerische Accounts sollen zwischen April und Juni 28,8 Millionen Dialoge generiert haben, um Konkurrenzmodelle zu trainieren. Alibaba bestreitet dies. Die naheliegende Frage: Wenn ein Unternehmen Überwachung im Produktivcode versteckt und sie erst nach öffentlicher Enthüllung entfernt — wie glaubwürdig ist dann das Argument des Schutzes vor Missbrauch?

Fragen und Antworten

Häufig gestellte Fragen zum Thema des Artikels

Was genau wurde in Claude Code gefunden?

Obfuskierter Code seit Version 2.1.91 prüfte, ob Systemzeitzonen Asia/Shanghai oder Asia/Urumqi entsprachen, und scannte Proxies auf chinesische Domains. Bei Auslösung veränderte er Prompts steganografisch — änderte Datumsformate und ersetzte Apostrophe durch Unicode-Zeichen, für Nutzer unsichtbar, aber von Anthropics Servern lesbar.

Warum hat Anthropic diesen Tracking-Code hinzugefügt?

Anthropic-Ingenieur Thariq Shihipar erklärte, es sei ein Experiment zur Identifizierung nicht autorisierter Wiederverkäufer und zum Schutz vor Destillationsangriffen gewesen. Anthropic beschuldigte separat Alibabas Qwen-Labor des größten solchen Angriffs: 25.000 Accounts, 28,8 Millionen Dialoge in drei Monaten.

Wie reagiert Alibaba?

Ab dem 10. Juli 2026 untersagt Alibaba allen Mitarbeitern die Nutzung von Claude Code und bezeichnet es als Hochrisiko-Software mit Sicherheitslücken. Als Ersatz empfiehlt das Unternehmen sein eigenes Tool Qoder.

Was ist ein Modelldestillationsangriff?

Modelldestillation bedeutet, dass ein KI-Unternehmen seine Modelle trainiert, indem es massenhaft Antworten eines Konkurrenten sammelt und so dessen Qualität ohne ursprüngliche Trainingskosten übernimmt. Anthropic behauptete, Alibabas Qwen-Labor habe das mit 25.000 betrügerischen Accounts über drei Monate getan.