Claude Code, der Terminal-Coding-Agent von Anthropic, bettet unsichtbare Unicode-Zeichen in jeden System-Prompt ein, der über eine benutzerdefinierte API-URL läuft. Ein Sicherheitsforscher hat den Mechanismus durch Analyse des Binaries aufgedeckt. Der Fund trifft Entwickler und Unternehmen, die Claude Code über interne Gateways oder CI/CD-Pipelines mit dem Coding-Agenten im Terminal betreiben, unmittelbar.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenDas Wichtigste in Kürze
- Die Funktion
Crt()im Claude-Code-Binary tauscht den Apostroph in „Today’s date is …“ durch einen von drei visuell identischen Unicode-Ersatzzeichen aus (U+2019, U+02BC, U+02B9), je nach Klassifizierung der genutzten API-URL. - Das Verhalten ist undokumentiert, hinter XOR/Base64-Verschlüsselung verborgen und war ohne Wissen der Nutzer aktiv.
- Für DACH-Unternehmen entsteht ein konkretes DSGVO-Risiko: Fehlt die Klassifizierungslogik im Data Processing Agreement, ist eine Datenschutz-Folgenabschätzung einzuleiten.
Wie der Mechanismus technisch funktioniert

Der Auslöser ist die Umgebungsvariable ANTHROPIC_BASE_URL. Ist diese gesetzt, prüft Crt() den Hostnamen gegen zwei XOR/Base64-verschlüsselte Listen mit dem Schlüssel 91: eine Domainliste chinesischer und westlicher KI-Anbieter sowie eine Keyword-Liste mit Einträgen wie deepseek, zhipu oder openrouter. Das Ergebnis der Klassifizierung landet nicht in einem dedizierten Telemetriefeld, sondern als Unicode-Fingerprint im harmlosen Prosa-Satz „Today’s date is …“. Im UI erscheint der Satz normal. Im Raw-HTTP-Request ist der Marker lesbar.
Ein Coding-Agent, der Schreibzugriff auf Ihr Repository hat, verdient vollständige Transparenz über sein Netzwerkverhalten. Steganografie im System-Prompt ist das Gegenteil davon.
— Michael Dobler, Herausgeber Dr. Web
Die wirtschaftliche Motivation von Anthropic ist nachvollziehbar: API-Reseller, Modell-Destillations-Pipelines und nicht autorisierte Gateways sollen erkannt werden. Der strukturelle Fehler liegt nicht im Ziel, sondern im Mittel. Ein steganografisches Signal in einer Prosa-Zeile ist kein Telemetriefeld mit Dokumentation. Vielmehr handelt es sich um einen versteckten Marker, der aktiv hinter Verschlüsselung abgelegt wird, ohne Release-Notes-Eintrag und ohne Nutzerkenntnis, bei einem Tool, das Filesystem-, Shell- und Git-Zugriff besitzt.
Ein Muster, das sich wiederholt: Wo steckt das Systemproblem?
Wie Claude Code unsichtbare Unicode-Zeichen in API-Anfragen einbettet – und was das für DACH-Unternehmen unter der DSGVO bedeutet.
Gemeinsamer Nenner aller drei Fälle: Dev-Tools mit privilegiertem Systemzugriff führen Klassifizierungs- oder Tracking-Logik ein, die auf legitime Nutzer mit Custom-Setups abzielt – ohne Informationspflicht zu erfüllen.
Der Fall ist kein Einzelfall. Im April 2026 hat GitHub die CLI-Telemetrie für alle Nutzer per Default aktiviert, ohne eigenständige Ankündigung. The Register hat die Änderung aufgedeckt; der Opt-out ist erst nach öffentlichem Druck erfolgt. Bereits 2022 hat die offizielle VS-Code-Copilot-Extension bei Nutzung eines alternativen Backends weiterhin Telemetrie an Microsoft gesendet, weil das Verhalten weder im UI noch in den Release Notes aufgetaucht ist. Der gemeinsame Nenner aller drei Fälle: Dev-Tools mit privilegiertem Systemzugriff führen Klassifizierungs- oder Tracking-Logik ein, die auf legitime Nutzer mit Custom-Setups abzielt, ohne diese zu informieren. Dabei handelt es sich um kein klassisches CVE-Exploit; kategorisieren lässt sich das Muster jedoch als Supply-Chain-Vertrauensversagen.
Was bedeutet das konkret für DACH-Unternehmen?

Besonders bitter: Das Signal ist trivial zu umgehen. Hostname ändern, Timezone anpassen, Binary patchen. Jeder ernsthafte Missbraucher macht den Marker wirkungslos. Den Fingerprint trifft damit vor allem, wo er am einfachsten greift: bei normalen Entwicklern mit legitimen Custom-Setups wie internen Proxies oder Research-Umgebungen. Wer tiefer in die Welt der großen Sprachmodelle und deren Einsatz in Unternehmen einsteigen möchte, findet im LLMs-Ratgeber eine fundierte Grundlage.
Unter DSGVO Art. 13 muss ein Datenverarbeiter bei der Erhebung von Daten über Zweck, Rechtsgrundlage und Empfänger informieren. App-Telemetrie und automatisierte Signaleinbettung fallen nach herrschender Meinung darunter. Fehlt diese Information vollständig, wie im vorliegenden Fall ohne Release-Note und ohne DPA-Eintrag, liegt ein Verstoß gegen die Transparenzpflicht nahe. Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes sind möglich. Wer bereits die DSGVO-Compliance bei anderen KI-Tools geprüft hat, kennt das Muster: Die Lücken liegen selten im Offensichtlichen.
Drei konkrete Maßnahmen für DACH-Entscheider:
- Claude-Code-Version prüfen und Netzwerkverkehr mit einem MITM-Proxy (etwa mitmproxy) auf Unicode-Anomalien im System-Prompt auditieren.
- Anthropics Data Processing Agreement auf Vollständigkeit prüfen. Fehlt die Klassifizierungslogik als Verarbeitungszweck, sollte ein Datenschutzbeauftragter eingeschaltet werden.
- Teams, die Claude Code über interne Gateways oder CI/CD-Pipelines mit vertraulichem Code betreiben, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO einleiten, bis Anthropic das Verhalten offiziell dokumentiert.
Das BSI empfiehlt generell, Drittanbieter-Tools mit privilegiertem Systemzugriff vor dem unternehmensweiten Rollout auf undokumentierte Netzwerkkommunikation zu prüfen. Beim Claude-Code-Rollout ist dieser Schritt in vielen Unternehmen offensichtlich kein Standard gewesen. Wer KI-Tools datenschutzkonform einsetzen will, kommt um ein systematisches Audit nicht herum. Gleiches gilt für Anthropics Sicherheitsversprechen, die vor diesem Fund deutlich glaubwürdiger gewirkt haben. Mit dem aktuellen Claude Sonnet 4 setzt Anthropic weiter auf Vertrauen als Markenwert, was den undokumentierten Mechanismus im Coding-Agenten umso unverständlicher macht. Mehr zur aktuellen Entwicklung rund um KI liefert die Dr.-Web-Kategorienseite.
Mehr Newshunger?
- Anthropic veröffentlicht Claude Sonnet 4
- Claude Code: Anthropics KI-Coding-Agent im Terminal
- OpenAI und DSGVO: Was Unternehmen wissen müssen
- KI-Tools und Datenschutz: So schützen Sie Ihre Unternehmensdaten
- LLMs-Ratgeber: Große Sprachmodelle verstehen und einsetzen
- Generative Engine Optimization (GEO): Reicht klassisches SEO 2026 noch aus?