Claude Code, der Terminal-Coding-Agent von Anthropic, bettet unsichtbare Unicode-Zeichen in jeden System-Prompt ein, der über eine benutzerdefinierte API-URL läuft. Ein Sicherheitsforscher hat den Mechanismus durch Analyse des Binaries aufgedeckt. Der Fund trifft Entwickler und Unternehmen, die Claude Code über interne Gateways oder CI/CD-Pipelines mit dem Coding-Agenten im Terminal betreiben, unmittelbar.

drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen

Das Wichtigste in Kürze

  • Die Funktion Crt() im Claude-Code-Binary tauscht den Apostroph in „Today’s date is …“ durch einen von drei visuell identischen Unicode-Ersatzzeichen aus (U+2019, U+02BC, U+02B9), je nach Klassifizierung der genutzten API-URL.
  • Das Verhalten ist undokumentiert, hinter XOR/Base64-Verschlüsselung verborgen und war ohne Wissen der Nutzer aktiv.
  • Für DACH-Unternehmen entsteht ein konkretes DSGVO-Risiko: Fehlt die Klassifizierungslogik im Data Processing Agreement, ist eine Datenschutz-Folgenabschätzung einzuleiten.

Wie der Mechanismus technisch funktioniert

Lupe vergrößert zwei Kommas; ein oranger Pfeil deutet auf eines davon hin
Crt() prüft bei gesetzter ANTHROPIC_BASE_URL den Hostnamen gegen XOR/Base64-verschlüsselte Listen chinesischer und westlicher KI-Anbieter sowie Keywords wie deepseek oder zhipu

Der Auslöser ist die Umgebungsvariable ANTHROPIC_BASE_URL. Ist diese gesetzt, prüft Crt() den Hostnamen gegen zwei XOR/Base64-verschlüsselte Listen mit dem Schlüssel 91: eine Domainliste chinesischer und westlicher KI-Anbieter sowie eine Keyword-Liste mit Einträgen wie deepseek, zhipu oder openrouter. Das Ergebnis der Klassifizierung landet nicht in einem dedizierten Telemetriefeld, sondern als Unicode-Fingerprint im harmlosen Prosa-Satz „Today’s date is …“. Im UI erscheint der Satz normal. Im Raw-HTTP-Request ist der Marker lesbar.

Ein Coding-Agent, der Schreibzugriff auf Ihr Repository hat, verdient vollständige Transparenz über sein Netzwerkverhalten. Steganografie im System-Prompt ist das Gegenteil davon.

— Michael Dobler, Herausgeber Dr. Web

Die wirtschaftliche Motivation von Anthropic ist nachvollziehbar: API-Reseller, Modell-Destillations-Pipelines und nicht autorisierte Gateways sollen erkannt werden. Der strukturelle Fehler liegt nicht im Ziel, sondern im Mittel. Ein steganografisches Signal in einer Prosa-Zeile ist kein Telemetriefeld mit Dokumentation. Vielmehr handelt es sich um einen versteckten Marker, der aktiv hinter Verschlüsselung abgelegt wird, ohne Release-Notes-Eintrag und ohne Nutzerkenntnis, bei einem Tool, das Filesystem-, Shell- und Git-Zugriff besitzt.

Ein Muster, das sich wiederholt: Wo steckt das Systemproblem?

Sicherheitsanalyse
Claude Code: Versteckte Steganografie-Signaturen im System-Prompt

Wie Claude Code unsichtbare Unicode-Zeichen in API-Anfragen einbettet – und was das für DACH-Unternehmen unter der DSGVO bedeutet.

3
Unicode-Zeichen als mögliche Fingerprints (U+2019, U+02BC, U+02B9)
1.429
Punkte auf Hacker News – meistdiskutierte Meldung des Tages
4 %
Maximales DSGVO-Bußgeld des weltweiten Jahresumsatzes
So funktioniert der Mechanismus
1
Auslöser
Die Umgebungsvariable ANTHROPIC_BASE_URL ist auf eine benutzerdefinierte API-URL gesetzt – typisch bei internen Proxies, Gateways oder CI/CD-Pipelines.
2
Klassifizierung
Die Funktion Crt() prüft den Hostnamen gegen zwei XOR/Base64-verschlüsselte Listen (Schlüssel 91): eine Domainliste (u. a. chinesische KI-Anbieter) und eine Keyword-Liste mit Einträgen wie deepseek, openrouter oder zhipu.
3
Fingerprint einbetten
Je nach Klassifizierungsergebnis ersetzt Crt() den gewöhnlichen Apostroph in „Today’s date is …“ durch eines von drei visuell identischen Unicode-Sonderzeichen. Im UI: unsichtbar. Im Raw-HTTP-Request: lesbar.
4
Ergebnis
Anthropic kann API-Reseller, Modell-Destillations-Pipelines und nicht autorisierte Gateways anhand des Unicode-Markers im System-Prompt identifizieren – ohne dass Nutzer informiert wurden und ohne Release-Note-Eintrag.
Die drei Unicode-Fingerprints – visuell identisch, technisch unterschiedlich
U+0027
Normaler Apostroph
Standard – kein Custom-Gateway
U+2019
Right Single Quotation Mark
Signal: Gateway erkannt
U+02BC
Modifier Letter Apostrophe
Signal: China-Domain-Liste
U+02B9
Modifier Letter Prime
Signal: Keyword-Liste
System-Prompt im Raw-HTTP-Request (vereinfacht)
Todays date is 2025-06-15 …▲ Dieser Apostroph ist U+2019 – der unsichtbare Fingerprint. Im UI nicht zu unterscheiden.
Kein Einzelfall: Supply-Chain-Vertrauensversagen als Muster
2022
VS Code Copilot Extension
Bei Nutzung eines alternativen Backends sendet die offizielle Extension weiterhin Telemetrie an Microsoft – weder im UI noch in den Release Notes dokumentiert.
Apr. 2026
GitHub CLI
CLI-Telemetrie für alle Nutzer per Default aktiviert, ohne eigenständige Ankündigung. Opt-out erst nach öffentlichem Druck durch The-Register-Bericht.
2026
Claude Code – dieser Fall
Steganografischer Unicode-Fingerprint im System-Prompt, hinter XOR/Base64 verborgen, ohne Nutzerkenntnis – trifft legitime Entwickler mit Custom-Setups am härtesten.

Gemeinsamer Nenner aller drei Fälle: Dev-Tools mit privilegiertem Systemzugriff führen Klassifizierungs- oder Tracking-Logik ein, die auf legitime Nutzer mit Custom-Setups abzielt – ohne Informationspflicht zu erfüllen.

DSGVO-Implikationen
Verletzung der Transparenzpflicht
DSGVO Art. 13 verpflichtet zur Information über Zweck, Rechtsgrundlage und Empfänger. Fehlt der DPA-Eintrag, liegt ein Verstoß nahe.
Bußgeld-Risiko
Bei nachgewiesenem Verstoß: bis zu 4 % des weltweiten Jahresumsatzes oder 20 Mio. Euro, je nachdem, welcher Betrag höher ist.
DSFA nach Art. 35 DSGVO
Teams, die Claude Code in CI/CD-Pipelines mit vertraulichem Code betreiben, sollten eine Datenschutz-Folgenabschätzung einleiten.
Betroffene Entwickler
Der Fingerprint wirkt vor allem bei legitimen Nutzern mit internen Proxies oder Research-Umgebungen – ernsthafte Missbraucher umgehen ihn trivial.
Maßnahmen für DACH-Entscheider
Sofort
Netzwerkverkehr auditieren
Claude-Code-Version prüfen und HTTP-Traffic mit einem MITM-Proxy (z. B. mitmproxy) auf Unicode-Anomalien im System-Prompt untersuchen.
Kurzfristig
DPA prüfen
Anthropics Data Processing Agreement auf Vollständigkeit prüfen. Fehlt die Klassifizierungslogik als Verarbeitungszweck, Datenschutzbeauftragten einschalten.
Mittelfristig
DSFA einleiten
Für alle Teams, die Claude Code über interne Gateways oder CI/CD-Pipelines mit vertraulichem Code betreiben, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchführen.

Der Fall ist kein Einzelfall. Im April 2026 hat GitHub die CLI-Telemetrie für alle Nutzer per Default aktiviert, ohne eigenständige Ankündigung. The Register hat die Änderung aufgedeckt; der Opt-out ist erst nach öffentlichem Druck erfolgt. Bereits 2022 hat die offizielle VS-Code-Copilot-Extension bei Nutzung eines alternativen Backends weiterhin Telemetrie an Microsoft gesendet, weil das Verhalten weder im UI noch in den Release Notes aufgetaucht ist. Der gemeinsame Nenner aller drei Fälle: Dev-Tools mit privilegiertem Systemzugriff führen Klassifizierungs- oder Tracking-Logik ein, die auf legitime Nutzer mit Custom-Setups abzielt, ohne diese zu informieren. Dabei handelt es sich um kein klassisches CVE-Exploit; kategorisieren lässt sich das Muster jedoch als Supply-Chain-Vertrauensversagen.

Was bedeutet das konkret für DACH-Unternehmen?

Orangefarbene Briefmarke mit Posthorn links und Aufkleber mit „VERTRAUENSWÜRDIG?“ rechts
Versteckte Signale im Klartext: Claude Code bettet Klassifizierungsmarker in scheinbar harmlose Prosa ein, ohne Nutzer oder Release Notes zu informieren.

Besonders bitter: Das Signal ist trivial zu umgehen. Hostname ändern, Timezone anpassen, Binary patchen. Jeder ernsthafte Missbraucher macht den Marker wirkungslos. Den Fingerprint trifft damit vor allem, wo er am einfachsten greift: bei normalen Entwicklern mit legitimen Custom-Setups wie internen Proxies oder Research-Umgebungen. Wer tiefer in die Welt der großen Sprachmodelle und deren Einsatz in Unternehmen einsteigen möchte, findet im LLMs-Ratgeber eine fundierte Grundlage.

Unter DSGVO Art. 13 muss ein Datenverarbeiter bei der Erhebung von Daten über Zweck, Rechtsgrundlage und Empfänger informieren. App-Telemetrie und automatisierte Signaleinbettung fallen nach herrschender Meinung darunter. Fehlt diese Information vollständig, wie im vorliegenden Fall ohne Release-Note und ohne DPA-Eintrag, liegt ein Verstoß gegen die Transparenzpflicht nahe. Bußgelder von bis zu 4 Prozent des weltweiten Jahresumsatzes sind möglich. Wer bereits die DSGVO-Compliance bei anderen KI-Tools geprüft hat, kennt das Muster: Die Lücken liegen selten im Offensichtlichen.

Drei konkrete Maßnahmen für DACH-Entscheider:

  • Claude-Code-Version prüfen und Netzwerkverkehr mit einem MITM-Proxy (etwa mitmproxy) auf Unicode-Anomalien im System-Prompt auditieren.
  • Anthropics Data Processing Agreement auf Vollständigkeit prüfen. Fehlt die Klassifizierungslogik als Verarbeitungszweck, sollte ein Datenschutzbeauftragter eingeschaltet werden.
  • Teams, die Claude Code über interne Gateways oder CI/CD-Pipelines mit vertraulichem Code betreiben, eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO einleiten, bis Anthropic das Verhalten offiziell dokumentiert.

Das BSI empfiehlt generell, Drittanbieter-Tools mit privilegiertem Systemzugriff vor dem unternehmensweiten Rollout auf undokumentierte Netzwerkkommunikation zu prüfen. Beim Claude-Code-Rollout ist dieser Schritt in vielen Unternehmen offensichtlich kein Standard gewesen. Wer KI-Tools datenschutzkonform einsetzen will, kommt um ein systematisches Audit nicht herum. Gleiches gilt für Anthropics Sicherheitsversprechen, die vor diesem Fund deutlich glaubwürdiger gewirkt haben. Mit dem aktuellen Claude Sonnet 4 setzt Anthropic weiter auf Vertrauen als Markenwert, was den undokumentierten Mechanismus im Coding-Agenten umso unverständlicher macht. Mehr zur aktuellen Entwicklung rund um KI liefert die Dr.-Web-Kategorienseite.

Mehr Newshunger?

4,6 19 Bewertungen

Wie hat Ihnen dieser Artikel gefallen?