Ein staatlicher Sicherheitshinweis trifft auf ein amerikanisches KI-Werkzeug, und daraus wird ein Streit, der weit über den Quellcode hinausreicht. Chinas Cyberbehörde stuft das Programmierwerkzeug Claude Code als Risiko ein, Anthropic widerspricht. Für Entwicklerteams in der DACH-Region steckt darin eine Frage jenseits der Geopolitik.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügenEine Hintertür in Claude Code: So lautet der Vorwurf, den Chinas Nationale Schwachstellendatenbank am 8. Juli 2026 öffentlich erhoben hat. Betroffen sind laut der Behörde 106 aufeinanderfolgende Versionen des KI-Programmierwerkzeugs. Anthropic nennt denselben Code einen Schutz gegen Missbrauch, und genau diese Doppeldeutigkeit macht den Fall lehrreich.
Das Wichtigste in Kürze
- Chinas NVDB warnt, Claude Code sende in den Versionen 2.1.91 bis 2.1.196 Region und Identitätskennung ohne Zustimmung an einen entfernten Server.
- Anthropic bezeichnet den Mechanismus als Anti-Missbrauchs-Experiment vom März gegen nicht autorisierte Wiederverkäufer.
- Alibaba hat seinen Beschäftigten die Nutzung ab dem 10. Juli 2026 untersagt und rät intern zum Eigenprodukt Qoder.
- Für europäische Teams zählt weniger der geopolitische Streit als die Frage, welche Telemetrie ihre KI-Werkzeuge überhaupt versenden.
Was steckt in den beanstandeten Versionen?

Die Behörde beschreibt einen klassischen Hintertür-Mechanismus: Software, die sensible Daten ohne Kenntnis des Nutzers nach außen meldet. Konkret geht es um Region und Identitätskennung, übertragen an einen Server des Anbieters.
Anthropic zeichnet ein anderes Bild. Ein Ingenieur des Claude-Code-Teams hat den Code als Experiment vom März beschrieben, das nicht autorisierte Wiederverkäufer aussperren und Distillation verhindern soll. Claude Code ist in China offiziell nicht verfügbar; laut Anthropics Länderrichtlinie sind Nutzer aus nicht gelisteten Staaten ausgeschlossen.[1]
Technisch gesehen ändert die gute Absicht nichts am Datenfluss. Code, der Standort und Identität unbemerkt an einen fremden Server sendet, trägt dieselbe Signatur, ob er nun Betrug abwehrt oder spioniert. Der Kern ist deshalb keine Spionagefrage, sondern eine Frage von Transparenz und Einwilligung, wie zuletzt auch bei GitHubs KI-Agent, der sich zur Preisgabe privater Repositories verleiten ließ.
Vom Missbrauchsschutz zur politischen Waffe
Der Vorgang reiht sich in die technologische Entkopplung zwischen Washington und Peking ein. Schwachstellendatenbanken werden zunehmend zum Instrument der Handelspolitik: So wie die USA vor Huawei oder TikTok warnen, warnt China nun vor US-Software, wie 2023 beim Speicherhersteller Micron. Die Meldung über Claude Code ist damit auch ein Signal, nicht bloß ein Sicherheitsbefund.
Zugleich verschiebt sich die Angriffsfläche. Agentische Programmierwerkzeuge mit Datei- und Shell-Zugriff werden zum neuen Einfallstor, ob durch manipulierte Inhalte oder durch undokumentierte Telemetrie. Eine versteckte Funktion im Code ist dabei keine Seltenheit; erst kürzlich ist in der Firmware mehrerer Tenda-Router eine versteckte Authentifizierungs-Hintertür aufgetaucht.
Chinas Warnung, Anthropics Erklärung und die Frage der Einwilligung.
Zwei Lesarten desselben Codes
Eine Hintertür sende Standort und Identität ohne Zustimmung nach außen. Empfehlung: betroffene Versionen sofort deinstallieren oder aktualisieren.
Der Code sei ein Anti-Missbrauchs-Experiment vom März gegen nicht autorisierte Wiederverkäufer. China zählt nicht zu den zugelassenen Ländern.
EU-Blickwinkel: Telemetrie, die Standort und Identität ohne klare Einwilligung in die USA überträgt, berührt die DSGVO und gehört unter NIS2 in die Risikobewertung für Drittsoftware.
Nicht der Vorwurf aus Peking sollte deutsche Teams beunruhigen, sondern die simple Erkenntnis, dass kaum jemand weiß, welche Daten seine KI-Werkzeuge nach Hause funken.
— Markus Seyfferth, Chefredakteur Dr. Web
Was deutsche Entwicklerteams jetzt prüfen sollten
Für Anwender in der EU verschiebt sich die Brisanz auf die DSGVO. Telemetrie, die Standort und Identität ohne klare Einwilligung in die USA überträgt, berührt die Artikel 6 und 13 der Verordnung, ganz unabhängig vom China-Konflikt. Ein Team, das eine betroffene Version im Einsatz hatte, hat womöglich personenbezogene Daten in ein Drittland geschickt, ohne es zu wissen.
Hinzu kommt die Lieferketten-Perspektive. Unter NIS2 gehören KI-Programmierassistenten mit Repository- und Shell-Zugriff in die Risikobewertung für Drittsoftware, samt Datenschutz-Folgenabschätzung. Die Debatte um digitale Souveränität, die auch Microsofts Abkehr von OpenAI in eigenen Apps und den EU-Streit um die Chatkontrolle prägt, wird hier sehr konkret.
Sofort umsetzbar ist zweierlei: die installierte Claude-Code-Version über 2.1.196 hinaus aktualisieren und den ausgehenden Netzwerkverkehr der Entwicklungsumgebung mitschneiden. Mittelfristig gehört der Auftragsverarbeitungsvertrag auf die tatsächliche Datenübertragung geprüft, und für maximale Kontrolle lohnt ein Blick auf lokale Alternativen wie Rowboat. Einen Überblick über Modelle und Werkzeuge bietet die KI-Rubrik von Dr. Web.
Quelle
[1] Anthropic: „Supported countries & regions“ ↩
Mehr Newshunger?
- GitLost: Wie sich GitHubs KI-Agent zur Preisgabe privater Repositories verleiten lässt
- US-Cyberbehörde lässt ihren Code durch Claude Mythos prüfen
- Tenda-Firmware enthält in mehreren Versionen eine versteckte Authentifizierungs-Hintertür
- Copilot ohne OpenAI: Microsoft schaltet in Excel und Outlook auf eigene KI-Modelle um
- Rowboat: die quelloffene, lokale Alternative zu Claude Desktop