Ein Chinese wird von Anthropic markiert

Versteckte Tracker in Claude Code spionieren Entwickler aus

Anthropic nutzt geheime Unicode-Zeichen zur Überwachung. So will das Unternehmen Datendiebstahl durch chinesische Konkurrenten verhindern.

Andreas Becker GPT-Images-2.0
Ein Chinese wird von Anthropic markiert

Ein Entwickler hat in Anthropics Entwickler-Terminal Claude Code versteckte Tracking-Funktionen entdeckt. Claude Code schleust kaum sichtbare Unicode-Zeichen in Prompts ein, um heimlich Informationen über die Zeitzone und genutzte Proxyserver an Anthropic zu übertragen.

Unsichtbare Zeichen im System-Prompt

Der Mechanismus ist seit Version 2.1.91 aktiv. Sobald ein Nutzer eine Proxy-Verbindung einsetzt, prüft Claude Code lokale Umgebungsvariablen. Befindet sich der Rechner in einer chinesischen Zeitzone wie Asia/Shanghai, ändert es das Datumsformat im System-Prompt von »2026-06-30« auf »2026/06/30«.

Zusätzlich analysiert Claude Code die Host-Domain des Rechners und gleicht sie mit einer versteckten Liste ab. Darauf stehen chinesische Tech-Unternehmen und Entwickler wie Alibaba, Deepseek, Moonshot und Minimax. Bei einem Treffer tauscht es den gewöhnlichen Apostroph im englischen Satz »Today's date is« gegen optisch fast identische Unicode-Zeichen aus. Ein herkömmliches Hochkomma weicht dann beispielsweise einem speziellen Modifikationszeichen wie »\u02BC«. Die Namenslisten für diesen Abgleich hat Anthropic über eine XOR-Verschlüsselung mit dem Schlüssel 91 im Quellcode versteckt.

Anzeige

Schutz vor Datendiebstahl

Anthropic zielt mit dieser Methode auf unerlaubtes Verhalten ab. Das Unternehmen wirft chinesischen Konkurrenten vor, Antworten von Claude für das kostengünstige Training eigener Modelle abzugreifen. Jüngst beschuldigte Anthropic etwa Alibaba, über 25.000 gefälschte Konten fast 30 Millionen Interaktionen generiert zu haben. Die versteckte Markierung durch Claude Code soll dabei helfen, derartige Destillationsangriffe über unautorisierte Reseller und Proxyserver aufzudecken.

Kritik an fehlender Transparenz

Viele Entwickler reagieren auf die Analyse mit Unverständnis. Programmierer gewähren Coding-Assistenten wie Claude Code oft weitreichende Lese- und Schreibrechte auf ihren lokalen Dateisystemen. Dass Anthropic diesen Zugriff für undokumentierte Telemetrie nutzt, kritisieren Nutzer als Überwachung. Wer legitimerweise Proxys nutzt oder eigene Forschungsnetzwerke betreibt, gerät ebenfalls ins Visier der Erkennung. Zielgerichtete Angreifer können die Markierungen durch einfache Änderungen an Umgebungsvariablen oder lokalen Zeitzonen hingegen ohne großen Aufwand umgehen.

KI-Wissen mit menschlicher Note

Wir arbeiten wie die großen Magazine: KI-gestützt, aber jeder Text wird von echten Menschen geprüft und optimiert. Was uns unterscheidet? Bei uns gibt es keine Paywall!

Jeder Beitrag zählt – auch das Teilen.