1284 Punkte und Explosion: KI-Gigant bettet unsichtbare Wasserzeichen in jede Anfrage ein

KISicherheitDatenschutzSteganographieAnthropic

Quellen:HN + web research · HN

Am 30. Juni 2026 tat ein Entwickler mit dem Online-Namen Thereallo etwas, was Programmierer häufig tun – weil er nicht genau wusste, was eine Software auf seinem Rechner eigentlich treibt, öffnete er ihren Quellcode.

Die Software heißt Claude Code, ein Programmierassistent der KI-Firma Anthropic – ein KI-Kollege, der selbstständig Code schreibt, Befehle ausführt und Dateien modifiziert und dabei mit erschreckend weitreichenden Berechtigungen auf dem Rechner des Entwicklers sitzt: Er kann Ordner auslesen, Terminal-Befehle ausführen und sogar den Browser steuern.

Thereallo untersuchte den Quellcode von Claude Code Version 2.1.196. Während er las, blieb seine Hand stehen.

Das Programm enthielt eine Funktion: Bei jeder Anfrage an die KI bettet es für das menschliche Auge unsichtbare Markierungen in den Text ein. Mit anderen Worten: „unsichtbare Tinte” – versteckt in einem Satz des System-Prompts, außerhalb jeglicher offizieller Dokumentation.

Er schrieb seine Entdeckung in einem Blogbeitrag nieder. Sechs Stunden später erreichte der Beitrag auf Hacker News 1284 Punkte und 362 Kommentare, auf Lobsters 31 Stimmen. Die Technik-Community explodierte.

Wie funktioniert die unsichtbare Tinte?

Um zu verstehen, warum dieser Fund Alarmglocken auslöste, muss man zunächst nachvollziehen, wie die „unsichtbare Tinte” hier konkret funktioniert.

Immer wenn Claude Code arbeitet, sendet es zunächst eine Hintergrundinformation an das KI-Gehirn – zum Beispiel: „Das heutige Datum ist der 2026-06-30”. Das ist normal: Die KI muss das heutige Datum kennen, um zeitrelevante Fragen beantworten zu können.

Doch Thereallo entdeckte, dass das Programm vor dem Versenden dieser Nachricht eine Art „Sicherheitscheck” durchführt. Zunächst prüft es, ob die Zeitzone des Rechners auf „Shanghai” oder „Ürümqi” eingestellt ist. Ist das nicht der Fall, wird geprüft, ob die Netzwerkanfrage an eine bestimmte URL geht.

Abhängig vom Prüfergebnis verändert das Programm unauffällig zwei Dinge in der Datumszeichenkette:

Erstens: Den Bindestrich im Datum durch einen Schrägstrich ersetzen. „2026-06-30” wird zu „2026/06/30”.

Zweitens: Das einfache Anführungszeichen im Englischen durch vier verschiedene Unicode-Varianten ersetzen. Auf dem Bildschirm sehen diese Anführungszeichen völlig identisch aus – das menschliche Auge kann sie nicht unterscheiden. Für den Computer sind es jedoch vier verschiedene Zeichen, vergleichbar mit vier verschiedenen Stempeln.

Kombiniert man die Ergebnisse aus Zeitzonenprüfung, URL-Prüfung und Keyword-Abgleich, ergeben sich insgesamt vier verschiedene „unsichtbare Signaturen”. Wenn Anthropics Server die Anfrage empfängt, kann er durch das Auslesen dieser unsichtbaren Zeichen erkennen, über welchen Kanal die Anfrage eingegangen ist.

Noch misstrauischer macht die Tatsache, dass die Zielliste dieser Funktion verschlüsselt im Code versteckt ist. Die Domainliste und die Keyword-Liste stehen nicht lesbar im Quelltext, sondern sind per XOR-Verschlüsselung (einem grundlegenden Verschlüsselungsverfahren) kombiniert mit Base64-Kodierung verborgen. Nach der Entschlüsselung fand Thereallo Folgendes vor:

KI-Labore als Keywords: deepseek, moonshot, minimax, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope (Alibaba Bailian), volces (Volcano Engine).

Die Domain-Liste ging noch weiter: Neben KI-Firmen umfasste sie Baidu, Alibaba, Ant Group, ByteDance, Kuaishou, Xiaohongshu, JD.com, Bilibili, iFlytek und eine Vielzahl weiterer chinesischer Unternehmen sowie zahlreiche auf API-Reselling spezialisierte Proxy-Websites.

Anders gesagt: Dieses unsichtbare Wasserzeichensystem zielt in erster Linie auf Anfragen aus China ab.

Warum tut Anthropic das?

Bevor man Anthropic vorschnell das Etikett „heimlichtuerisch” anheftet, sollte man verstehen, dass das Motiv klar auf der Hand liegt.

Anthropics KI-Modell Claude ist auf dem chinesischen Festland offiziell nicht verfügbar. In der Praxis nutzen jedoch zahllose chinesische Anwender Claude indirekt über Reseller, Sprungserver und geteilte Accounts. Ein erheblicher grauer Markt hat sich gebildet – Medienberichten zufolge werden Claude-APIs auf dem chinesischen Markt zu einem Zehntel des offiziellen Preises weiterverkauft.

Was Anthropic noch mehr beunruhigt, ist die „Modelldestillation”. Der Begriff klingt technisch, meint aber etwas Einfaches: Man nutzt die riesigen Mengen an Claude-Frage-Antwort-Paaren, um ein anderes KI-Modell zu trainieren – vergleichbar mit dem Einsatz der Werke eines Meisters als Lehrmaterial für dessen Schüler. Ende Juni 2026 beschuldigte Anthropic öffentlich Alibaba, Claude-Modelle systematisch über 25.000 gefälschte Accounts und 28,8 Millionen Dialoge destilliert zu haben.

Aus Anthropics Perspektive: Mein Modell wird vom Wettbewerber als Trainingsmaterial genutzt, mein Bezahldienst wird von Zwischenhändlern zu Dumpingpreisen weiterverkauft – darf ich da nicht wenigstens versuchen, diese Aktivitäten zu erkennen?

Genau das ist das Designziel dieses unsichtbaren Markierungssystems: Anfragen, die über inoffizielle Kanäle eingehen, mit einem „Erkennungscode” zu versehen, damit das Backend normale von verdächtigen Anfragen unterscheiden kann.

„Wenn man es offenlegt, funktioniert es nicht” – taugt das als Begründung?

Genau hier liegt das Problem.

Anthropics Logikkette lautet: Wir müssen Missbrauch erkennen → aber wenn wir öffentlich sagen: „Wir überwachen das”, würden Betrüger Wege finden, die Erkennung zu umgehen → also müssen wir es heimlich tun.

Klingt plausibel. Doch einer der meistgevoteten Kommentare auf Hacker News, vom Nutzer civet_java, trifft diese Logik mitten ins Herz:

„Dass ein Dienstanbieter dies aus geschäftlichen Gründen tut, heißt nicht, dass er keine transparente Offenlegung schuldet. Wenn eine ehrliche Offenlegung die Methode unwirksam macht, dann ist die Methode selbst das Problem – nicht der Nutzer.”

Der Kommentar erhielt breite Zustimmung. Er legt einen fundamentalen Widerspruch offen: Eine Anti-Missbrauch-Maßnahme, die nur funktioniert, wenn sie auf Täuschung beruht, ist in ihrer Wirksamkeit davon abhängig, dass die Nutzer nichts von ihr wissen. Das ist, als würde ein Supermarkt versteckte Kameras in Umkleidekabinen installieren, um Diebe zu fassen – Diebstahlbekämpfung ist legitim, aber die versteckte Kamera selbst ist ein Vertrauensbruch.

Eine noch schärfere Kritik kam vom Nutzer kiproping in Form einer Slippery-Slope-Warnung. Sein Kommentar stach aus über dreihundert Diskussionen als weiterer hochgevoteter Beitrag heraus:

„Erst wird die ‚chinesische Bedrohung’ als Rechtfertigung genutzt, dann sind es ‚Jailbreak-Nutzer’, dann ‚Gegner von Dario [Anthropic-CEO]’ – die Rutschbahn ist schon angesetzt.”

Darauf folgten sofort Anschlusskommentare:

  • „Du hast noch ‚zum Schutz der Kinder’ vergessen.”
  • „Wer beschützt denn die chinesischen Internet-Kinder!” (sarkastisch)

Diese Kaskade von Kommentaren wirkt auf den ersten Blick scherzhaft, trifft aber präzise das Unbehagen, das viele nicht aussprachen: Sobald die Logik „der Zweck heiligt die intransparenten Mittel” in einem Unternehmen akzeptiert ist, wird ihr Anwendungsbereich sich immer weiter ausdehnen – er wird sich niemals von selbst begrenzen. Heute versteckter Überwachungscode, weil „chinesische Wettbewerber destillieren unsere Modelle” – morgen mehr versteckter Überwachungscode, weil „jemand unsere Sicherheitsschranken mit Jailbreak-Prompts umgeht”. Und übermorgen?

Wer hat recht?

Fairerweise muss man sagen: Anthropic kämpft nicht gegen ein Hirngespinst.

Ich habe öffentlich zugängliche Informationen geprüft: Anthropic ist tatsächlich massivem systematischem Missbrauch ausgesetzt. Der API-Resale-Markt in China ist real, Modelldestillation hat längst die Theorieschwelle überschritten und wird als Mittel kommerzieller Konkurrenz eingesetzt. Wenn Sie ein Geschäft betreiben und feststellen, dass jemand täglich Waren aus Ihrer Hintertür trägt, um nebenan eine Filiale zu eröffnen, dann ist der Impuls, Ihre Waren zu markieren, durchaus nachvollziehbar.

Ein Nutzer namens bitshift auf Lobsters bot jedoch eine nüchternere Perspektive:

„Ich finde das nicht so vertrauenszerstörend, wie der ursprüngliche Autor es darstellt. Wenn man bereits eine Closed-Source-Software, die Befehle auf dem eigenen Rechner ausführt, akzeptiert hat … ich weiß auch nicht. Anthropic wird aus Reputationsgründen nicht zu weit gehen, aber sich für Claude zu entscheiden, bedeutet, diesen Handel einzugehen.”

Diese Sichtweise hat etwas für sich – wenn Sie Ihren Hausschlüssel einer Closed-Source-Software geben, ist die Forderung nach Transparenz von vornherein eingeschränkt. Anthropic hat in dieser Sache auch tatsächlich nichts Bösartiges getan – es geht um eine Art „Anti-Missbrauch-Markierung”, es wurden weder Ihr Code gestohlen noch Ihre Dateien hochgeladen noch Ihr Verhalten überwacht.

Doch die Gegenargumentation ist ebenso stark: Vertrauen ist keine Kreditkarte ohne Limit mit dem Aufdruck: „Du vertraust mir ja ohnehin schon.” Gerade weil der Nutzer diesem Werkzeug weitreichende Berechtigungen einräumt – Dateien lesen, Befehle ausführen, Code ändern, Netzwerkzugriff –, schuldet es ihm erst recht Transparenz. Vertrauen wird an den langweiligsten Stellen aufgebaut und geht an den langweiligsten Stellen verloren.

Das größere Problem: Wer setzt die Regeln?

Der Kern dieser Kontroverse berührt ein Governance-Vakuum im KI-Zeitalter:

In welchem Umfang dürfen KI-Unternehmen gegenüber ihren Nutzern Intransparenz praktizieren, wenn sie ihre eigenen Geschäftsinteressen schützen? Wer legt diese Grenze fest?

Derzeit lautet die Antwort: die KI-Unternehmen selbst. Anthropic entscheidet selbst, dass die „Erkennung chinesischer Distributionskanäle” ein hinreichend wichtiges Ziel ist, dass die „unsichtbare Markierung den Nutzern nicht schadet” und dass es „nicht nötig ist, dies in den Release Notes zu erwähnen”. Der gesamte Vorgang findet ohne externe Aufsicht, ohne Branchenstandard, ohne Nutzereinwilligung statt.

Doch der Nutzer ist derjenige, der dieses Programm auf seinem eigenen Rechner ausführt.

Ich schreibe dies nicht, um das Fazit „Anthropic ist böse” oder „Die Nutzer überreagieren” zu ziehen. Diese Kontroverse hat auf Hacker News nicht ohne Grund 1284 Punkte erhalten – beide Seiten haben nachvollziehbare Argumente. Anthropic erleidet reale geschäftliche Verluste, gegen die es sich schützen muss; Nutzer haben reale Gründe, Transparenz einzufordern.

Was wirklich zu denken geben sollte: Wenn „eine ehrliche Offenlegung die Methode unwirksam macht” künftig als Rechtfertigung für Intransparenz taugt, dann kann jedes KI-Unternehmen mit derselben Logik im Verborgenen alles tun, was es selbst für „notwendig” hält – ohne dass der Nutzer davon weiß. Das ist keine Panikmache: Letztes Jahrhundert machten Technologiekonzerne „zur Verbesserung der Nutzererfahrung” zur universellen Ausrede für das Sammeln privater Daten – diese Satzschablone kennen wir nur zu gut.

Die unsichtbare Tinte an sich ist nicht das Problem. Dass niemand von ihrer Existenz weiß, ist es.


Claude Code Steganographie-Vorfall Titelbild Abbildung: OG-Titelbild von Thereallos Blogartikel – veranschaulicht das technische Prinzip, wie Claude Code unsichtbare Markierungen über Unicode-Zeichenersetzung in den System-Prompt einbettet. Quelle: thereallo.dev


Referenzen: