Anthropic versteckt unsichtbare Zeichen in Claude Code — um chinesische Reseller zu verfolgen

Anthropic versteckt unsichtbare Zeichen in Claude Code — um chinesische Reseller zu verfolgen

KIClaudeSicherheitDatenschutz

Quellen:thereallo.dev + Lobsters discussion + web research · HN

Anthropic Claude

Am 30. Juni stieß ein Sicherheitsforscher namens Thereallo bei der Analyse von Claude Code auf etwas Beunruhigendes: Anthropic hat in die System-Prompts, die an das KI-Modell gesendet werden, ein unsichtbares Zeichensystem eingebaut. Dieses System verändert abhängig vom geografischen Standort und der Netzwerkumgebung des Nutzers automatisch Satzzeichen — auf dem Bildschirm sieht man ein gewöhnliches englisches Datum, aber in den übertragenen Bytes stecken Tracking-Informationen.

Das ist keine Spekulation. Thereallo hat den Code auseinandergenommen und die gesamte Funktionsweise dieser Mechanik rekonstruiert. Nach der Lektüre des Originalartikels und der anschließenden Community-Diskussion möchte ich drei Dinge erklären: wie dieses unsichtbare Zeichensystem genau funktioniert, warum Anthropic es einsetzt und welche KI-Graumarkt-Industriekette dahintersteckt.

1. Die 「unsichtbare Tinte」 in den System-Prompts

Claude Code fügt bei jeder Kommunikation mit dem KI-Modell automatisch eine Datumszeile ein: 「Today’s date is 2026-06-30.」 Unter normalen Umständen ist das lediglich eine routinemäßige Kontextinformation.

Doch Thereallo entdeckte: Wenn ein Nutzer eine benutzerdefinierte API-Adresse konfiguriert hat — also nicht über die offiziellen Anthropic-Server läuft —, verändert Claude Code stillschweigend zwei Stellen in diesem Satz:

Erstens: das Datumstrennzeichen. Wenn die Zeitzone des Rechners auf 「Asia/Shanghai」 oder 「Asia/Urumqi」 eingestellt ist, wird aus 2026-06-30 ein 2026/06/30 — aus Bindestrichen werden Schrägstriche.

Zweitens: der Apostroph. Das kleine Apostroph in 「Today’s」 erscheint je nach API-Adresse in vier verschiedenen Varianten — optisch identisch, aber mit völlig unterschiedlichen Unicode-Codepoints. Bei direkter Verbindung zu den offiziellen Anthropic-Servern wird ein normales ASCII-Apostroph verwendet. Wird die API-Adresse als 「bekannte Reseller-Domain」 erkannt, kommt ein rechtsseitiges einfaches Anführungszeichen (U+2019). Enthält die Adresse den Namen eines chinesischen KI-Unternehmens (etwa deepseek, moonshot, zhipu), wird eine andere Variante verwendet (U+02BC). Treffen beide Bedingungen zu, kommt eine weitere Variante zum Einsatz (U+02B9).

Für das menschliche Auge sieht die Datumszeile völlig normal aus. Aber die Anthropic-Server können aus diesen Bytes decodieren: Läuft dieser Nutzer über einen Reseller-Proxy? Hat dieser Proxy Verbindungen zu chinesischen KI-Laboren?

Noch aufschlussreicher ist, dass die Erkennungslogik auf zwei versteckten Listen basiert. Die eine ist eine Domain-Blacklist mit 147 Einträgen — von großen chinesischen Konzern-Domains wie Baidu, Alibaba und ByteDance bis hin zu Reseller-spezifischen Domains wie claude-opus.top, openclaude.me oder proxyai.com. Die andere ist eine Keyword-Blacklist mit elf Namen chinesischer KI-Unternehmen, darunter deepseek, moonshot, minimax, zhipu, baichuan, stepfun und dashscope. Beide Listen sind Base64-codiert und mit dem Schlüssel 91 per XOR verschlüsselt — eine Technik, die man eher in Malware findet als in einem Unternehmen, das 「safety first」 auf seine Fahnen schreibt.

Claude API Graumarkt

2. Das dreistufige Reseller-Modell: Warum ist Anthropic so nervös?

Um zu verstehen, warum Anthropic solche versteckten Zeichen in seinen Code einbaut, muss man sich klarmachen, mit was für einem Gegner das Unternehmen es zu tun hat.

Die Claude-API ist in Festlandchina offiziell gesperrt — chinesischen Nutzern ist es nicht erlaubt, sich zu registrieren oder den Dienst direkt zu nutzen. Gleichzeitig gilt Claude als eines der leistungsfähigsten KI-Modelle fürs Programmieren, und chinesische Entwickler wollen es verwenden. Diese Angebotslücke hat ein riesiges graues Geschäft hervorgebracht, das in chinesischen Entwicklerkreisen als 「Transfer Station」 (中转站) bekannt ist.

Die Forscherin Zilan Qian vom China Policy Lab der Universität Oxford veröffentlichte im Mai dieses Jahres eine Untersuchung, die diese Industriekette detailliert analysiert. Auf der Grundlage von Qians Bericht und den nachfolgenden Community-Diskussionen lässt sie sich als Dreistufenmodell zusammenfassen:

Stufe 1: Subscription-Pooling und Arbitrage. Reseller registrieren massenhaft kostenlose Entwicklerkonten, um die 5-Dollar-API-Testguthaben von Anthropic abzugreifen. Oder sie nehmen ein einziges Claude-Max-Abonnement für 200 Dollar im Monat und teilen es auf Dutzende oder gar Hunderte gleichzeitiger Nutzer auf. Die Kosten pro Nutzer werden dadurch auf nahezu Null gedrückt. Einige verwenden sogar gestohlene Kreditkarten zur Kontoerstellung, was die Kosten buchstäblich auf Null reduziert. Im April führte Anthropic für bestimmte Nutzer eine Verifikation mit amtlichem Lichtbildausweis und Live-Selfie ein — doch der Graumarkt reagierte prompt und rekrutierte echte Personen in Niedriglohnländern als 「Gesichter-Vermittler」 für unter 30 Dollar pro Person. Diese Verteidigungslinie ist damit im Kern bereits durchbrochen.

Stufe 2: Modell-Degradierung und Verfälschung. Forscher des CISPA Helmholtz-Zentrums für Informationssicherheit in Deutschland auditierten 17 Transfer-Station-Dienste und stellten fest, dass systematisch teure Modelle durch billigere ersetzt werden. Kunden zahlen für Claude Opus (das leistungsfähigste Modell), erhalten aber tatsächlich Claude Haiku (das günstigste) oder sogar chinesische Modelle wie Qwen. In einem medizinischen Benchmark-Test erreichte ein Dienst, der angeblich Gemini-2.5 lieferte, lediglich 37 Punkte, während die offizielle API bei fast 84 Punkten lag. Der Nutzer glaubt, Spitzen-KI zu bekommen — in Wirklichkeit erhält er einen billigen Ersatz.

Stufe 3: Datenweiterverkauf als Trainingsmaterial. Das ist das eigentliche Profitcenter der gesamten Industriekette. Jeder Prompt, jeder Code-Upload, jede Antwort des Nutzers läuft über den Server der Transfer Station und wird dort vollständig aufgezeichnet. Vollständige Reasoning-Ketten, Code-Kontexte, validierte Ausgaben — genau das ist das wertvollste Rohmaterial für das Training konkurrierender KI-Modelle. Mehrere chinesische Entwickler bestätigten Zilan Qian: Die Preisdifferenz beim API-Reselling ist nur ein Mittel zur Kundenakquise. Das eigentliche Geschäft sind die Logs. Auf der KI-Modell-Plattform HuggingFace kursieren bereits Claude-Opus-Inferenzdatensätze unbekannter Herkunft.

Dieses Modell erklärt Anthropics Anspannung. Im Februar 2026 warf Anthropic öffentlich drei chinesischen KI-Unternehmen — DeepSeek, Moonshot AI und MiniMax — vor, mit über 24.000 gefälschten Konten mehr als 16 Millionen Konversationen generiert und Claude systematisch destilliert zu haben, um eigene Modelle zu trainieren. Das war ein industriell skalierter Angriff.

3. Anthropics Vertrauensdilemma

Zurück zum unsichtbaren Zeichensystem. Dass Anthropic Reseller und Destillationsangriffe verfolgen will, ist als Motivation durchaus nachvollziehbar. Jedes KI-Unternehmen würde versuchen, sein geistiges Eigentum vor systematischem Diebstahl zu schützen.

Das Problem liegt in der Art der Umsetzung.

Claude Code ist kein gewöhnlicher Chatbot. Es hat Zugriffsrechte auf Ihr Dateisystem, kann Shell-Befehle ausführen und Git-Repositories bearbeiten — es kann erheblich mehr als ein Chat-Fenster in einem Browser-Tab. Nutzer geben ihm diesen Schlüssel basierend auf einer grundlegenden Annahme: Die Entwickler dieses Tools sind aufrichtig. Wenn Claude Code unsichtbare Zeichen in System-Prompts verstecken kann, ohne Sie darüber zu informieren — wie können Sie dann sicher sein, dass es nicht an anderer Stelle Ähnliches tut?

Thereallo formulierte in seinem Artikel einen Satz, den ich sehr treffend finde: 「Trust is earned in the boring parts.」 Anthropic hätte die Tracking-Mechanik in die Release Notes schreiben können, als ein klar deklariertes Telemetriefeld, bei dem Nutzer wissen, was passiert und wie sie es abschalten können. Stattdessen wählte das Unternehmen Verstecken: Base64- und XOR-verschlüsselte Domain-Listen, für das Auge unsichtbare Unicode-Ersetzungen, keinerlei Erwähnung in der öffentlichen Dokumentation. Das ist keine bösartige Funktion — aber es ist eine 「seltsame Entscheidung」. Ein Tool, das das Vertrauen von Entwicklern verlangt, hat als erstes selbst die Grenze der Transparenz überschritten.

Und auch aus technischer Sicht ist die Wirksamkeit dieses Tracking-Systems fragwürdig. Es zu umgehen ist trivial: die System-Zeitzone ändern, eine andere Proxy-Domain verwenden oder einfach einen Environment-Variable-Patch einspielen. Jeder halbwegs motivierte Angreifer kann es mühelos aushebeln. Am Ende markiert das System vor allem jene gewöhnlichen Entwickler, die 「normale, aber ungewöhnliche」 Dinge tun — etwa ein Forschungsteam, das ein internes Gateway betreibt, oder einen Einzelnutzer mit lokalem Proxy.

Am 1. Juli, einen Tag nach Veröffentlichung von Thereallos Artikel, kündigte Anthropic an, die Mechanik zu entfernen, und lieferte noch am selben Tag eine neue Claude-Code-Version aus (2.1.197). Die Release Notes erwähnten die Entfernung der versteckten Markierungen jedoch mit keinem Wort.

4. Ein paar abschließende Gedanken

Ich schreibe diesen Artikel weder, um Reseller zu verteidigen, noch um Anthropic zu verurteilen. Beide Seiten haben nachvollziehbare Argumente.

Auf der Reseller-Seite: Claude ist in China nicht legal nutzbar, aber Entwickler brauchen einen guten KI-Programmierassistenten. Die Nachfrage ist real, der Graumarkt ihre natürliche Konsequenz. Zilan Qians Untersuchung erwähnt ein oft übersehenes Detail: Unter den Nutzern der Transfer Stations sind Studenten, Professoren und freiberufliche Entwickler — sie wollen einfach nur bessere Werkzeuge nutzen, ohne sich bewusst zu sein, dass sie gleichzeitig zu Datenarbeitern werden.

Auf der Anthropic-Seite: Wenn Milliardenbeträge in die Entwicklung von Modellfähigkeiten fließen und Konkurrenten diese Fähigkeiten mit Tausenden gefälschter Konten industriell destillieren — wer würde da nicht gegensteuern? Und aus Anthropics Perspektive ist der chinesische Proxy-Traffic tatsächlich eine kaum trennbare Mischung aus Reseller-Arbitrage und industrieller Destillation.

Aber ich möchte die Aufmerksamkeit auf eine andere Ebene lenken: In der KI-Graumarkt-Industrie ist weit mehr als nur API-Kontingente zur Ware geworden. Jede Ihrer Anfragen, jeder Codeschnipsel, jeder Reasoning-Kontext kann aufgezeichnet, weiterverkauft und zum Training des nächsten KI-Modells verwendet werden. Während Sie 70 % Rabatt genießen, sind Ihre Daten der versteckte Preis, den Sie selbst zahlen.

Was die unsichtbaren Zeichen in den System-Prompts betrifft — Anthropic hat sie entfernt. Aber diese Episode hinterlässt mehr Fragen, als sie beantwortet: Wenn ein Tool, das Lese- und Schreibzugriff auf Ihr gesamtes Projekt hat, anfängt, Dinge zu verstecken — woher soll Vertrauen dann noch kommen?


Referenzen:


Titelbild: TechTimes / Anthropic