Am 4. Juli 2026 reichte ein Entwickler einen Bug-Report auf GitHub ein. Er nutzte Claude Code von Anthropic – einen KI-Programmierassistenten für professionelle Entwickler, der in einer gesicherten Enterprise-Arbeitsumgebung lief. Gerade als er die KI mit einer Entwicklungsaufgabe beauftragen wollte, schwenkte sie plötzlich um und fragte: »Welche Farbe sollen die Ziegel für deinen Minecraft-Tempel haben?«
▲ Mitten in einer Claude-Code-Sitzung tauchen völlig kontextfremde Minecraft-Inhalte auf. Quelle: GitHub Issue #74066
Er hatte mit der KI nie über Minecraft gesprochen. Er durchsuchte sämtliche lokalen Chat-Protokolle – kein Treffer zu »Tempel« oder »Ziegel«. Noch merkwürdiger: Dasselbe Phänomen trat auch in der mobilen Claude-App auf – die KI begann plötzlich über Innenarchitektur und Triptychen zu sprechen, während er lediglich an einer Datentabelle arbeitete.
Für sich genommen war das bereits beunruhigend. Doch was den Vorfall auf die Hacker-News-Startseite katapultierte und 260 Punkte einbrachte, war die Flut ähnlicher Berichte in der Diskussion – und zwar nicht nur von einem einzigen Anbieter.
Nicht nur Claude
Ein vielzitierter Kommentar stammte von einem anonymen Nutzer. Er gab an, die KI-Dienste mehrerer Unternehmen intensiv zu nutzen und mindestens zweimal eine »Cross-User-Session-Vermischung« mit eigenen Augen erlebt zu haben: einmal bei einem Claude-Modell, einmal bei einem GPT-Modell – von zwei verschiedenen Anbietern, beides Tech-Konzerne mit einer Marktkapitalisierung von über einer Billion US-Dollar.
Eines der Unternehmen legte einen detaillierten Post-Mortem-Bericht vor: Das Problem lag in der fehlerhaften Verarbeitung des HTTP-Statuscodes 100 durch das API-Gateway – die »Telefonzentrale« der KI-Dienste. Vereinfacht gesagt verzählte sich das Gateway bei der Nummerierung der Anfragen – Ihre Frage erhielt die Antwort des vorherigen Nutzers, und Ihre Antwort wurde an den nächsten weitergeleitet.
Das andere Unternehmen verweigerte jede Erklärung und beschied lediglich: »Vertrauen Sie uns, das passiert nicht wieder.«
Weitere Nutzer berichteten, bei der Nutzung von KI-Modellen über Drittanbieter-Plattformen regelmäßig fremde Links und Dateien zu sehen. Ein anderer Nutzer erwähnte, Claude habe unaufgefordert einen Ort genannt, den nur sein Freund kennen konnte – jener Freund, der zufällig im selben Büro ebenfalls Claude nutzte.
Wie kann das passieren?
Die kurze Antwort: Um KI schneller und günstiger zu machen, richteten mehrere Unternehmen im Backend gemeinsam genutzte Datenkanäle ein – und diese Kanäle liefern gelegentlich an die falsche Adresse.
Im Detail lassen sich drei Ebenen unterscheiden.
Ebene 1: HTTP Request Smuggling – wenn die Netzwerk-Pakete falsch einsortiert werden
Im Internet kommunizieren Browser und Server über das HTTP-Protokoll. So simpel dieses Protokoll erscheint, so komplex ist es in der Praxis – besonders wenn ein Server zeitgleich zehntausende Anfragen verarbeiten muss. Zur Effizienzsteigerung bündeln Server mehrere Nutzeranfragen auf einer einzigen Verbindung (»Multiplexing«).
Das Problem: Wenn bei dieser Bündelung die Datenpakete zweier Nutzer miteinander verkleben – etwa weil die Längenangabe im Protokoll-Header fehlerhaft ist – kann der Server die Antwort von A an B ausliefern. In der IT-Sicherheit heißt das »HTTP Request Smuggling«.
Der Sicherheitsforscher James Kettle demonstriert auf der DEF-CON-Konferenz seit Jahren immer neue Varianten dieses Angriffs. Der Titel seines jüngsten Vortrags: »HTTP/1.1 muss sterben« – denn nur der vollständige Umstieg auf das striktere HTTP/2-Protokoll könne solche Schwachstellen strukturell beseitigen. Ironischerweise liegen sechs Jahre zwischen seiner ersten Demo und dem heutigen Tag im Jahr 2026 – und Billionen-Dollar-Konzerne stolpern immer noch darüber.
Ebene 2: KV-Cache-Sharing – das Risiko des gemeinsamen Schmierpapiers
Große KI-Modelle führen während einer Konversation einen sogenannten KV-Cache (Key-Value-Cache) mit. Man kann ihn sich als das »Arbeitsschmierpapier« der KI vorstellen – bereits berechnete Zwischenergebnisse werden notiert, sodass sie bei ähnlichen Eingaben wiederverwendet werden können. Das spart enorme Rechenressourcen.
Für die Anbieter ist diese Optimierung äußerst verlockend. Könnte man erkennen, dass mehrere Nutzer denselben System-Prompt verwenden (etwa die eingebauten Standardanweisungen von Claude Code), ließe sich ein gemeinsamer Cache für sie nutzen. Die Rechenkosten sänken drastisch.
Doch hier liegt das Problem: Der Cache wird über einen Schlüssel (Key) adressiert. Enthält die Schlüssel-Generierungsfunktion einen Bug, wird der Cache nicht rechtzeitig geleert, oder landen die Daten verschiedener Nutzer aus irgendeinem Grund im selben Speicherslot – dann können Chat-Fragmente von Nutzer A als Cache von Nutzer B ausgeliefert werden. Ein HN-Nutzer merkte an, dass »das Verlagern nutzerspezifischer Inhalte aus dem System-Prompt in die erste Nutzernachricht« eine gängige Gegenmaßnahme sei – aber das ist eine Ingenieurspraxis, keine Architekturgarantie.
Ebene 3: Der strukturelle Zielkonflikt zwischen Geschwindigkeit und Sicherheit
Die beiden vorgenannten Probleme verweisen auf denselben tieferliegenden Widerspruch: den Zielkonflikt zwischen dem Streben der KI-Unternehmen nach Antwortgeschwindigkeit (Caching, Shared Connections) und dem Datenschutz der Nutzer (strikte Isolation).
Das ist kein moralisches Urteil, sondern eine physikalische Abwägung. Ein KI-Dienst ganz ohne Caching wäre extrem teuer – jede Nachricht müsste von Grund auf neu berechnet werden, die Kosten könnten sich vervielfachen. Ein KI-Dienst mit maximaler Optimierung auf allen Ebenen muss hingegen zwangsläufig Infrastruktur zwischen Nutzern teilen – und das eröffnet die Möglichkeit für »Cross-User-Vermischungen«.
Wie ein hochbewerteter HN-Kommentar feststellte: »Es gibt enorme Anreize, maximal zu optimieren, daher erwarte ich, dass sie jede Menge extrem cleverer Tricks anwenden – und je cleverer diese Tricks sind, desto anfälliger sind sie für genau solche Bugs.«
Keine bloße »Halluzination«
Einige wandten ein: Könnte es sich nicht einfach um eine KI-Halluzination handeln – die KI hätte sich die Minecraft-Inhalte schlicht ausgedacht, statt tatsächlich fremde Daten preiszugeben?
Der Einwand ist berechtigt. KI-Modelle halluzinieren oft. Doch im vorliegenden Fall sprechen mehrere Details gegen die Halluzinations-Hypothese:
Erstens durchsuchte der Berichterstatter alle lokalen Chat-Protokolle und fand keinerlei Vorkommen von »temple« oder »bricks« (abgesehen von einer irrelevanten minecraft.py-Datei in einer Python-Syntax-Highlighting-Bibliothek). Das passt nicht zum Muster »die KI greift ein Wort aus dem aktuellen Gespräch auf und assoziiert weiter«.
Zweitens erlebte derselbe Nutzer das Phänomen wiederholt auf unterschiedlichen Geräten (mobiles App) – die KI sprach plötzlich über völlig kontextfremde Themen (Innenarchitektur), und zwar genau an der Cache-Miss-Schwelle (mehr als 5 Minuten seit der letzten Konversation). Rein statistisch ist das mit unabhängigen Halluzinationen schwer zu erklären.
Und vor allem: In der HN-Diskussion bestätigten mehrere Nutzer unterschiedlicher Unternehmen übereinstimmend ähnliche Erfahrungen, einer davon mit einem offiziellen Incident-Report. Diese Belege deuten gemeinsam auf ein systemisches Problem hin, nicht auf sporadisches Modellverhalten.
Fairerweise muss man sagen: Der Berichterstatter des GitHub-Issues kann derzeit nicht mit hundertprozentiger Sicherheit die Quelle des Lecks identifizieren – ob von einem Kollegen oder einem völlig Fremden. Genau das macht diese Klasse von Bugs so tückisch: Sie sind spürbar, aber kaum endgültig beweisbar.
Was bedeutet das für normale Nutzer?
Wenn Sie lediglich auf WeChat mit einer KI chatten, sie nach Kochrezepten oder Werbetexten fragen – dann sind die direkten Auswirkungen solcher Vorfälle auf Sie vermutlich gering. Enthält die Konversation keine sensiblen Daten, ist eine versehentliche Vermischung ärgerlich, aber harmlos.
Wenn Sie oder Ihr Unternehmen KI jedoch in Bereichen mit Geschäftsgeheimnissen, medizinischen Daten, juristischen Dokumenten oder Finanzinformationen einsetzen, ist das Signal hinter diesem Vorfall ernst zu nehmen. Es zeigt: Die Infrastruktur aktueller KI-Dienste erreicht beim Thema »Multi-User-Isolation« noch nicht den Standard, den man von Enterprise-Security-Produkten erwarten sollte – selbst in der kostenpflichtigen Enterprise-Version nicht.
In der HN-Diskussion äußerte sich pocksuppet, der Urheber des Begriffs »Request Smuggling«, bemerkenswert offen: »Jedes Mal, wenn Sie Anfragen mehrerer Clients auf eine einzige Upstream-Verbindung multiplexen, sind Sie höchstwahrscheinlich angreifbar.« Das Problem geht weit über diesen einen konkreten Bug hinaus – es verweist auf die inhärente Anfälligkeit der gesamten heutigen Internet-Infrastruktur. KI-Dienste legen diese Anfälligkeit nur auf einer besonders sensiblen Ebene offen.
Ausklang
Bis Redaktionsschluss hat Anthropic keine offizielle Stellungnahme zu dem Vorfall veröffentlicht. Das GitHub-Issue ist weiterhin offen, gekennzeichnet mit »bug« und »area:security«. Die HN-Diskussion weitet sich aus, weitere Augenzeugen ähnlicher Vorfälle melden sich.
Der Vorfall wirft ein Schlaglicht auf einen blinden Fleck der gesamten KI-Branche: Während alle darum wetteifern, die Modellfähigkeiten zu verbessern und die Inferenzkosten zu drücken, bleibt die grundlegendste Frage – »Sind die verschiedenen Nutzer eigentlich sicher voneinander getrennt?« – auf den hinteren Plätzen der Prioritätenliste.
Eine Randnotiz aus den HN-Kommentaren blieb dem Autor besonders im Gedächtnis: Als Nutzer bei einem der Billionen-Dollar-Konzerne nachhakten, beschied dieser nur: »Vertrauen Sie uns.« Bei dem anderen Konzern, der einen ausführlichen Bericht vorlegte, war die Unfallursache ein simpler Zählfehler – um genau eine Zahl vertan.
Referenzen: