Alibaba verbietet Anthropic's Claude Code wegen Spionage-Verdacht
🔄 Update — 06. Juli 2026: Details zum verdeckten Geheimdienstkampf zwischen US- und China-KI-Firmen enthällt
Ein neuer Bericht der Washington Post beleuchtet den tieferen Hintergrund des Konflikts zwischen Anthropic und chinesischen Unternehmen. Anthropic wirft chinesischen Firmen gezielte Versuche vor, Wissen aus Claude-Modellen durch so genannte “Knowledge Distillation” abzuziehen. Dies führte zur verdeckten Implementierung von Tracking-Funktionen in Entwicklerwerkzeugen wie Claude Code, um mögliche IP-Leaks und Sicherheitsverletzungen direkt zu identifizieren und zu flaggen.
Was ist neu?
- Wissens-Destillation im Fokus: Chinesische Akteure versuchen vermehrt, fortgeschrittene Fähigkeiten von Claude-Modellen für eigene, lokale KI-Modelle zu kopieren.
- Gegenmaßnahmen von Anthropic: Die unsichtbaren Tracking-Codes wurden gezielt eingebettet, um unautorisierte Zugriffs- und Destillationsversuche frühzeitig zu erkennen.
Warum es den Artikel ergänzt
Diese Enthüllung bestätigt den geopolitischen Kontext des Alibaba-Verbots von Claude Code. Es handelt sich nicht um eine einfache Telemetrie-Sicherheitslücke, sondern um einen aktiven defensiven Schritt von Anthropic, um geistiges Eigentum vor chinesischen Distillations-Angriffen zu schützen.
Zusammenfassung
Der chinesische Technologie-Gigant Alibaba hat seinen Mitarbeitern mit Wirkung zum 10. Juli 2026 die Nutzung des Entwickler-Werkzeugs „Claude Code“ von Anthropic offiziell untersagt. Hintergrund ist die Entdeckung eines mutmaßlichen, versteckten Tracking-Mechanismus in der Codebasis des Tools, der laut Sicherheitsforschern darauf ausgelegt ist, Nutzer in China zu identifizieren und zu überwachen. Entwickler bei Alibaba wurden angewiesen, auf die firmeneigene Alternative „Qoder“ umzusteigen. Dies verschärft die technologische und geopolitische Kluft zwischen US-amerikanischen und chinesischen KI-Anbietern.
Was ist passiert?
- Offizielles Verbot: Alibaba stufte Claude Code als „Hochrisiko-Software“ ein und untersagte die Nutzung im gesamten Unternehmen.
- Entdeckung der Hintertür: Sicherheitsforscher stießen in Versionen ab v2.1.91 (veröffentlicht im April 2026) auf verschleierte Routinen, die Systemzeitzonen prüfen und lokale Proxy-URLs mit einer Liste chinesischer Domains und KI-Forschungseinrichtungen abgleichen.
- Steganografischer Datenabfluss: Die gesammelten geografischen und netzwerkbasierten Merkmale wurden steganografisch – verpackt in unsichtbaren Zeichenfolgen innerhalb der System-Prompts – an Anthropic zurückgesendet.
- Anthropics Argumentation: Der Anbieter erklärte, dass diese im März 2026 testweise eingeführte Funktion dem Schutz vor „Model Distillation“ (dem Trainieren eigener chinesischer Modelle mit Claude-Ausgaben) und dem Schutz vor Missbrauch durch nicht autorisierte Mittelsmänner-Dienste diente.
- Vorgeschichte: Dem Vorfall gingen Anschuldigungen seitens Anthropic voraus, wonach Alibaba-nahe Akteure über Tausende automatisierte Fake-Accounts großangelegte Destillations-Angriffe durchgeführt hätten.
Warum es wichtig ist
Der Vorfall verdeutlicht die zunehmende Fragmentierung der globalen KI-Landschaft und die Sicherheitsrisiken, die mit agentischen Werkzeugen einhergehen. Da Entwickler-Assistenten tiefen Zugriff auf lokale Dateisysteme und Netzwerkeinstellungen benötigen, stellen sie ein erhebliches Compliance-Risiko dar. Zudem zeigt sich, dass US-amerikanische KI-Entwickler aktive, teils verdeckte Maßnahmen ergreifen, um ihre IP vor chinesischer Konkurrenz zu schützen, was wiederum prompte Abwehrreaktionen chinesischer Konzerne zur Sicherung der eigenen Datensouveränität nach sich zieht.
Beweise
Die Vorwürfe stützen sich auf technische Analysen unabhängiger Sicherheitsforscher, die die verschleierten Kontrollstrukturen in Claude Code dokumentierten. Berichte von Tech-Plattformen wie Tom’s Hardware und der South China Morning Post bestätigten das interne Verbot sowie die Existenz der Richtlinie bei Alibaba. Anthropic selbst bestritt die technischen Erkennungsmechanismen nicht, wies jedoch den Begriff „Backdoor“ zurück und begründete das Vorgehen mit Anti-Abuse-Maßnahmen.
Analyse
Technisch gesehen ist die steganografische Übermittlung von Metadaten über Prompts eine unübliche Methode für legitime Telemetrie und nährt den Verdacht einer verdeckten Überwachung. Aus Sicht von Anthropic war dies wohl ein pragmatischer Weg, um Umgehungsnetzwerke und VPNs in China zu detektieren, die den Zugriff auf die eigentlich dort gesperrten Dienste ermöglichen. Geopolitisch beschleunigt dieser Vorfall die Entkopplung der Technologiestacks: Während US-Firmen ihre IP schützen wollen, forcieren chinesische Konzerne den Übergang zu lokal kontrollierten Open-Source- oder proprietären Lösungen wie Qoder.
Praktische Erkenntnisse
- Sicherheitsprüfung von KI-Tools: Unternehmen sollten automatisierte CLI-Entwicklerwerkzeuge vor dem breiten Rollout einem detaillierten statischen Code-Audit unterziehen.
- Datenabfluss-Vermeidung: Der Einsatz von Werkzeugen mit Cloud-Anbindung an US-Server ist in sensitiven Umgebungen streng zu überwachen oder durch lokale Offline-Modelle zu ersetzen.
- Alternative Evaluierung: Entwickler, die von Sperren betroffen sind, sollten frühzeitig datenschutzkonforme oder lokal gehostete Programmierassistenten testen.
Offene Fragen
- Wird Anthropic nach den Protesten und Entdeckungen auf transparentere Formen der Missbrauchserkennung umstellen?
- Wie leistungsfähig ist die Alibaba-Alternative Qoder im Vergleich zu etablierten Tools wie Claude Code bei komplexen Multi-File-Refactorings?