Es ist bestätigt: Claude Code greift heimlich auf Nutzerdaten zu, wobei Zeitzonen und chinesische KI-Labors die Schlüsselwörter sind
Heute hat Anthropic gleich zwei gute Nachrichten.
Zum einen hat es das "bisher am stärksten agentenfähige Sonnet-Modell" Claude Sonnet 5 vorgestellt, dessen Leistung nahe an die von Opus 4.8 herankommt.
Zum anderen hat es bekannt gegeben, dass das US-Handelsministerium die Exportbeschränkungen für seine Claude Fable 5 und Mythos 5 aufgehoben hat. Anthropic wird ab morgen wieder Zugang ermöglichen und bald über die neuesten Entwicklungen berichten.
Nach einem von US-Handelsminister Howard Lutnick unterzeichneten Abkommen hat Anthropic seit den am 12. Juni und 26. Juni versandten Briefen eng mit der US-Regierung zusammengearbeitet und Maßnahmen ergriffen, um die mit Claude Mythos 5 und Claude Fable 5 verbundenen Risiken zu bewältigen.
Darunter hat Anthropic zugesagt, Sicherheitsrisiken, die diese Modelle möglicherweise mit sich bringen, proaktiv zu erkennen und zu behandeln; in enger Zusammenarbeit mit der US-Regierung über Vereinbarungen, Standards und Veröffentlichungspläne für Mythos, Fable und zukünftige Modelle zu gehen; und bei der Entdeckung von bösartigen Aktivitäten die US-Regierung zu benachrichtigen.
Basierend auf den von Anthropic ergriffenen Maßnahmen und den getroffenen Zusagen sowie der Bewertung des US-Handelsministeriums für Industrie und Sicherheit der gegenwärtigen Transferrisiken von Claude Mythos 5 und Claude Fable 5 hat das US-Handelsministerium beschlossen, die in dem Brief vom 12. Juni enthaltenen Beschränkungsmaßnahmen zurückzuziehen.
Dies bedeutet, dass für den Export, Reexport und die interne Übertragung von Claude Mythos 5 und Claude Fable 5, einschließlich des gleichgestellten Exports und Reexports, künftig keine Genehmigung mehr erforderlich ist.
Das US-Handelsministerium behält sich jedoch das Recht vor, diese Entscheidung erneut zu bewerten. Wenn sich die Situation ändert oder Anthropic seine Zusagen nicht einhält, kann das US-Handelsministerium möglicherweise erneut Genehmigungsanforderungen stellen.
Für chinesische Benutzer können wir uns jedoch vorerst nicht freuen.
Am gleichen Tag wurde in der Entwicklergemeinschaft ein anderes Thema heiß diskutiert: Es wurde festgestellt, dass Claude Code ohne Wissen des Benutzers lokale Proxy- und Zeitzoneninformationen sammelt und diese Informationen auf "Steganographie" (Kryptographie) Weise in den an die Cloud gesendeten Prompts versteckt.
Claude Code soll chinesische Benutzer mit versteckten Codes markieren
Kürzlich hat jemand enthüllt, dass Anthropic in Claude Code heimlich einen Code eingebaut hat.
Dieser Code erkennt automatisch, ob der Benutzer eine chinesische Zeitzone verwendet, wie die aktuelle Netzwerkproxy-Situation ist und ob er mit einer Umgebung verbunden ist, die mit bestimmten chinesischen KI-Labors in Verbindung steht.
Anschließend wird diese Information auf steganografische Weise in die an die KI gesendeten Systemprompts eingebettet.
Chinesische Benutzer bemerken dies überhaupt nicht, aber Anthropic kann anhand dieser unsichtbaren Fingerabdrücke erkennen.
Ein Entwickler hat zuerst auf Reddit Zweifel geäußert und anschließend auf GitHub einen Verifizierungsbericht veröffentlicht, in dem er angibt, dass er den Code von drei Versionen von Claude Code (2.1.193, 2.1.195, 2.1.196) überprüft hat und bestätigt hat, dass es einen versteckten Mechanismus gibt. Dieser Mechanismus wird als versteckter Informationskanal in den Systemprompts eingestuft.
Detektionslogik
Nach dem Bericht prüft Claude Code die Umgebungsvariable ANTHROPIC_BASE_URL, die normalerweise aktiviert wird, wenn der Benutzer Claude Code auf einen benutzerdefinierten API-Proxy statt auf den offiziellen Endpunkt api.anthropic.com richtet. Wenn eine nicht-offizielle Route erkannt wird, extrahiert das Programm den Proxydomänennamen und liest die Zeitzone des Benutzersystems, wobei es besonders darauf achtet, ob es sich um Asia/Shanghai oder Asia/Urumqi handelt.
Analyse mit GLM5.2
Der Bericht besagt, dass der Domänenname mit einer decodierten Liste mit 147 Einträgen verglichen wird. Die Liste enthält die Domänennamen von chinesischen Technologieunternehmen und KI-Labors wie Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun sowie eine Vielzahl von Claude-Vertriebs- oder API-Spiegelservice-Adressen.
Informationsübertragungsweise
Der Kern der Kontroverse liegt in der Übertragungsroute der Informationen.
Der Bericht zeigt, dass Claude Code kein eigenes Telemetriefeld zur Datenübermittlung einrichtet. Der Träger der anormalen Informationen ist der am wenigsten auffällige Satz "Heute ist der ..." in den Systemprompts.
Wenn die Systemzeitzone als chinesische Zeitzone erkannt wird, wird der Datentrennstrich von einem Bindestrich in einen Schrägstrich geändert, z. B. wird 2026-06-30 zu 2026/06/30. Das Apostroph in "Heute ist der ..." wechselt gleichzeitig zwischen mehreren ähnlichen Unicode-Zeichen wie ', ', ʼ, ʹ, um zu markieren, dass diese Anfrage die Domänenliste, die KI-Labor-Schlüsselwörter oder beides trifft. Diese Symbole sind im normalen Interface mit bloßem Auge schwer zu unterscheiden.
Für normale Benutzer sind die Symbole ', ', ʼ, ʹ mit bloßem Auge fast nicht zu unterscheiden, was auch der Grund ist, dass dieser Mechanismus lange Zeit verborgen blieb. Wenn die Analyse zutrifft, wird bei jeder qualifizierten Anfrage ein kaum wahrnehmbarer Marker an die Oberstufe gesendet.
Kontroversenpunkt
Das Sammeln von Telemetriedaten ist in der Softwarebranche weit verbreitet. KI-Unternehmen haben aus Gründen wie der Abwehr von Missbrauch, der Eindämmung von Weiterverkauf, der Vermeidung von Sanktionsrisiken und der Verhinderung der Distillation von Modellen oft ausreichende Gründe, das Benutzerverhalten zu erkennen. Von diesem Gesichtspunkt aus ist es nicht schwer zu verstehen, dass Anthropic den unbefugten Weiterverkauf des Zugangsrechts zu Claude auf dem chinesischen Markt eindämmen möchte.
Der Streitpunkt liegt in der Umsetzungsweise und nicht in dem Ziel selbst.
Bei einem öffentlich offen gelegten Telemetriemechanismus haben Entwickler volle Kenntnis und Wahlmöglichkeit. Sie können die Dokumentation lesen, bestimmte Endpunkte blockieren oder selbst entscheiden, ob sie einer bestimmten Datensammlung zustimmen. Aber wenn die Markierungsinformationen in fast unmerkbare Zeichenunterschiede in den Prompts versteckt werden, wird die Vertrauensbasis zwischen Benutzer und Werkzeug verändert. Für ein Coding-Assistenten-Tool kann der Preis für das Überschreiten dieser Grenze hoch sein.
Berechtigungsumfeld
Claude Code verfügt über ein integriertes Berechtigungssystem, das Dateilesen, Bash-Befehlsausführung und Dateibearbeitung abdeckt. Leseberechtigungen erfordern keine Genehmigung des Benutzers, während Befehlexekution und Dateiänderungen eine Berechtigungsbestätigung erfordern.
Anthropic hat auch bereits öffentlich über das mögliche Problem der "Genehmigungsermüdung" in Claude Code gesprochen und zugegeben, dass die meisten Benutzer Genehmigungsanfragen gewohnheitsmäßig genehmigen und dass das vollständige Abschalten des Genehmigungsmechanismus in den meisten Szenarien nicht sicher ist.
In seinem eigenen Engineering-Blog hat das Unternehmen auch reale Fälle von "Fehlverhalten des Agenten" aufgezeichnet, darunter das versehentliche Löschen von Remote-Git-Branches, das versehentliche Hochladen von GitHub-Tokens und sogar den Versuch, Migrationsvorgänge für die Produktionsdatenbank auszuführen.
Ein Coding-Agent arbeitet im Code-Repository und kann auf Quellcode, Dateistruktur, Projekt Details und sogar versehentlich offengelegte Schlüsselinformationen zugreifen. Er ist auch berechtigt, Befehle auszuführen und Dateien zu ändern. Vertrauen ist die Grundlage für die Existenz eines solchen Tools.
Wenn das Client-Ende die Routing-Metadaten heimlich in die Prompts codiert, haben Benutzer natürlich Grund zu fragen: Welche anderen Informationen werden auf ähnliche Weise aufgezeichnet? Gibt es noch andere nicht-offen gelegte Detektionslogiken auf dem Client-Ende? Wurden diese Verhaltensweisen in irgendeiner Dokumentation erklärt?
Nach der Enthüllung des Vorfalls hat @trq212, ein Mitglied des Anthropic-Technikteams, auf die Gründe für die Code-Implementierung geantwortet und angegeben, dass dieser Code in der am nächsten Tag veröffentlichten neuen Version entfernt werden wird.
Referenzlinks:
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
Dieser Artikel stammt aus dem WeChat-Account "Machine Intelligence" (ID: almosthuman2014), geschrieben von jemandem, der sich für KI interessiert, und wurde von 36Kr mit Genehmigung veröffentlicht.