Zwei Meldungen, ein Wochenende, ein und dasselbe Muster: Anthropic versucht mit aller Macht, chinesische Firmen von Claude Code fernzuhalten – während der chinesische Tech-Riese Alibaba seinen eigenen Mitarbeitenden die Nutzung des Tools ab sofort verbietet. Was zunächst widersprüchlich klingt, ist Ausdruck desselben tiefen Misstrauens, das sich zwischen den beiden Unternehmen seit Monaten aufgebaut hat – wie zuerst The Decoder berichtete.
Anthropics Chinasperre – und ihre Löcher
Seit September 2025 untersagt Anthropic den Verkauf und die Nutzung seiner Modelle an Unternehmen, die zu mehr als 50 Prozent chinesischen, russischen, iranischen oder nordkoreanischen Anteilseignern gehören – ausdrücklich auch dann, wenn diese Firmen außerhalb der jeweiligen Länder registriert sind. Anthropic gilt damit als das restriktivste der großen KI-Labore gegenüber chinesischen Kunden.
Wie die Financial Times berichtet, halten sich große chinesische Konzerne daran wenig konsequent. Ant Group soll Mitarbeitenden Firmen-Accounts über eine Tochtergesellschaft in Singapur zur Verfügung gestellt haben, ByteDance-Entwickler nutzen dem Bericht zufolge private Claude-Abos über VPN, deren Kosten der Arbeitgeber übernimmt. Andere Firmen greifen über im Ausland registrierte Tochterunternehmen und Cloud-Infrastruktur wie Microsoft Azure zu. Hinzu kommt ein grauer Markt aus sogenannten “Transferstationen”: Vermittlungsdienste, die Anfragen über legitime Auslandskonten an Claude weiterleiten und in China per WeChat oder Alipay abrechnen. Rechtlich bewegt sich das in einer Grauzone – gegen US- oder chinesisches Recht verstößt es nicht, wohl aber gegen Anthropics eigene Nutzungsbedingungen.
Der Distillation-Vorwurf gegen Alibaba
Der Streit hat eine zweite, grundsätzlichere Ebene. In einem auf den 10. Juni datierten Brief an die Senatoren Tim Scott und Elizabeth Warren wirft Anthropic mit Alibabas KI-Labor Qwen verbundenen Akteuren vor, zwischen dem 22. April und 5. Juni über rund 25.000 gefälschte Accounts knapp 28,8 Millionen Anfragen an Claude gestellt zu haben – nach Anthropics Darstellung die bislang größte Distillation-Attacke auf das Unternehmen. Distillation bezeichnet das Training eines kleineren, günstigeren Modells mit den Ausgaben eines leistungsfähigeren Systems, ohne dessen Quellcode oder Gewichte zu benötigen. Anthropic zufolge zielte die Kampagne gezielt auf Fähigkeiten in Softwareentwicklung, agentischem Reasoning und Cybersicherheit – also genau jene Bereiche, die auch das eigene Spitzenmodell Mythos auszeichnen.
Es ist bereits die vierte derartige Anschuldigung: Im Februar hatte Anthropic DeepSeek, Moonshot AI und MiniMax vorgeworfen, gemeinsam über rund 24.000 Fake-Accounts etwa 16 Millionen Interaktionen für Distillationszwecke generiert zu haben. Die mutmaßliche Alibaba-Kampagne übertrifft das nach Anthropics Zahlen deutlich. Wichtig für die Einordnung: Diese Angaben stammen ausschließlich von Anthropic und sind unabhängig nicht bestätigt. Alibaba hat sich dazu bislang nicht im Detail geäußert.
Steganografie im Werkzeug: der Tracking-Code
Kurz nach diesem Brief kam die nächste Enthüllung – diesmal aus der Entwickler-Community. Ein Reddit-Nutzer namens LegitMichel777 stieß auf Ungereimtheiten in Claude Code, der Entwickler Thereallo veröffentlichte anschließend eine detaillierte technische Analyse mehrerer Versionen (unter anderem 2.1.193 bis 2.1.196). Der Befund: Sobald die Umgebungsvariable ANTHROPIC_BASE_URL auf einen benutzerdefinierten Proxy statt die offizielle Anthropic-API zeigt, prüfte das Tool zusätzlich die Systemzeitzone – mit besonderem Fokus auf Asia/Shanghai und Asia/Urumqi – sowie den Hostnamen des Proxys gegen eine codierte Liste von rund 147 chinesischen KI-Firmen, Resellern und Gateway-Domains. Das Ergebnis wurde per Steganografie in eine unscheinbar wirkende Passage des an Anthropics Server gesendeten System-Prompts eingebettet, kaum sichtbar gemacht durch besondere Unicode-Zeichen und zusätzlich per XOR und Base64 verschleiert.
Anthropic-Mitarbeiter Thariq Shihipar bestätigte den Mechanismus auf X. Er sei ein im März gestartetes Experiment gegen Reseller-Missbrauch und Modell-Distillation gewesen, das man ohnehin bald hätte abschalten wollen, da inzwischen wirksamere Schutzmaßnahmen griffen. Anthropic entfernte den Mechanismus schließlich mit dem Release vom 1. beziehungsweise 2. Juli. Laut einem Bericht des Register bleibt davon unabhängig mindestens ein weiterer Anti-Distillation-Baustein im Code aktiv: ein Flag namens ANTI_DISTILLATION_CC, das bei Aktivierung gezielt manipulierte Tool-Daten in API-Antworten einschleust, um sie für nachgelagertes Modelltraining unbrauchbar zu machen.
Alibaba reagiert: Bann statt Dementi
Statt sich zu den Distillation-Vorwürfen zu äußern, wählte Alibaba einen anderen Weg. Laut einem von der South China Morning Post eingesehenen internen Rundschreiben stuft der Konzern Claude Code wegen des Backdoor-Risikos als hochriskante Software ein. Ab dem 10. Juli dürfen Mitarbeitende das Tool im Büro nicht mehr nutzen und sollen alle Claude-Anwendungen von ihren Rechnern entfernen. Als Ersatz verweist Alibaba auf die hauseigene Coding-Plattform Qoder, wie unter anderem The Information und Reuters berichten.
Ein Symptom eines größeren Konflikts
Der Fall reiht sich in eine ganze Serie von Spannungen zwischen den USA und China rund um Spitzen-KI ein. Erst wenige Wochen zuvor hatte das Pentagon Alibaba auf seine sogenannte 1260H-Liste mutmaßlich militärnaher Unternehmen gesetzt; Alibaba klagt dagegen. JPMorgan und Goldman Sachs strichen Claude im Juni von der Liste zugelassener Modelle für ihre Standorte in Hongkong, weil Anthropics Lizenzbedingungen die Nutzung in Greater China ausschließen. Und Anthropic selbst geriet zwischenzeitlich ins Visier der eigenen Regierung: Das US-Handelsministerium ordnete Anfang Juni per Exportkontrolle an, den Zugang zu den neuesten Modellen Claude Fable 5 und Claude Mythos 5 für ausländische Nutzer auszusetzen – eine Anordnung, die Ende Juni wieder aufgehoben wurde, sodass Anthropic den Zugang am 1. Juli wiederherstellen konnte.
Für Unternehmen, die auf geschlossene KI-Coding-Tools setzen, bleibt ein unbequemer Kern: Ein von außen kaum auditierbares Werkzeug hatte monatelang unbemerkt zusätzliche Daten über seine Nutzer erhoben. Dass unabhängige Reverse-Engineering-Arbeit einzelner Entwickler einen Konzern wie Anthropic innerhalb weniger Tage zu einer öffentlichen Reaktion zwang, zeigt zugleich, wie viel Gewicht Auditierbarkeit und Transparenz bei KI-Werkzeugen inzwischen haben – unabhängig davon, auf welcher Seite der Systemgrenze man steht.
Fazit
Der Streit um Claude Code in China hat kein einfaches Ende. Anthropic wird weiter versuchen, Umgehungen seiner Beschränkungen zu schließen, während findige Nutzer neue Wege drumherum suchen. Alibaba hat mit dem Verbot ein klares Zeichen gesetzt, ohne sich inhaltlich zu den Distillation-Vorwürfen zu äußern. Und im Hintergrund entscheidet zunehmend auch Washington mit, welche KI-Werkzeuge über Ländergrenzen hinweg genutzt werden dürfen. Wer als Unternehmen KI-Coding-Assistenten im großen Stil einsetzt, tut in jedem Fall gut daran, die eigenen Zugriffs- und Datenwege zu kennen – bevor eine Reddit-Analyse sie öffentlich macht.


