KI

Claude Code in China: Anthropic, Alibaba und der Tracking-Streit

5 Min. Lesezeit
Fotorealistische Darstellung: Der CEO eines KI-Unternehmens weist vor einem großen Bildschirm mit Claude-Logo und der Aufschrift „Access denied“ eine Gruppe von Geschäftsleuten ab, deren Aktenkoffer die Logos von Alibaba und ByteDance tragen. Generiertes Bild mit GPT Image 2
Fotorealistische Darstellung: Der CEO eines KI-Unternehmens weist vor einem großen Bildschirm mit Claude-Logo und der Aufschrift „Access denied“ eine Gruppe von Geschäftsleuten ab, deren Aktenkoffer die Logos von Alibaba und ByteDance tragen.

TL;DR Too Long; Didn’t read

Anthropic versucht, chinesischen Firmen den Zugang zu Claude Code zu verwehren, wird aber über VPNs, Auslandstöchter und Cloud-Umwege umgangen. Gleichzeitig verbietet Alibaba seinen eigenen Mitarbeitenden das Tool: In Claude Code wurde per Steganografie versteckter Code entdeckt, der Nutzer aus China identifizieren konnte. Anthropic hat den Mechanismus Anfang Juli entfernt und wirft Alibaba parallel vor, Claude-Modelle in großem Stil für eigenes KI-Training 'destilliert' zu haben.

Das Wichtigste in Kürze

  • Anthropic untersagt seit September 2025 chinesisch kontrollierten Firmen Kauf und Nutzung von Claude – Ant Group, ByteDance & Co. umgehen das laut Financial Times über VPNs, Auslandstöchter und Cloud-Umwege.
  • In Claude Code wurde ein per Steganografie versteckter Mechanismus gefunden, der Systemzeitzone und Proxy-Adresse mit rund 147 China-nahen Domains abglich.
  • Anthropic nannte den Fund ein im März gestartetes Experiment gegen Reseller-Missbrauch und Modell-Distillation und entfernte den Code Anfang Juli.
  • Alibaba stuft Claude Code als 'High-Risk'-Software ein und verbietet der Belegschaft ab 10. Juli die Nutzung – Ersatz ist die hauseigene Plattform Qoder.
  • Parallel wirft Anthropic Alibaba in einem Brief an den US-Senat vor, mit rund 25.000 Fake-Accounts und 28,8 Millionen Anfragen die bislang größte Distillation-Attacke gegen Claude gefahren zu haben.

Zwei Meldungen, ein Wochenende, ein und dasselbe Muster: Anthropic versucht mit aller Macht, chinesische Firmen von Claude Code fernzuhalten – während der chinesische Tech-Riese Alibaba seinen eigenen Mitarbeitenden die Nutzung des Tools ab sofort verbietet. Was zunächst widersprüchlich klingt, ist Ausdruck desselben tiefen Misstrauens, das sich zwischen den beiden Unternehmen seit Monaten aufgebaut hat – wie zuerst The Decoder berichtete.

Anthropics Chinasperre – und ihre Löcher

Seit September 2025 untersagt Anthropic den Verkauf und die Nutzung seiner Modelle an Unternehmen, die zu mehr als 50 Prozent chinesischen, russischen, iranischen oder nordkoreanischen Anteilseignern gehören – ausdrücklich auch dann, wenn diese Firmen außerhalb der jeweiligen Länder registriert sind. Anthropic gilt damit als das restriktivste der großen KI-Labore gegenüber chinesischen Kunden.

Wie die Financial Times berichtet, halten sich große chinesische Konzerne daran wenig konsequent. Ant Group soll Mitarbeitenden Firmen-Accounts über eine Tochtergesellschaft in Singapur zur Verfügung gestellt haben, ByteDance-Entwickler nutzen dem Bericht zufolge private Claude-Abos über VPN, deren Kosten der Arbeitgeber übernimmt. Andere Firmen greifen über im Ausland registrierte Tochterunternehmen und Cloud-Infrastruktur wie Microsoft Azure zu. Hinzu kommt ein grauer Markt aus sogenannten “Transferstationen”: Vermittlungsdienste, die Anfragen über legitime Auslandskonten an Claude weiterleiten und in China per WeChat oder Alipay abrechnen. Rechtlich bewegt sich das in einer Grauzone – gegen US- oder chinesisches Recht verstößt es nicht, wohl aber gegen Anthropics eigene Nutzungsbedingungen.

Der Distillation-Vorwurf gegen Alibaba

Der Streit hat eine zweite, grundsätzlichere Ebene. In einem auf den 10. Juni datierten Brief an die Senatoren Tim Scott und Elizabeth Warren wirft Anthropic mit Alibabas KI-Labor Qwen verbundenen Akteuren vor, zwischen dem 22. April und 5. Juni über rund 25.000 gefälschte Accounts knapp 28,8 Millionen Anfragen an Claude gestellt zu haben – nach Anthropics Darstellung die bislang größte Distillation-Attacke auf das Unternehmen. Distillation bezeichnet das Training eines kleineren, günstigeren Modells mit den Ausgaben eines leistungsfähigeren Systems, ohne dessen Quellcode oder Gewichte zu benötigen. Anthropic zufolge zielte die Kampagne gezielt auf Fähigkeiten in Softwareentwicklung, agentischem Reasoning und Cybersicherheit – also genau jene Bereiche, die auch das eigene Spitzenmodell Mythos auszeichnen.

Es ist bereits die vierte derartige Anschuldigung: Im Februar hatte Anthropic DeepSeek, Moonshot AI und MiniMax vorgeworfen, gemeinsam über rund 24.000 Fake-Accounts etwa 16 Millionen Interaktionen für Distillationszwecke generiert zu haben. Die mutmaßliche Alibaba-Kampagne übertrifft das nach Anthropics Zahlen deutlich. Wichtig für die Einordnung: Diese Angaben stammen ausschließlich von Anthropic und sind unabhängig nicht bestätigt. Alibaba hat sich dazu bislang nicht im Detail geäußert.

Steganografie im Werkzeug: der Tracking-Code

Kurz nach diesem Brief kam die nächste Enthüllung – diesmal aus der Entwickler-Community. Ein Reddit-Nutzer namens LegitMichel777 stieß auf Ungereimtheiten in Claude Code, der Entwickler Thereallo veröffentlichte anschließend eine detaillierte technische Analyse mehrerer Versionen (unter anderem 2.1.193 bis 2.1.196). Der Befund: Sobald die Umgebungsvariable ANTHROPIC_BASE_URL auf einen benutzerdefinierten Proxy statt die offizielle Anthropic-API zeigt, prüfte das Tool zusätzlich die Systemzeitzone – mit besonderem Fokus auf Asia/Shanghai und Asia/Urumqi – sowie den Hostnamen des Proxys gegen eine codierte Liste von rund 147 chinesischen KI-Firmen, Resellern und Gateway-Domains. Das Ergebnis wurde per Steganografie in eine unscheinbar wirkende Passage des an Anthropics Server gesendeten System-Prompts eingebettet, kaum sichtbar gemacht durch besondere Unicode-Zeichen und zusätzlich per XOR und Base64 verschleiert.

Anthropic-Mitarbeiter Thariq Shihipar bestätigte den Mechanismus auf X. Er sei ein im März gestartetes Experiment gegen Reseller-Missbrauch und Modell-Distillation gewesen, das man ohnehin bald hätte abschalten wollen, da inzwischen wirksamere Schutzmaßnahmen griffen. Anthropic entfernte den Mechanismus schließlich mit dem Release vom 1. beziehungsweise 2. Juli. Laut einem Bericht des Register bleibt davon unabhängig mindestens ein weiterer Anti-Distillation-Baustein im Code aktiv: ein Flag namens ANTI_DISTILLATION_CC, das bei Aktivierung gezielt manipulierte Tool-Daten in API-Antworten einschleust, um sie für nachgelagertes Modelltraining unbrauchbar zu machen.

Alibaba reagiert: Bann statt Dementi

Statt sich zu den Distillation-Vorwürfen zu äußern, wählte Alibaba einen anderen Weg. Laut einem von der South China Morning Post eingesehenen internen Rundschreiben stuft der Konzern Claude Code wegen des Backdoor-Risikos als hochriskante Software ein. Ab dem 10. Juli dürfen Mitarbeitende das Tool im Büro nicht mehr nutzen und sollen alle Claude-Anwendungen von ihren Rechnern entfernen. Als Ersatz verweist Alibaba auf die hauseigene Coding-Plattform Qoder, wie unter anderem The Information und Reuters berichten.

Ein Symptom eines größeren Konflikts

Der Fall reiht sich in eine ganze Serie von Spannungen zwischen den USA und China rund um Spitzen-KI ein. Erst wenige Wochen zuvor hatte das Pentagon Alibaba auf seine sogenannte 1260H-Liste mutmaßlich militärnaher Unternehmen gesetzt; Alibaba klagt dagegen. JPMorgan und Goldman Sachs strichen Claude im Juni von der Liste zugelassener Modelle für ihre Standorte in Hongkong, weil Anthropics Lizenzbedingungen die Nutzung in Greater China ausschließen. Und Anthropic selbst geriet zwischenzeitlich ins Visier der eigenen Regierung: Das US-Handelsministerium ordnete Anfang Juni per Exportkontrolle an, den Zugang zu den neuesten Modellen Claude Fable 5 und Claude Mythos 5 für ausländische Nutzer auszusetzen – eine Anordnung, die Ende Juni wieder aufgehoben wurde, sodass Anthropic den Zugang am 1. Juli wiederherstellen konnte.

Für Unternehmen, die auf geschlossene KI-Coding-Tools setzen, bleibt ein unbequemer Kern: Ein von außen kaum auditierbares Werkzeug hatte monatelang unbemerkt zusätzliche Daten über seine Nutzer erhoben. Dass unabhängige Reverse-Engineering-Arbeit einzelner Entwickler einen Konzern wie Anthropic innerhalb weniger Tage zu einer öffentlichen Reaktion zwang, zeigt zugleich, wie viel Gewicht Auditierbarkeit und Transparenz bei KI-Werkzeugen inzwischen haben – unabhängig davon, auf welcher Seite der Systemgrenze man steht.

Fazit

Der Streit um Claude Code in China hat kein einfaches Ende. Anthropic wird weiter versuchen, Umgehungen seiner Beschränkungen zu schließen, während findige Nutzer neue Wege drumherum suchen. Alibaba hat mit dem Verbot ein klares Zeichen gesetzt, ohne sich inhaltlich zu den Distillation-Vorwürfen zu äußern. Und im Hintergrund entscheidet zunehmend auch Washington mit, welche KI-Werkzeuge über Ländergrenzen hinweg genutzt werden dürfen. Wer als Unternehmen KI-Coding-Assistenten im großen Stil einsetzt, tut in jedem Fall gut daran, die eigenen Zugriffs- und Datenwege zu kennen – bevor eine Reddit-Analyse sie öffentlich macht.

Häufige Fragen

Was ist Claude Code?

Claude Code ist Anthropics agentisches Kommandozeilen-Tool, mit dem Claude-Modelle direkt in Entwicklungsumgebungen Code schreiben, testen und ausführen können. Es zählt zu den meistgenutzten KI-Coding-Assistenten – auch bei Entwicklerinnen und Entwicklern in China.

Warum verbietet Alibaba Claude Code der eigenen Belegschaft?

Weil in dem Tool ein versteckter Mechanismus gefunden wurde, der Nutzer mit Bezug zu China identifizieren konnte. Alibaba stufte Claude Code deshalb als hochriskante Software ein und untersagt die Nutzung im Büro ab dem 10. Juli 2026, Ersatz ist die eigene Plattform Qoder.

Ist der umstrittene Tracking-Code noch aktiv?

Anthropic zufolge nicht mehr. Mitarbeiter Thariq Shihipar kündigte die Entfernung Ende Juni an, umgesetzt mit dem Release vom 1./2. Juli. Andere Anti-Distillation-Mechanismen im Code sollen laut Berichten weiterhin bestehen.

Was wirft Anthropic Alibaba konkret vor?

In einem Brief an die US-Senatoren Tim Scott und Elizabeth Warren beschuldigt Anthropic mit Alibabas Qwen-Labor verbundene Akteure, zwischen dem 22. April und 5. Juni über rund 25.000 gefälschte Accounts 28,8 Millionen Anfragen an Claude gestellt zu haben, um Modellfähigkeiten zu 'destillieren'. Die Zahlen stammen von Anthropic und sind unabhängig nicht bestätigt; Alibaba hat sich dazu nicht im Detail geäußert.

Wie greifen chinesische Firmen trotz der Sperre auf Claude zu?

Laut Financial Times unter anderem über Firmen-Accounts ausländischer Tochtergesellschaften, private VPN-Abos, die vom Arbeitgeber erstattet werden, sowie über sogenannte 'Transferstationen' – Vermittlungsdienste, die Anfragen über legitime Auslandskonten weiterleiten und in China per WeChat oder Alipay abrechnen.

#KI

← Zurück zum Blog