KI Espresso

Claude Code unter Verdacht: Wer prüft den Agenten?

Episode 101

Use Left/Right to seek, Home/End to jump to start or end. Hold shift to jump forward or backward.

0:00 | 9:56
China warnt vor Claude Code-Versionen 2.1.91 bis 2.1.196 und nennt einen eingebauten Monitoring-Mechanismus angeblich "Backdoor-Code". Anthropic verweist laut Bericht auf ein Experiment gegen Model-Distillation, das mit Version 2.1.198 entfernt wurde. Die eigentliche DACH-Frage ist nicht: Hat China recht? Sondern: Wenn ein Coding-Agent Repository, Shell, lokale Dateien, MCP-Server und Unternehmenskontext sehen kann, wer auditiert dann den Agenten selbst? ⏰ Timestamps: 0:00 — China warnt vor Claude Code: Backdoor-Vorwurf oder Sicherheitsstreit? 0:24 — Warum ein Coding-Agent mehr ist als ein normales Developer-Tool 0:48 — Anti-Distillation, Telemetrie und die Sicht des Anbieters 1:12 — Die Praxisfrage: Sandbox, Permissions und Unternehmensrealität 1:36 — Wenn lokale Dateien, Build-Skripte und Secrets im Kontext liegen 2:00 — .claude/settings.json, /permissions, OpenTelemetry und MCP 2:24 — Wo externe Systeme den Kontrollkonflikt verschärfen 2:48 — Versionen 2.1.91 bis 2.1.196 und die Beweislast 3:12 — Auditierbarkeit: Was Unternehmen wirklich nachweisen müssen 3:36 — Warum ein Update allein das Vertrauensproblem nicht löst 4:00 — Der zweite Blick: Nutzen, Schutzmechanismen und Gegenargument 4:24 — Warum Anbieter-Monitoring nicht automatisch böse ist 4:48 — Der Unterschied zwischen Diagnose, Kontrolle und Datenabfluss 5:12 — Was passiert, wenn Monitoring nicht abschaltbar ist? 5:36 — Transparenz als Produktivitätsbedingung, nicht als Bürokratie 6:00 — Wer profitiert, wenn der Agent Entscheidungen vorbereitet? 6:24 — Warum "Backdoor" juristisch und technisch zu kurz greifen kann 6:48 — Der praktische Test für Teams in DACH-Unternehmen 7:12 — Können Nutzer Empfehlungen stoppen, bevor Daten abfließen? 7:36 — Welche Belege Vertrauen ersetzen können: Audits und Protokolle 8:00 — Warum Versprechen in der Cyber-Sicherheit nicht reichen 8:24 — Der offene Punkt: Wer kontrolliert den kontrollierenden Agenten? 8:48 — Was vor produktivem Einsatz bewiesen sein muss 9:12 — Release-Nummern als Warnsignal für Software-Lieferketten 9:36 — Fazit und KI Espresso 💡 3 Empfehlungen: 1. Agent-Versionen und Updates wie Dependencies tracken. 2. Permissions, Netzwerkzugriff und MCP-Server pro Repository begrenzen. 3. Logs/Telemetry/Audit-Spuren regelmäßig prüfen, nicht erst nach einem Verdacht. 📖 Quellen: • [1] https://www.theregister.com/security/2026/07/08/china-ditch-older-claude-versions-with-backdoor-code/5268371 • [2] https://code.claude.com/docs/en/overview • [3] https://code.claude.com/docs/en/settings • [4] https://code.claude.com/docs/en/security 🔗 Verwandte Episoden: • Claude Mythos gehört jetzt dem Pentagon: https://youtu.be/yKjUjusdKLI • 2,5 Milliarden — scheitern sie an einer: https://youtu.be/Yub4XwCDVYY • 15 Billionen — McKinsey: „Agent-Readable oder unsichtbar: https://youtu.be/0ezy0SVqUJQ 🎙️ KI Espresso — Jeden Tag eine neue KI-Debatte in sechs Minuten. 🎧 Podcast hören: • Apple Podcasts: https://podcasts.apple.com/podcast/id1885621764 • Alle Plattformen: https://www.buzzsprout.com/2603567 𝕏 @KIEspresso #Anthropic #Claude #KiStartup
SPEAKER_01

Die chinesische Cybersicherheitsbehörde CNVDB hat gerade Claude Code, spezifisch die Version 2.1.98 bis 2.1.196, als handfestes Sicherheitsrisiko mit integriertem Backdoor-Code eingestuft.

SPEAKER_00

Und das völlig zu Recht. Wir reden hier halt nicht mehr über einen simplen Spellchecker. Das ist ein autonomer Akteur, der, naja, der direkt in der kritischen Softwarelieferkette sitzt.

SPEAKER_01

Aber Anthropic hat doch sofort reagiert. Die meinten, das war ein Anti-Distillation-Experiment. Das war keine Spionage.

SPEAKER_00

Ja, dass dann in Version 2.1.198 ganz schnell wieder verschwunden ist. Richtig? Erklär das mal einem Auditor. Ob Experiment oder Vector das Tool hat, versteckte Netzwerksignale gesendet.

SPEAKER_01

Genau, und also Antidistillation heißt ja nur, die wollten verhindern, dass Nutzer massenhaft Code abgreifen, um damit fremde Modelle zu trainieren. Das ist reiner IP-Schutz. Für mich zeigt das, dass das Risiko in mangelhaften Policies liegt, nicht im Agenten selbst. Wer denn sauber isoliert, gewinnt massiv an Produktivität.

SPEAKER_00

Da muss ich, naja, da muss ich echt hart widersprechen. Du tust so, als wäre das eine reine Konfigurationsfrage. Aber ein Coding-Agent ist kein normales Dev-Tool. Stell dir vor, es läuft doch in der Sandbox. Theoretisch, ja. Aber stell dir vor, du hast eine Bohrmaschine, die dreht sich nur, wenn du drückst. Der Agent ist eher wie ein externer Bauarbeiter, dem du den Schlüssel gibst und der nachts allein entscheidet, welche Wende er einreißt. Wenn der Unbemerkt Daten funkt, ist das eine völlig neue Vertrauensebene.

SPEAKER_01

Der Bauarbeiter trägt aber quasi eine Bodycam. Die Architektur von Cloud Code ist konzeptionell extrem restriktiv. Du hast diese zentrale Punkt Cloud Settings.json und sensible Netzwerkbefehle brauchen, also die brauchen explizite Zustimmung.

SPEAKER_00

Auf dem Papier, ja.

SPEAKER_01

Nicht nur auf dem Papier. Du hast den simplen Befehl Permissions, du hast Open Telemetrie-Metriken, wir haben die volle Kontrolle darüber, was unter der Haube passiert.

SPEAKER_00

Okay, aber denk das mal in der Praxis durch. Nimm einen Zürcher FinTech oder ein SARS-Team in Berlin. Der Agent durchforstet lokale Dateien, Bildskripte, unverschlüsselte Secrets. Und dann kommen diese MCP-Server ins Spiel.

SPEAKER_01

Das Model-Context-Protokoll, ja. Die dienen ja bewusst als Brücke.

SPEAKER_00

Genau, als Brücke in externe Systeme. Zu Datenbanken oder Fremdentools. Und sobald ein Entwickler, was ja ständig passiert, sich eine .cloudSettings.localjSON anlegt, um, naja, um schneller arbeiten zu können, wird dein ganzer zentraler Workspace-Trust ausgehebelt. Aber Moment. Der Entwickler öffnet dem Agenten quasi die Hintertür. Dein zentrales Audit läuft völlig ins Leere.

SPEAKER_01

Aber genau das ist doch der springende Punkt. Diese lokalen Overrides braucht man für die Flexibilität. Wir klemmen Entwicklern ja auch nicht das Internet ab, nur weil sie theoretisch Firmencode leaken könnten. Das ist menschliches Versagen, wenn diese lokalen Daten nicht ins zentrale Monitoring fließen.

SPEAKER_00

Ein Mensch kann aber nicht in Millisekunden tausende Zeilen Code im Kontextfenster sammeln und an eine externe API schicken. Die Skalierung der Gefahr ist eine ganz andere. Puh, okay. Wenn morgen ein Auditor fragt, beweisen Sie mir wasserdicht, dass kein Kundencode abgeflossen ist. Und du musst auf lokale Entwickler-Settings verweisen dann. Ganz ehrlich, dann hast du das Audit in der Sekunde krachen verloren. Das ist ein starker Punkt.

SPEAKER_01

Das zwingt uns schlichtweg zu einer professionelleren Handhabung. Wenn der Agent faktisch zu kritischer Infrastruktur wird, müssen wir.

SPEAKER_00

Ein Punkt fehlt noch. Also, wenn wir über die Sicherheit von autonomen KI-Agenten sprechen, müssen wir uns unbedingt diesen ganz spezifischen Fall ansehen.

SPEAKER_01

Ja, du meinst die Cloud-Code-Version, oder? Also 2.1.99 bis 2.1.196.

SPEAKER_00

Genau die ja, weil da eskaliert die Situation gerade enorm. Ich meine, China hat da ja eine offizielle Warnung herausgegeben.

SPEAKER_01

Hm, und das nicht ohne Grund. Sie bezeichnen diesen fest eingebauten Monitoring-Mechanismus von Anthropic explizit als, ja, als Backdoor-Code.

SPEAKER_00

Richtig, was Enthropic natürlich vehement bestreitet. Die verweisen auf ihre offizielle Dokumentation, ne? Und ich muss sagen, ich vertrete hier eher die Seite, dass es sich höchstwahrscheinlich einfach um Standardtelemetrie handelt. Echt jetzt? Du sagst Standardtelemetrie? Ja, also Fehlerdiagnostik, die ist für die Weiterentwicklung von so komplexen Systemen halt absolut unerlässlich.

SPEAKER_01

Okay, da betrachte ich das aber aus einer deutlich skeptischeren Perspektive. Ich meine, ein intransparenter Monitoringmechanismus, der so tief in der Architektur verankert ist, das stellt völlig unabhängig von der eigentlichen Intention der Entwickler per Definition ein ungelöstes Kontrollrisiko dar.

SPEAKER_00

Ich sehe schon, warum du das so kritisch siehst. Aber lass mich dir das mal kurz pragmatisch aufschlüsseln. Schieß los. Wenn wir wollen, dass diese autonomen Systeme wirklich verlässlich und sicher laufen, dann brauchen die Entwickler doch dieses kontinuierliche Feedback, oder? Ja, bis zu einem gewissen Grad. Eben. Wenn wir jetzt jede Form von Systemtelemetrie sofort als Backdoor-Framen, naja, framen ist gut, das ist ja. Ähnlich wie bei automatischen Absturzberichten von modernen Betriebssystemen. Wie sollen die Entwickler dann überhaupt noch Sicherheit garantieren? Ich meine, ohne diese Daten fliegen die beim Debugging doch völlig blind.

SPEAKER_01

Tut mir leid, aber den Vergleich, den kaufe ich dir einfach nicht ab. Wieso nicht? Lass mich dir sagen, warum deine Analogie da mechanisch völlig hinkt. Der fundamentale Unterschied zwischen legitimer Telemetrie und, sagen wir mal, einer potenziellen Backdoor, der liegt in der informationellen Autonomie des Nutzers. Okay, du meinst die Transparenz. Genau. Bei einem normalen Absturzbericht wird ein statisches Protokoll erstellt, richtig? Ich sehe exakt, was gesendet wird und ich habe die Wahl. Ich kann aktiv auf Senden oder eben auf Abbrechen klicken.

SPEAKER_00

Ja, das stimmt schon.

SPEAKER_01

Aber. Warte, bei diesen spezifischen Cloud-Code-Versionen ist das anders. Da operiert das Monitoring fest verdrahtet im Hintergrund. Das Ding liest kontinuierlich den ganzen Kontext aus. Und der Entwickler kann diesen Datenstrom nicht einfach mal auf Kommandozeilen-Ebene kappen.

SPEAKER_00

Die Architektur zwingt dem Nutzer da quasi einen blinden Fleck auf.

SPEAKER_01

Okay, das ist ein interessanter Punkt. Du bemängelst also primär die fehlende Granularität beim Opt-out. Exakt. Aber wir reden hier ja nicht von einem starren Betriebssystem, wir reden von einem iterativen KI-Agenten, der eigenständig Code schreibt und ausführt. Wenn das System jetzt in eine Endlosschleife gerät oder fehlerhaften, vielleicht sogar schädlichen Code generiert, dann muss der Mechanismus das doch während der Laufzeit erkennen, oder?

SPEAKER_00

Ja, aber zu welchem Preis? Naja, wenn du den Nutzern die Möglichkeit gibst, das Monitoring komplett abzuschalten, dann riskierst du, dass diese Agenten unbemerkt massiven Schaden anrichten, einfach weil Entropic eben nicht mehr eingreifen oder aus den Fehlern lernen kann.

SPEAKER_01

Da stellt sich mir aber sofort die Frage, wer profitiert am Ende wirklich davon, wenn das System Entscheidungen auf Basis dieses Monitorings trifft? Die Sicherheit der Nutzer. Dient das wirklich nur der lokalen Sicherheit? Oder, und das ist ja die große Befürchtung, werden hier kontinuierlich spezifische Entwicklungsdaten abtransportiert? Daten, die Enthropic dann einen asymmetrischen Vorteil beim Training zukünftiger Modelle verschaffen.

SPEAKER_00

Puh, das ist jetzt aber schon ein bisschen spekulativ. Ich. Also ich würde das Wort Hintertür trotzdem vermeiden. Warum? Weil es eine versteckte, böswillige Zugriffsabsicht impliziert. Und Anthropic verteidigt diesen Datenfluss ja ganz offen. Aber du hast recht, wir müssen das pragmatisch für die Anwender betrachten. Absolut. Für Unternehmen, die jetzt überlegen, Cloud Code in ihre, sagen wir mal, kritische Infrastruktur zu integrieren, da geht es nicht um Begrifflichkeiten. Da geht es um harte Prüffragen.

SPEAKER_01

Genau. Wie zum Beispiel hat der Nutzer die technische Möglichkeit, Empfehlungen oder Aktionen des Systems manuell zu überschreiben.

SPEAKER_00

Richtig. Und zwar bevor sensible Unternehmensdaten erfasst und nach außen gesendet werden.

SPEAKER_01

Exakt, das ist der Knackpunkt. Und solange diese Autonomie nicht glasklar gegeben ist, ist das System für Sicherheitsverantwortliche einfach ein rotes Tuch.

SPEAKER_00

Auch wenn Anthropic argumentiert, die Architektur sei sicher und diene reinen diagnostischen Zwecken.

SPEAKER_01

Reine Versprechungen reichen in der Cybersicherheit einfach nicht aus. Die gleichen kein Architekturrisiko aus.

SPEAKER_00

Dann liegt die Beweislast jetzt wohl ganz klar bei Anthropic. Ganz genau. Um dieses theoretische Vertrauen irgendwie in die Praxis zu übersetzen, brauchen wir handfeste Belege. Seien es unabhängige Audits oder kryptografisch überprüfbare Datenprotokolle.

SPEAKER_01

Ja, die exakt belegen, was da eigentlich abfließt. Solange diese Beweise nicht lückenlos vorliegen, bleibt das Misstrauen absolut berechtigt. Es läuft am Ende auf einen ganz konkreten Praxistest hinaus.

SPEAKER_00

Was muss also bewiesenermaßen wahr sein, bevor ein einzelner Entwickler, ein Unternehmen oder eine ganze Institution diesem System in der Praxis wirklich vertrauen sollte?

SPEAKER_01

Claude Code Versionen 2.191 bis 2.1196 vom Anfang zurück. Das sind nicht einfach nur Nummern in einer Release-Note. Sie stellen die fundamentale Frage, ob ihr wirklich wisst und kontrolliert, wer oder was da gerade aktiv an eurer Codebasis mitarbeitet.

SPEAKER_00

Wenn euch diese Debatte zum Nachdenken gebracht hat, abonniert KI Espresso. Jeden Tag eine neue KI-Debatte in sechs Minuten.