Een Reddit-gebruiker ontleedde eind juni de broncode van Claude Code en vond versleutelde, ongedocumenteerde code die detecteerde of een gebruiker in China zat. Anthropic bevestigde het bestaan ervan, noemde het een experiment tegen misbruik en verwijderde de code op 1 juli. Alibaba verbiedt Claude Code per 10 juli voor al het personeel. Het verhaal raakt een zenuw die verder reikt dan de Chinese markt: als een van de meest gebruikte AI-codetools ter wereld stiekem locatiegegevens verzamelt zonder dat in de release notes te vermelden, wat weet je dan eigenlijk over de tools die jij op kantoor gebruikt?
Wat zat er precies in Claude Code?
Claude Code is de command-line interface waarmee ontwikkelaars rechtstreeks met Claude werken in hun terminal. Het is een van de snelst groeiende ontwikkelaarstools van dit moment, populair bij individuele ontwikkelaars en bij teams die AI inzetten voor code-reviews, refactoring en het bouwen van complete functies. Juist die populariteit maakt de ontdekking extra gevoelig.
Reddit-gebruiker LegitMichel777 reverse-engineerde Claude Code op 30 juni en ontdekte verborgen code die sinds versie 2.1.91 aanwezig was, uitgebracht op 2 april. De code was nergens in de release notes vermeld. Technisch was de functie versleuteld met XOR-obfuscatie met sleutel 91, specifiek bedoeld om te voorkomen dat iemand de code zou ontdekken bij het doorzoeken van de broncode.
De code voerde drie controles uit:
- Tijdzone-check: het systeem controleerde of de tijdzone van de gebruiker was ingesteld op Asia/Shanghai of Asia/Urumqi.
- Proxy-scan: proxy-adressen en aangepaste API-URLs werden vergeleken met een ingebouwde lijst van Chinese domeinen en AI-lab-adressen, waaronder die van Alibaba, ByteDance en Baidu.
- Steganografie: de resultaten van deze controles werden onzichtbaar verwerkt in systeemprompts die Claude Code bij elke interactie naar de servers van Anthropic stuurde.
Het cruciale detail: geen enkele gebruiker kon zien dat deze controles plaatsvonden. Er was geen melding, geen opt-out, geen vermelding in de documentatie. De code zat er drie maanden in voordat iemand het ontdekte, terwijl miljoenen ontwikkelaars Claude Code dagelijks gebruikten voor hun werk, hun klanten en hun bedrijfskritische processen.
Hoe werkte de steganografie?
De techniek waarmee de resultaten werden doorgestuurd is opmerkelijk vernuftig. De verborgen code paste twee subtiele wijzigingen toe in de systeemprompts die Claude Code automatisch meestuurt bij elke interactie met de Anthropic-servers.
Ten eerste: als een Chinese tijdzone werd gedetecteerd, veranderde het datumformaat van streepjes naar schuine strepen. In plaats van "2026-07-04" stuurde het systeem "2026/07/04". Ten tweede, en slimmer: de apostrof in de standaardzin "Today's date is" werd vervangen door een van drie visueel identieke maar technisch verschillende Unicode-tekens, afhankelijk van welke detectievlaggen waren getriggerd.
Voor een menselijke lezer ziet het er niet anders uit. De tekst op je scherm is identiek. Maar voor de servers van Anthropic was het verschil direct machine-leesbaar. Denk aan een boodschap geschreven met onzichtbare inkt: de brief ziet er normaal uit, maar onder UV-licht verschijnt de verborgen tekst. Maar hier was geen UV-lamp nodig, alleen de juiste software aan de serverkant.
De elegantie van de aanpak maakt het ook verontrustend. Er werd geen extra netwerkverkeer gegenereerd, geen apart bestand aangemaakt, geen verdacht proces opgestart. De tracking verliep volledig via het bestaande communicatiekanaal tussen Claude Code en de Anthropic-servers. Zelfs iemand die het netwerkverkeer monitorde, zou niets ongewoons zien: dezelfde endpoints, dezelfde datavolumes, alleen een ander type apostrof in een systeemprompt.
Waarom bouwde Anthropic dit in?
Anthropic-ingenieur Thariq Shihipar noemde de code "een experiment uit maart dat bedoeld was om accountmisbruik door ongeautoriseerde wederverkopers te voorkomen en te beschermen tegen model-distillatie."
De context maakt dat geloofwaardig. In de maanden ervoor beschuldigde Anthropic onder meer Alibaba ervan dat het via 25.000 nepaccounts ruim 28 miljoen keer Claude had bevraagd om kennis uit het model te extraheren voor eigen AI-ontwikkeling. Model-distillatie is het proces waarbij je een groot AI-model systematisch bevraagt om met de antwoorden een kleiner, eigen model te trainen. Chinese bedrijven omzeilden Anthropic's toegangsbeperkingen via VPN's, cloudservices en dochterondernemingen in Singapore. Anthropic's eigen voorwaarden verbieden expliciet verkoop aan door China gecontroleerde organisaties.
Anthropic's redenering: als je niet kunt voorkomen dat Chinese partijen je dienst gebruiken via de voordeur, bouw je detectie in via de achterdeur. Het probleem: ze vertelden het aan niemand. Geen vermelding in de changelog, geen update in de privacyverklaring, geen opt-out voor gebruikers. Shihipar erkende achteraf dat de aanpak verouderd was: "Het team heeft sindsdien sterkere maatregelen geïmplementeerd en we waren eigenlijk al van plan dit te verwijderen."
Wat deed Alibaba na de ontdekking?
Alibaba classificeerde Claude Code als "software met een hoog risico en beveiligingskwetsbaarheden" en verbiedt alle medewerkers het te gebruiken vanaf 10 juli. Het bedrijf instrueerde personeel om over te stappen op Qoder, Alibaba's eigen AI-codetool. Alle Claude-modellen moeten van bedrijfsapparaten worden verwijderd.
Overigens staat Alibaba hier niet alleen. De ontdekking versterkt een bredere trend waarbij grote technologiebedrijven hun eigen AI-tools ontwikkelen in plaats van te vertrouwen op externe leveranciers. Voor Alibaba is het argument nu dubbel: niet alleen concurrentievoordeel, maar ook beveiliging. De ironie is dat Alibaba zelf beschuldigd werd van het systematisch misbruiken van Claude, maar nu de rol van slachtoffer aanneemt door te wijzen op de verborgen tracking.
Wat vond de ontwikkelaarsgemeenschap?
De reactie op Reddit en Hacker News was heftig. Veel ontwikkelaars wezen erop dat het obfusceren van de code met XOR een bewuste keuze was: je versleutelt code niet tenzij je wilt voorkomen dat iemand hem leest. Dat Anthropic de functie niet documenteerde, versterkte het wantrouwen. Een changelog-vermelding als "we detecteren misbruik vanuit bepaalde regio's" was transparant geweest. De keuze om het stil te houden, maakte het tot een vertrouwensbreuk.
Tegelijkertijd erkenden anderen dat Anthropic een reëel probleem probeerde op te lossen. Model-distillatie kost AI-bedrijven miljarden aan intellectueel eigendom. De 28,8 miljoen API-calls van Alibaba via nepaccounts waren niet hypothetisch maar gedocumenteerd. Anthropic zat klem: het moest misbruik bestrijden zonder het vertrouwen van legitieme gebruikers te schaden. De uitvoering faalde op dat tweede punt.
Hoe controleer je of jouw AI-tools schoon zijn?
De meeste organisaties rollen AI-tools uit zonder de broncode te inspecteren. Dat is begrijpelijk, niet elk bedrijf heeft een beveiligingsteam dat reverse engineering kan uitvoeren. Toch zijn er praktische stappen die elke organisatie kan nemen:
- Lees de changelog bij elke update. Claude Code versie 2.1.91 vermeldde de trackingcode niet in de release notes. Het ontbreken van een changelog-vermelding bij een update die wél nieuw gedrag introduceert, is op zichzelf een signaal. Maak er een gewoonte van om changelogs te lezen voordat je updates bedrijfsbreed uitrolt.
- Monitor netwerkverkeer. Tools als Little Snitch (macOS) of Wireshark tonen welke verbindingen een applicatie maakt en waarheen. Onverwachte verbindingen naar onbekende endpoints verdienen onderzoek. Bij Claude Code zou je bijvoorbeeld kunnen zien dat de systeemprompts subtiel afwijken van wat je verwacht.
- Stel een AI-tool-register op. Een heldere AI-werkwijze voor je team begint met weten welke tools er worden gebruikt, door wie, en met welke machtigingen. Als je niet weet dat je team Claude Code gebruikt, kun je ook niet reageren wanneer er een beveiligingsmelding uitkomt.
- Check de privacyverklaring op locatiegegevens. De AVG vereist dat organisaties je informeren over welke gegevens ze verzamelen en op welke rechtsgrond. Verborgen tracking zonder vermelding in de privacyverklaring is in de EU een overtreding, ongeacht de reden.
Wat dit betekent als je Claude Code op kantoor gebruikt
Anthropic verwijderde de trackingcode op 1 juli via een pull request. Als je Claude Code gebruikt en de laatste update hebt geïnstalleerd, zit de code er niet meer in. Het directe risico is voorbij. Je kunt je versie controleren met claude --version in de terminal. Elke versie na 2.1.91 (vanaf 1 juli) is schoon.
Maar de bredere les blijft staan. Een van de meest vertrouwde AI-tools ter wereld bevatte drie maanden lang verborgen, versleutelde code die locatiegegevens verzamelde zonder dat in de documentatie te vermelden. Niet door een hacker, maar door de ontwikkelaar zelf, met een reden die achteraf begrijpelijk is maar die de gebruiker nooit te horen kreeg.
Voor Nederlandse organisaties voegt de AVG een extra dimensie toe. Het verzamelen van locatiegegevens via verborgen code, zonder vermelding in de privacyverklaring en zonder rechtsgrond, zou in de EU een overtreding zijn. Of Anthropic daadwerkelijk data van Europese gebruikers verzamelde via deze methode is niet bevestigd, maar het feit dat het mechanisme drie maanden lang actief was zonder dat gebruikers het wisten, is op zichzelf verontrustend. De Autoriteit Persoonsgegevens heeft zich niet uitgesproken over deze specifieke zaak, maar verborgen locatiedetectie zonder rechtsgrond past precies in het type overtredingen waar de toezichthouder steeds scherper op handhaaft.
De vier vragen die je moet stellen voordat je bedrijfsdata aan een AI-tool toevertrouwt zijn na deze ontdekking relevanter dan ooit. Vertrouwen is goed, maar een tool-audit bij elke major update is beter. Weet welke tools je team gebruikt, welke machtigingen ze hebben, en volg de changelogs. Niet omdat je Anthropic niet vertrouwt, maar omdat geen enkele leverancier onfeilbaar is. Deze ontdekking bewijst dat zelfs de best aangeschreven partijen in de AI-markt beslissingen nemen die ze achteraf liever anders hadden gedaan. Een tool-audit kost je een uur per kwartaal. Het alternatief, ontdekken dat je tools iets doen wat je niet wist, kost je meer dan dat.