Nieuws

Claude Code en de China-waarschuwing: feiten, fix en wat uw organisatie nu moet doen

Op 8 juli 2026 publiceerde China's National Vulnerability Database een waarschuwing over een 'security backdoor' in Anthropic's Claude Code. Alibaba verbood het gebruik voor werknemers. Wat was er werkelijk aan de hand? Anthropic bevestigde dat het ging om een anti-misbruik-experiment dat steganografisch gebruikerslocatie trackte — en dat het al was verwijderd op 1 juli, vóór de Chinese waarschuwing. Dit artikel legt uit wat er speelde, wat het voor uw organisatie betekent, en welke actie u moet nemen.

Dennis ClaassenDennis Claassen8 min lezen
Slotsleutel boven een schermafbeelding van code op een donkere achtergrond — symboliseert een beveiligingsvraagstuk rond AI-codetooling

EU AI Act compliant worden?

AI-geletterdheid is verplicht. Onze training maakt je team aantoonbaar compliant.

Dennis Claassen

Dennis Claassen

AI-trainer · 35+ teams getraind

Bekijk trainingen

Key Takeaways

  • 8 juli 2026: China's National Vulnerability Database publiceert een waarschuwing over een "security backdoor" in Claude Code versies 2.1.91 tot 2.1.196, uitgebracht tussen 2 april en 29 juni 2026 (CNBC; CBS News).
  • Wat het was: steganografisch trackingmechanisme dat detecteerde of gebruikers met een actieve proxy in China zaten, Chinese URL's routeerden, of verbonden waren met een Chinees AI-lab — en dat bevindingen verstuurde naar Anthropic's servers via een subtiele aanpassing in de datumopmaak en leestekens in het system-prompt (The Register; The Decoder).
  • Anthropic's verklaring (Thariq Shihipar, Claude Code engineer): "This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation." (AI Weekly; The Register).
  • Al verwijderd vóór de waarschuwing: het steganografische systeem werd verwijderd in versie 2.1.198, uitgebracht op 1 juli 2026 — een week vóór China's publieke waarschuwing (South China Morning Post).
  • Alibaba: verbood Claude Code voor alle werknemers met ingang van 10 juli 2026 en adviseerde over te stappen op het interne Qoder (Tom's Hardware).
  • Actie voor uw organisatie: controleer uw Claude Code-versie. Versie 2.1.198 of hoger is niet getroffen. Update als u een oudere versie draait: npm install -g @anthropic-ai/claude-code@latest.

Op 30 juni 2026 verscheen een post op r/ClaudeAI die de aandacht trok: een gebruiker had de broncode van Claude Code ge-reverse-engineerd en vond iets onverwachts. Verborgen in versie 2.1.91 — uitgebracht op 2 april, zonder vermelding in de release notes — zat detectielogica die controleerde of de gebruiker in China zat, via Chinese URL's verbinding maakte, of gelieerd was aan een Chinees AI-lab.

Dat was het begin van een diplomatiek incident.

Wat er precies in de code zat

Het mechanisme werkte als volgt, zoals beschreven door The Register en bevestigd door Anthropic zelf (The Register):

  1. Claude Code detecteerde of de gebruiker een actieve proxy gebruikte gecombineerd met een Chinese locatie, Chinese AI-lab-URL's, of vergelijkbare signalen
  2. Als dat het geval was, werden de bevindingen steganografisch verstuurd naar Anthropic's servers — niet als open dataveld, maar verborgen in subtiele aanpassingen aan de datumopmaak en leestekens in het system-prompt
  3. De data was onzichtbaar voor de eindgebruiker, maar machineleesbaar aan Anthropic's kant

Steganografie is het verstoppen van informatie in ogenschijnlijk onschuldige data. Het gebruik ervan — zelfs voor legitieme doelen — is precies wat de ophef zo groot maakte: het was bewust verborgen.

De tracking richtte zich specifiek op signalen die wezen op Chinees gebruik: proxies die via China routeerden, URL-patronen van Chinese AI-labs, en vergelijkbare indicatoren. Europese of Nederlandse gebruikers zonder zulke proxies werden niet getroffen door het trackingmechanisme.

Anthropic's verklaring: anti-misbruik, geen spionage

Thariq Shihipar, engineer op het Claude Code-team, reageerde op X met een verklaring die in meerdere media werd geciteerd:

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while."

Met "distillation" bedoelt Anthropic het zonder toestemming trainen van een eigen model op de output van Claude — een praktijk die door Chinese labs, maar ook anderen, zou zijn ingezet. Met "unauthorized resellers" doelt de verklaring op partijen die Claude Code-toegang doorverkopen buiten het officiële abonnementssysteem.

Is dit een geloofwaardige verklaring? Het is consistent met bekende bedrijfsproblemen in de AI-sector: API-misbruik en modelkopieën zijn een reëel probleem voor AI-labs. De keuze voor steganografie — in plaats van een transparante gebruikscheck — is echter moeilijk te verdedigen vanuit een transparantie-oogpunt, en dat erkent Anthropic impliciet door te bevestigen dat het "already meant to be taken down" was.

Tijdlijn: de fix was er al vóór de waarschuwing

Dit is een cruciaal detail dat in veel berichtgeving ondergesneeuwd raakt:

DatumGebeurtenis
2 april 2026Versie 2.1.91 uitgebracht — eerste versie met het trackingmechanisme (geen melding in release notes)
29 juni 2026Versie 2.1.196 — laatste versie met het mechanisme
30 juni 2026Reddit-post onthult de verborgen code
1 juli 2026Versie 2.1.198 uitgebracht — trackingmechanisme verwijderd
8 juli 2026China's National Vulnerability Database publiceert de waarschuwing
10 juli 2026Alibaba verbiedt Claude Code voor werknemers

De Chinese waarschuwing van 8 juli beschreef een probleem dat op 1 juli al was opgelost. Wie Claude Code update naar de meest recente versie, heeft geen actief beveiligingsprobleem meer.

Wat tegenvalt — en wat dit ongemakkelijk maakt

Dit artikel zou geen eerlijk stuk zijn zonder te vermelden wat er wél op kritiek verdient.

Gebrek aan transparantie: een beveiligingsgevoelig mechanisme dat drie maanden heimelijk in productie draait, zonder vermelding in release notes, is moeilijk te verdedigen — ongeacht het doel. Gebruikers en bedrijven die Claude Code inzetten, mogen verwachten dat wijzigingen met privacyimplicaties gecommuniceerd worden.

Steganografie als keuze: er zijn transparante manieren om API-misbruik te detecteren — gebruikspatronen, accountverificatie, rate limiting. De keuze voor een verborgen steganografisch mechanisme suggereert een bewuste beslissing om de tracking niet zichtbaar te maken voor gebruikers, wat ook een legitieme verklaring moeilijker geloofwaardig maakt.

EU AI Act: de transparantieverplichtingen van artikel 50 van de EU AI Act activeren op 2 augustus 2026. Steganografische dataverzameling — ook voor legitieme doelen — past slecht in een framework dat AI-providers verplicht om gebruikers te informeren over hoe AI-systemen hun data verwerken.

Wat dit voor Nederlandse bedrijven betekent

1. Directe actie: controleer uw versie

Als u Claude Code gebruikt: check uw versienummer. Versie 2.1.198 of hoger is niet getroffen door het trackingmechanisme.

claude --version

Update als u een oudere versie draait:

npm install -g @anthropic-ai/claude-code@latest

Bent u op versie 2.1.197 of lager en gebruikt u in uw infrastructuur proxies die via China routeren of hebt u verbindingen met Chinese AI-labs? Dan is het relevant om te begrijpen welke data mogelijk verstuurd is. Voor de meeste Nederlandse organisaties zonder zulke proxies is het praktische risico beperkt geweest — maar een update is hoe dan ook verstandig.

2. AI-toolsecurity als proces, niet als incident

Dit incident illustreert een bredere les voor enterprise AI-gebruik: AI-tools zijn software met externe afhankelijkheden, en moeten als zodanig behandeld worden in uw beveiligingsbeleid.

Praktische stappen die organisaties die Claude Code of vergelijkbare agentic coding-tools inzetten kunnen overwegen:

  • Versiebeheer: pin kritieke AI-toolversies in uw infrastructuur en beheer updates bewust, net als bij andere dependencies
  • Netwerkmonitoring: agentic tools die internettoegang hebben, sturen potentieel data naar externe servers — begrijp wat er verstuurd wordt
  • Leverancierscontrole: bij enterprise-contracten met Anthropic, OpenAI of anderen kunt u vragen naar data processing agreements (DPA's) en audit-rechten

3. EU AI Act en transparantie

Met de EU AI Act-handhavingsdeadline van 2 augustus 2026 nog minder dan een maand weg, is dit een herinnering dat AI-governance meer is dan een compliance-checkbox. Het omvat ook de vraag: weet u welke data uw AI-tools versturen, en aan wie?

De transparantievereisten van de EU AI Act verplichten aanbieders van AI-systemen om gebruikers te informeren over de werking van het systeem. Dit incident is een praktijkvoorbeeld van waarom die verplichting bestaat.

AI Training

Wil je AI leren inzetten?

In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.

Geopolitieke context: de bredere AI-rivaliteit

De reactie van China's overheid en Alibaba's snelle verbod op Claude Code passen in een bredere patroon van toenemende spanningen in de AI-sector. Anthropic, dat de nodige investeringen heeft ontvangen van Amerikaanse technologiebedrijven, staat in China al onder verhoogde aandacht.

Voor Nederlandse bedrijven is de geopolitieke dimensie beperkt relevant voor dagelijks gebruik. Wél relevant: dit incident toont dat grote AI-labs opereren in een context van geopolitieke spanning, en dat beveiligingsbeslissingen soms ook door die context worden beïnvloed — iets om mee te rekening te houden bij uw leveranciersselectie en AI-beleid.

Conclusie

De kern van dit incident: Anthropic implementeerde een steganografisch trackingmechanisme om misbruik door Chinese partijen te detecteren. Het mechanisme was al verwijderd op 1 juli 2026 — vóór China's waarschuwing van 8 juli. Voor de overgrote meerderheid van Nederlandse Claude Code-gebruikers is het praktische beveiligingsrisico gering, mits u up-to-date bent.

Wat blijft: vragen over transparantie in AI-toolontwikkeling. Anthropic's reactie is eerlijk — maar een heimelijk mechanisme dat drie maanden in productie draait zonder gebruikerscommunicatie is niet in lijn met wat de EU AI Act binnen enkele weken van AI-providers gaat vereisen.

Update uw Claude Code. En gebruik dit als aanleiding om uw bredere AI-beveiligingsbeleid te evalueren.

Persoonlijk advies

Hulp nodig bij AI implementatie?

Plan een vrijblijvend adviesgesprek en ontdek wat AI voor jouw organisatie kan betekenen.

Bronnen

Veelgestelde vragen

Heeft Claude Code een backdoor?

Claude Code versies 2.1.91 tot 2.1.196 (uitgebracht 2 april tot 29 juni 2026) bevatten een steganografisch trackingmechanisme dat detecteerde of gebruikers via een Chinese proxy verbinding maakten, Chinese URL's routeerden, of gelieerd waren aan een Chinees AI-lab. Anthropic beschreef dit als "een experiment om accountmisbruik door ongeautoriseerde resellers te voorkomen en te beschermen tegen distillatie." Het mechanisme is verwijderd in versie 2.1.198 (1 juli 2026), vóór de Chinese overheidswaarschuwing van 8 juli 2026. Versie 2.1.198 en hoger bevatten het niet. Bron: CNBC, The Register, Anthropic (juli 2026).

Welke versies van Claude Code zijn getroffen en moet ik updaten?

Getroffen versies: 2.1.91 tot en met 2.1.196, uitgebracht tussen 2 april 2026 en 29 juni 2026. Niet getroffen: versie 2.1.198 en hoger (uitgebracht 1 juli 2026). Controleer uw versie met het commando "claude --version". Update indien nodig: "npm install -g @anthropic-ai/claude-code@latest". Voor de meeste Nederlandse organisaties zonder Chinese proxy-infrastructuur was het praktische beveiligingsrisico beperkt — het mechanisme richtte zich specifiek op signalen van Chinese geolokatie en Chinese AI-lab-URL's. Bron: The Register, Business Standard (8-9 juli 2026).

Waarom heeft Alibaba Claude Code verboden na de beveiligingswaarschuwing?

Alibaba verbood Claude Code voor alle werknemers met ingang van 10 juli 2026 en adviseerde over te stappen op het interne Qoder, na de bevinding dat Claude Code verborgen code bevatte die detecteerde of gebruikers in China zaten of verbonden waren met Chinese AI-labs. Alibaba's beslissing is begrijpelijk in de context van de VS-China AI-spanningen: de tracking richtte zich specifiek op Chinese gebruikssignalen, wat een directe bedreiging voor Alibaba-medewerkers vormt. Bron: Tom's Hardware, The Next Web (9 juli 2026).

Is de Claude Code beveiligingskwetsbaarheid al opgelost?

Ja. Versie 2.1.198, uitgebracht op 1 juli 2026 — een week vóór China's publieke waarschuwing van 8 juli — verwijderde het steganografische trackingmechanisme volledig. Wie Claude Code gebruikt op versie 2.1.198 of hoger is niet getroffen. Anthropic bevestigde de verwijdering via een verklaring van engineer Thariq Shihipar. Voer "claude --version" uit om uw versie te controleren en update indien nodig. Bron: South China Morning Post, AI Weekly (juli 2026).

Wat betekent de Claude Code-zaak voor de EU AI Act-naleving?

De transparantieverplichtingen van de EU AI Act (artikel 50) activeren op 2 augustus 2026. Die verplichten aanbieders van AI-systemen om gebruikers te informeren over hoe het systeem werkt en welke data verwerkt wordt. Een steganografisch trackingmechanisme dat drie maanden zonder gebruikerscommunicatie in productie draait, is precies het type praktijk dat de EU AI Act wil voorkomen. Voor Nederlandse bedrijven is de les: neem AI-toolsecurity op in uw AI-beleid en controleer regelmatig de release notes en DPA's van uw AI-leveranciers. Bron: EU AI Act artikel 50; eigen analyse (juli 2026).

Tags
claude-codebeveiligingai-nieuwsenterprise-aiai-governanceeu-ai-act
Dennis Claassen
Geschreven door

Dennis Claassen

Founder & AI Trainer

Dennis is de oprichter van Project Impact en traint Nederlandse bedrijven in het effectief gebruiken van AI. Met jarenlange ervaring in tech en onderwijs helpt hij teams om AI praktisch toe te passen.

Gerelateerde Artikelen

Meer interessante artikelen over dit onderwerp

Drie AI-modeliconen naast elkaar in oranje, blauw en groen op een zwarte achtergrond — symboliseren de drie GPT-5.6 varianten Sol, Terra en Luna van OpenAI
Nieuws

GPT-5.6 Sol, Terra en Luna: nu breed beschikbaar voor Nederlandse bedrijven

Na twee weken beperkte toegang op verzoek van de Witte Woning zijn GPT-5.6 Sol, Terra en Luna vanaf 9 juli 2026 breed beschikbaar — ook voor Nederlandse bedrijven. Sol is het vlaggenschip voor complexe agentic taken en cybersecurity, Terra het prijsaantrekkelijk alternatief voor GPT-5.5, en Luna de snelle optie voor hoog-volume werk. Dit artikel geeft een eerlijk overzicht van de capaciteiten, prijzen en een concrete keuzegids voor uw organisatie.

7 min lezen
Een autonoom AI-agent als rode noodwaarschuwing die een productiedatabase binnendringt — symbolisch beeld voor de JADEPUFFER agentic ransomware-operatie
Nieuws

JADEPUFFER: de eerste autonome AI-ransomware — wat Nederlandse bedrijven nú moeten weten

Een AI-agent exploiteerde een Langflow-kwetsbaarheid, harvestte credentials, bewoog lateraal door een netwerk en versleutelde een productiedatabase — zonder enige menselijke aanvaller achter het toetsenbord. Sysdig Threat Research Team documenteerde JADEPUFFER in de eerste week van juli 2026 als de eerste gedocumenteerde agentic ransomware-operatie. Het kostenprofiel van een gerichte cyberaanval is fundamenteel veranderd.

7 min lezen
Brede conferentiezaal in Genève met nationale vlaggen en gedelegeerden van 193 landen, symboliseert de historische eerste mondiale AI-governance dialoog van de VN in juli 2026
Nieuws

VN houdt eerste mondiale AI-governance top: 'We kunnen de toekomst van de mensheid niet vibe-coden'

Op 6 en 7 juli 2026 vond in Genève de eerste mondiale VN-dialoog over AI-governance plaats: 193 landen aan één tafel. VN-secretaris-generaal António Guterres stelde het ongemakkelijk scherp — 'We cannot vibe-code the future of humanity.' Een onafhankelijk wetenschappelijk panel bevestigde dat AI-capaciteiten sneller groeien dan reguleringsmogelijkheden. Met de EU AI Act-handhavingsdeadline op 2 augustus 2026 is dit het signaal dat ook Nederlandse bedrijven nodig hebben.

7 min lezen

AI leren toepassen in je bedrijf?

Ontdek onze praktische AI trainingen voor teams.