EU AI Act compliant worden?
AI-geletterdheid is verplicht. Onze training maakt je team aantoonbaar compliant.
Dennis Claassen
AI-trainer · 35+ teams getraind
Key Takeaways
- •8 juli 2026: China's National Vulnerability Database publiceert een waarschuwing over een "security backdoor" in Claude Code versies 2.1.91 tot 2.1.196, uitgebracht tussen 2 april en 29 juni 2026 (CNBC; CBS News).
- •Wat het was: steganografisch trackingmechanisme dat detecteerde of gebruikers met een actieve proxy in China zaten, Chinese URL's routeerden, of verbonden waren met een Chinees AI-lab — en dat bevindingen verstuurde naar Anthropic's servers via een subtiele aanpassing in de datumopmaak en leestekens in het system-prompt (The Register; The Decoder).
- •Anthropic's verklaring (Thariq Shihipar, Claude Code engineer): "This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation." (AI Weekly; The Register).
- •Al verwijderd vóór de waarschuwing: het steganografische systeem werd verwijderd in versie 2.1.198, uitgebracht op 1 juli 2026 — een week vóór China's publieke waarschuwing (South China Morning Post).
- •Alibaba: verbood Claude Code voor alle werknemers met ingang van 10 juli 2026 en adviseerde over te stappen op het interne Qoder (Tom's Hardware).
- •Actie voor uw organisatie: controleer uw Claude Code-versie. Versie 2.1.198 of hoger is niet getroffen. Update als u een oudere versie draait:
npm install -g @anthropic-ai/claude-code@latest.
Op 30 juni 2026 verscheen een post op r/ClaudeAI die de aandacht trok: een gebruiker had de broncode van Claude Code ge-reverse-engineerd en vond iets onverwachts. Verborgen in versie 2.1.91 — uitgebracht op 2 april, zonder vermelding in de release notes — zat detectielogica die controleerde of de gebruiker in China zat, via Chinese URL's verbinding maakte, of gelieerd was aan een Chinees AI-lab.
Dat was het begin van een diplomatiek incident.
Wat er precies in de code zat
Het mechanisme werkte als volgt, zoals beschreven door The Register en bevestigd door Anthropic zelf (The Register):
- •Claude Code detecteerde of de gebruiker een actieve proxy gebruikte gecombineerd met een Chinese locatie, Chinese AI-lab-URL's, of vergelijkbare signalen
- •Als dat het geval was, werden de bevindingen steganografisch verstuurd naar Anthropic's servers — niet als open dataveld, maar verborgen in subtiele aanpassingen aan de datumopmaak en leestekens in het system-prompt
- •De data was onzichtbaar voor de eindgebruiker, maar machineleesbaar aan Anthropic's kant
Steganografie is het verstoppen van informatie in ogenschijnlijk onschuldige data. Het gebruik ervan — zelfs voor legitieme doelen — is precies wat de ophef zo groot maakte: het was bewust verborgen.
De tracking richtte zich specifiek op signalen die wezen op Chinees gebruik: proxies die via China routeerden, URL-patronen van Chinese AI-labs, en vergelijkbare indicatoren. Europese of Nederlandse gebruikers zonder zulke proxies werden niet getroffen door het trackingmechanisme.
Anthropic's verklaring: anti-misbruik, geen spionage
Thariq Shihipar, engineer op het Claude Code-team, reageerde op X met een verklaring die in meerdere media werd geciteerd:
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while."
Met "distillation" bedoelt Anthropic het zonder toestemming trainen van een eigen model op de output van Claude — een praktijk die door Chinese labs, maar ook anderen, zou zijn ingezet. Met "unauthorized resellers" doelt de verklaring op partijen die Claude Code-toegang doorverkopen buiten het officiële abonnementssysteem.
Is dit een geloofwaardige verklaring? Het is consistent met bekende bedrijfsproblemen in de AI-sector: API-misbruik en modelkopieën zijn een reëel probleem voor AI-labs. De keuze voor steganografie — in plaats van een transparante gebruikscheck — is echter moeilijk te verdedigen vanuit een transparantie-oogpunt, en dat erkent Anthropic impliciet door te bevestigen dat het "already meant to be taken down" was.
Tijdlijn: de fix was er al vóór de waarschuwing
Dit is een cruciaal detail dat in veel berichtgeving ondergesneeuwd raakt:
| Datum | Gebeurtenis |
|---|---|
| 2 april 2026 | Versie 2.1.91 uitgebracht — eerste versie met het trackingmechanisme (geen melding in release notes) |
| 29 juni 2026 | Versie 2.1.196 — laatste versie met het mechanisme |
| 30 juni 2026 | Reddit-post onthult de verborgen code |
| 1 juli 2026 | Versie 2.1.198 uitgebracht — trackingmechanisme verwijderd |
| 8 juli 2026 | China's National Vulnerability Database publiceert de waarschuwing |
| 10 juli 2026 | Alibaba verbiedt Claude Code voor werknemers |
De Chinese waarschuwing van 8 juli beschreef een probleem dat op 1 juli al was opgelost. Wie Claude Code update naar de meest recente versie, heeft geen actief beveiligingsprobleem meer.
Wat tegenvalt — en wat dit ongemakkelijk maakt
Dit artikel zou geen eerlijk stuk zijn zonder te vermelden wat er wél op kritiek verdient.
Gebrek aan transparantie: een beveiligingsgevoelig mechanisme dat drie maanden heimelijk in productie draait, zonder vermelding in release notes, is moeilijk te verdedigen — ongeacht het doel. Gebruikers en bedrijven die Claude Code inzetten, mogen verwachten dat wijzigingen met privacyimplicaties gecommuniceerd worden.
Steganografie als keuze: er zijn transparante manieren om API-misbruik te detecteren — gebruikspatronen, accountverificatie, rate limiting. De keuze voor een verborgen steganografisch mechanisme suggereert een bewuste beslissing om de tracking niet zichtbaar te maken voor gebruikers, wat ook een legitieme verklaring moeilijker geloofwaardig maakt.
EU AI Act: de transparantieverplichtingen van artikel 50 van de EU AI Act activeren op 2 augustus 2026. Steganografische dataverzameling — ook voor legitieme doelen — past slecht in een framework dat AI-providers verplicht om gebruikers te informeren over hoe AI-systemen hun data verwerken.
Wat dit voor Nederlandse bedrijven betekent
1. Directe actie: controleer uw versie
Als u Claude Code gebruikt: check uw versienummer. Versie 2.1.198 of hoger is niet getroffen door het trackingmechanisme.
claude --version
Update als u een oudere versie draait:
npm install -g @anthropic-ai/claude-code@latest
Bent u op versie 2.1.197 of lager en gebruikt u in uw infrastructuur proxies die via China routeren of hebt u verbindingen met Chinese AI-labs? Dan is het relevant om te begrijpen welke data mogelijk verstuurd is. Voor de meeste Nederlandse organisaties zonder zulke proxies is het praktische risico beperkt geweest — maar een update is hoe dan ook verstandig.
2. AI-toolsecurity als proces, niet als incident
Dit incident illustreert een bredere les voor enterprise AI-gebruik: AI-tools zijn software met externe afhankelijkheden, en moeten als zodanig behandeld worden in uw beveiligingsbeleid.
Praktische stappen die organisaties die Claude Code of vergelijkbare agentic coding-tools inzetten kunnen overwegen:
- •Versiebeheer: pin kritieke AI-toolversies in uw infrastructuur en beheer updates bewust, net als bij andere dependencies
- •Netwerkmonitoring: agentic tools die internettoegang hebben, sturen potentieel data naar externe servers — begrijp wat er verstuurd wordt
- •Leverancierscontrole: bij enterprise-contracten met Anthropic, OpenAI of anderen kunt u vragen naar data processing agreements (DPA's) en audit-rechten
3. EU AI Act en transparantie
Met de EU AI Act-handhavingsdeadline van 2 augustus 2026 nog minder dan een maand weg, is dit een herinnering dat AI-governance meer is dan een compliance-checkbox. Het omvat ook de vraag: weet u welke data uw AI-tools versturen, en aan wie?
De transparantievereisten van de EU AI Act verplichten aanbieders van AI-systemen om gebruikers te informeren over de werking van het systeem. Dit incident is een praktijkvoorbeeld van waarom die verplichting bestaat.
Wil je AI leren inzetten?
In onze praktische trainingen leer je hoe je ChatGPT, Claude en andere AI-tools effectief inzet voor jouw werk.
Geopolitieke context: de bredere AI-rivaliteit
De reactie van China's overheid en Alibaba's snelle verbod op Claude Code passen in een bredere patroon van toenemende spanningen in de AI-sector. Anthropic, dat de nodige investeringen heeft ontvangen van Amerikaanse technologiebedrijven, staat in China al onder verhoogde aandacht.
Voor Nederlandse bedrijven is de geopolitieke dimensie beperkt relevant voor dagelijks gebruik. Wél relevant: dit incident toont dat grote AI-labs opereren in een context van geopolitieke spanning, en dat beveiligingsbeslissingen soms ook door die context worden beïnvloed — iets om mee te rekening te houden bij uw leveranciersselectie en AI-beleid.
Conclusie
De kern van dit incident: Anthropic implementeerde een steganografisch trackingmechanisme om misbruik door Chinese partijen te detecteren. Het mechanisme was al verwijderd op 1 juli 2026 — vóór China's waarschuwing van 8 juli. Voor de overgrote meerderheid van Nederlandse Claude Code-gebruikers is het praktische beveiligingsrisico gering, mits u up-to-date bent.
Wat blijft: vragen over transparantie in AI-toolontwikkeling. Anthropic's reactie is eerlijk — maar een heimelijk mechanisme dat drie maanden in productie draait zonder gebruikerscommunicatie is niet in lijn met wat de EU AI Act binnen enkele weken van AI-providers gaat vereisen.
Update uw Claude Code. En gebruik dit als aanleiding om uw bredere AI-beveiligingsbeleid te evalueren.
Hulp nodig bij AI implementatie?
Plan een vrijblijvend adviesgesprek en ontdek wat AI voor jouw organisatie kan betekenen.
Bronnen
- •CNBC — China warns about AI risks with Anthropic's Claude Code (8 juli 2026)
- •CBS News — China warns of "security backdoor" in Anthropic AI coding tool
- •The Register — China tells devs to ditch Claude Code over 'backdoor code' fears (8 juli 2026)
- •South China Morning Post — Anthropic hits back after China warns of Claude Code 'backdoor' risks
- •Tom's Hardware — Alibaba bans Anthropic's Claude Code after alleged hidden China-detection backdoor
- •The Next Web — Alibaba bans Claude Code after Anthropic is caught tracking Chinese users
- •The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- •AI Weekly — Anthropic to remove Claude Code marker that flagged China users
- •TFTC — Anthropic Hid a Steganographic Tracker in Claude Code for Three Months
- •Business Standard — China asks users to update Claude Code over 'backdoor' security risk (9 juli 2026)
Veelgestelde vragen
Heeft Claude Code een backdoor?
Claude Code versies 2.1.91 tot 2.1.196 (uitgebracht 2 april tot 29 juni 2026) bevatten een steganografisch trackingmechanisme dat detecteerde of gebruikers via een Chinese proxy verbinding maakten, Chinese URL's routeerden, of gelieerd waren aan een Chinees AI-lab. Anthropic beschreef dit als "een experiment om accountmisbruik door ongeautoriseerde resellers te voorkomen en te beschermen tegen distillatie." Het mechanisme is verwijderd in versie 2.1.198 (1 juli 2026), vóór de Chinese overheidswaarschuwing van 8 juli 2026. Versie 2.1.198 en hoger bevatten het niet. Bron: CNBC, The Register, Anthropic (juli 2026).
Welke versies van Claude Code zijn getroffen en moet ik updaten?
Getroffen versies: 2.1.91 tot en met 2.1.196, uitgebracht tussen 2 april 2026 en 29 juni 2026. Niet getroffen: versie 2.1.198 en hoger (uitgebracht 1 juli 2026). Controleer uw versie met het commando "claude --version". Update indien nodig: "npm install -g @anthropic-ai/claude-code@latest". Voor de meeste Nederlandse organisaties zonder Chinese proxy-infrastructuur was het praktische beveiligingsrisico beperkt — het mechanisme richtte zich specifiek op signalen van Chinese geolokatie en Chinese AI-lab-URL's. Bron: The Register, Business Standard (8-9 juli 2026).
Waarom heeft Alibaba Claude Code verboden na de beveiligingswaarschuwing?
Alibaba verbood Claude Code voor alle werknemers met ingang van 10 juli 2026 en adviseerde over te stappen op het interne Qoder, na de bevinding dat Claude Code verborgen code bevatte die detecteerde of gebruikers in China zaten of verbonden waren met Chinese AI-labs. Alibaba's beslissing is begrijpelijk in de context van de VS-China AI-spanningen: de tracking richtte zich specifiek op Chinese gebruikssignalen, wat een directe bedreiging voor Alibaba-medewerkers vormt. Bron: Tom's Hardware, The Next Web (9 juli 2026).
Is de Claude Code beveiligingskwetsbaarheid al opgelost?
Ja. Versie 2.1.198, uitgebracht op 1 juli 2026 — een week vóór China's publieke waarschuwing van 8 juli — verwijderde het steganografische trackingmechanisme volledig. Wie Claude Code gebruikt op versie 2.1.198 of hoger is niet getroffen. Anthropic bevestigde de verwijdering via een verklaring van engineer Thariq Shihipar. Voer "claude --version" uit om uw versie te controleren en update indien nodig. Bron: South China Morning Post, AI Weekly (juli 2026).
Wat betekent de Claude Code-zaak voor de EU AI Act-naleving?
De transparantieverplichtingen van de EU AI Act (artikel 50) activeren op 2 augustus 2026. Die verplichten aanbieders van AI-systemen om gebruikers te informeren over hoe het systeem werkt en welke data verwerkt wordt. Een steganografisch trackingmechanisme dat drie maanden zonder gebruikerscommunicatie in productie draait, is precies het type praktijk dat de EU AI Act wil voorkomen. Voor Nederlandse bedrijven is de les: neem AI-toolsecurity op in uw AI-beleid en controleer regelmatig de release notes en DPA's van uw AI-leveranciers. Bron: EU AI Act artikel 50; eigen analyse (juli 2026).

