Claude Code Steganographie: Anthropics versteckter Unicode-Fingerabdruck (2026)

Ende Juni 2026 deckte Reverse Engineering in Claude Code (nicht der Web-App) auf: Bei gesetztem Proxy (ANTHROPIC_BASE_URLapi.anthropic.com) wurde die Zeile Today's date is... im System-Prompt per Text-Steganographie umgeschrieben — Datumsseparator und Unicode-Apostroph kodieren China-Zeitzone und Proxy-Treffer. Anthropic entfernte den Code in 2.1.197. Dieser Artikel trennt Event A (Desktop Native Messaging) von Event B, liefert die Unicode-Mapping-Tabelle, erklärt base64+XOR(91), die HN-Debatte und ein Fünf-Schritte-Runbook.

Abstrakte Darstellung von Code und Verschlüsselung — Symbol für versteckte Unicode-Fingerabdrücke in Claude Code

Inhaltsverzeichnis

I. Schmerzpunkte: Drei Vertrauensrisiken für Entwickler

  1. Zwei Ereignisse vermischt: Medien vermischen Claude Desktop (April, Native Messaging) mit Claude Code (Juni, Prompt-Steganographie) — das untergräbt E-E-A-T und führt zu falschen Schutzmaßnahmen.
  2. Unsichtbare Klassifikation: Laut Reverse-Engineering-Bericht kodieren U+2019/U+02BC/U+02B9 in Today's China-Domains, AI-Lab-Keywords und Zeitzone Asia/Shanghai — ohne Zustimmung, ohne Offenlegung.
  3. Produktions-Blindheit: Wer ANTHROPIC_BASE_URL auf OpenRouter, SiliconFlow oder interne Gateways setzt, triggert Event B; reine Cloud-API-Nutzung auf Linux-VPS ohne Audit birgt Compliance-Risiken.

II. Event A vs. Event B — zwei getrennte Vorfälle

DimensionEvent A: Native MessagingEvent B: Prompt-Steganographie
ProduktClaude Desktop (macOS)Claude Code (CLI)
QuelleAlexander Hanff (*The Register*, April 2026)Entwickler-Reverse auf thereallo.dev (30. Juni 2026)
VerhaltenSchreibt still com.anthropic.claude_browser_extension.json in Chrome/Edge/Brave/Arc/Vivaldi/Opera — 3 Extension-IDs rufen chrome-native-host außerhalb der Browser-Sandbox auf; Datei kehrt nach Löschen zurückBei Proxy-Base-URL: Steganographie in Today's date is...
TriggerInstallation/Start von Claude DesktopNur wenn ANTHROPIC_BASE_URL ≠ api.anthropic.com
LabelSpyware / Backdoor (angeblich)Prompt steganography / Covert channel
AnthropicKeine formelle Antwort; später AutorisierungsschalterCode zugegeben, 2.1.197 entfernt, Changelog schweigt

Laut Bericht bestätigte der unabhängige Berater Noah Kenney (Digital 520) Hanffs technische Behauptungen zu Event A. Antiy Labs veröffentlichte eine Risikoanalyse zum Browser-Kanal.

III. Wie die Steganographie funktioniert

Voraussetzung: Laut Reverse Engineering greift Event B nur, wenn ANTHROPIC_BASE_URL auf Proxy, Gateway oder OpenAI-kompatible Schicht zeigt — nicht bei api.anthropic.com.

Dann passieren laut Bericht zwei Dinge in der harmlosen Datumszeile:

  1. Datumsseparator: Bei Systemzeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.
  2. Apostroph-Tausch: Das Zeichen in Today's wird durch visuell identische Unicode-Varianten ersetzt, die Treffer kodieren.

Domain- und Keyword-Listen sind laut Bericht mit base64 + XOR(91) verschleiert — ca. 147 Domain-Regeln, Keywords u. a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.

# Beispiel: Proxy-Trigger prüfen echo $ANTHROPIC_BASE_URL # Nur bei ≠ api.anthropic.com greift laut Bericht die Steganographie # Zeitzone prüfen (löst Datumsseparator / aus) timedatectl | grep "Time zone" # Linux systemsetup -gettimezone # macOS

IV. Unicode-Mapping-Tabelle

Erkanntes MusterDatumsformatApostrophUnicode
Standard (kein Treffer)2026-06-30' ASCIIU+0027
China-Organisation/Reseller-Domain2026-06-30' right single quoteU+2019
AI-Lab-Keyword2026-06-30ʼ modifier letter apostropheU+02BC
Domain + Lab gleichzeitig2026-06-30ʹ modifier letter primeU+02B9
+ China-Zeitzone2026/06/30(wie oben)

In Klartext: Der Prompt wirkt normal — das Backend liest aus einem Apostroph und Separator, ob der Nutzer hinter VPN sitzt, aber in China-Zeitzone und vermutlich an ein AI-Lab gebunden ist. Ein klassischer Covert Channel.

V. Motiv: Anti-Distillation — Ziel vs. Methode

Community-Konsens (vorsichtig formuliert): Ziel war Anti-Distillation und Erkennung unautorisierter API-Weiterverkäufe. Anthropic, OpenAI und Google haben wiederholt vor Modell-Distillation gewarnt; China-verknüpfte Proxies und Labs sind laut Debatte Schwerpunkte.

Auf Hacker News erreichte der Thread laut Bericht 350+ Punkte und 100+ Kommentare, gespalten zwischen „legitime Anti-Distillation-Defense" und „für ein Dev-Tool nahe an Malware".

Laut Bericht gab Anthropic den Code zu und entfernte ihn am 1. Juli 2026 in Version 2.1.197 — ohne Erwähnung im Changelog.

VI. Spyware-Debatte — präzisere Einordnung

Kernproblem in beiden Fällen: keine informierte Zustimmung, bewusst versteckt.

VII. Harte Fakten (zitierbar)

  1. Verschlüsselung: Domain-Listen base64 + XOR-Schlüssel 91, ca. 147 Regeln.
  2. Versionen: Code in 2.1.193 / 2.1.195 / 2.1.196 verifiziert; entfernt in 2.1.197.
  3. HN: 350+ Punkte, 100+ Kommentare; Reddit → HN als Verstärker.
  4. Zeitzonen: Asia/Shanghai, Asia/Urumqi → Datumsseparator /.

VIII. Fünf-Schritte-Runbook: Prüfen und absichern

  1. ANTHROPIC_BASE_URL prüfen: Nur Proxy-Nutzer triggern Event B. Offiziellen Endpoint nutzen oder bewusst dokumentieren.
  2. Claude Code ≥ 2.1.197: Upgrade erzwingen; Changelog allein reicht nicht — Version in CLI verifizieren.
  3. System-Prompt inspizieren: Apostroph in Today's auf U+0027/U+2019/U+02BC/U+02B9 prüfen (Hex-Editor oder Unicode-Inspector).
  4. Event A — Native Messaging: Unter ~/Library/Application Support/<Browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json suchen; Löschung kann von Claude Desktop rückgängig gemacht werden.
  5. Enterprise: Desktop-Agents als Hochprivileg-Programme behandeln — Least Privilege, explizite Autorisierung, auditierbare Logs auf dedizierten Hosts.
# Schritt 3: Apostroph-Codepoint in Prompt-Log python3 -c "s=open('prompt.log').read(); i=s.find('Today'); print([hex(ord(c)) for c in s[i:i+8]])" # Schritt 4: Native-Messaging-Manifest finden (macOS) find ~/Library/Application\ Support -name 'com.anthropic.claude_browser_extension.json' 2>/dev/null

IX. Was das für AI-Vendor-Vertrauen bedeutet

Die Lektion ist nicht „ein Apostroph", sondern: Wenn Modellfähigkeit schneller wächst als Sicherheitsgrenzen und Audit, überschreiten Anbieter Vertrauensgrenzen im Namen von UX oder Missbrauchsschutz. Reine Cloud-API-Nutzung auf generischen Linux-VPS birgt Preisschwankungen, undetectable Prompt-Manipulation und fehlende Apple-Toolchain-Isolation. Self-Hosted-Gateways auf GPU-VPS bringen CUDA-Troubleshooting und undokumentierte Vendor-Verhalten.

Für auditierbare Claude-Code-/Agent-Produktion mit Xcode, Cursor und launchd-7×24-Betrieb ist ein dedizierter VPSMAC M4 Mac-Cloud-Host oft die stabilere Wahl: nativer macOS-Stack, isolierte API-Keys, JSONL-Logs und keine Docker-Abstraktion — damit Proxy-Routing und Prompt-Audits reproduzierbar bleiben, statt in unsichtbaren Unicode-Bits zu verschwinden.

X. FAQ

Ist Claude Code Spyware?

Nicht klassisch, aber laut Reverse Engineering barg es einen nicht offengelegten Fingerabdruck — entfernt in 2.1.197. Genauer: Covert Channel, kein Datendiebstahl-Trojaner.

Erkennt Claude Code meine Zeitzone?

Laut Bericht nur bei Proxy-Base-URL; prüft Asia/Shanghai und Asia/Urumqi für den Datumsseparator.

Was ist der Apostroph-Trick?

U+0027, U+2019, U+02BC, U+02B9 kodieren Domain-/Lab-Treffer — siehe Mapping-Tabelle oben.

Warum hat Anthropic das gemacht?

Sehr wahrscheinlich Anti-Distillation und Anti-Reselling — legitimes Ziel, illegitim versteckte Umsetzung.

Ist das dasselbe wie Claude Desktop Spyware?

Nein — Event A (April, Hanff) vs. Event B (Juni, thereallo.dev).

Welche Versionen waren betroffen?

2.1.193–2.1.196 laut Reverse Engineering; Fix in 2.1.197 ohne Changelog-Hinweis.

XI. Quellen