Claude Code Steganographie: Anthropics versteckter Unicode-Fingerabdruck (2026)
Ende Juni 2026 deckte Reverse Engineering in Claude Code (nicht der Web-App) auf: Bei gesetztem Proxy (ANTHROPIC_BASE_URL ≠ api.anthropic.com) wurde die Zeile Today's date is... im System-Prompt per Text-Steganographie umgeschrieben — Datumsseparator und Unicode-Apostroph kodieren China-Zeitzone und Proxy-Treffer. Anthropic entfernte den Code in 2.1.197. Dieser Artikel trennt Event A (Desktop Native Messaging) von Event B, liefert die Unicode-Mapping-Tabelle, erklärt base64+XOR(91), die HN-Debatte und ein Fünf-Schritte-Runbook.
Inhaltsverzeichnis
I. Schmerzpunkte: Drei Vertrauensrisiken für Entwickler
- Zwei Ereignisse vermischt: Medien vermischen Claude Desktop (April, Native Messaging) mit Claude Code (Juni, Prompt-Steganographie) — das untergräbt E-E-A-T und führt zu falschen Schutzmaßnahmen.
- Unsichtbare Klassifikation: Laut Reverse-Engineering-Bericht kodieren U+2019/U+02BC/U+02B9 in
Today'sChina-Domains, AI-Lab-Keywords und ZeitzoneAsia/Shanghai— ohne Zustimmung, ohne Offenlegung. - Produktions-Blindheit: Wer
ANTHROPIC_BASE_URLauf OpenRouter, SiliconFlow oder interne Gateways setzt, triggert Event B; reine Cloud-API-Nutzung auf Linux-VPS ohne Audit birgt Compliance-Risiken.
II. Event A vs. Event B — zwei getrennte Vorfälle
| Dimension | Event A: Native Messaging | Event B: Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS) | Claude Code (CLI) |
| Quelle | Alexander Hanff (*The Register*, April 2026) | Entwickler-Reverse auf thereallo.dev (30. Juni 2026) |
| Verhalten | Schreibt still com.anthropic.claude_browser_extension.json in Chrome/Edge/Brave/Arc/Vivaldi/Opera — 3 Extension-IDs rufen chrome-native-host außerhalb der Browser-Sandbox auf; Datei kehrt nach Löschen zurück | Bei Proxy-Base-URL: Steganographie in Today's date is... |
| Trigger | Installation/Start von Claude Desktop | Nur wenn ANTHROPIC_BASE_URL ≠ api.anthropic.com |
| Label | Spyware / Backdoor (angeblich) | Prompt steganography / Covert channel |
| Anthropic | Keine formelle Antwort; später Autorisierungsschalter | Code zugegeben, 2.1.197 entfernt, Changelog schweigt |
Laut Bericht bestätigte der unabhängige Berater Noah Kenney (Digital 520) Hanffs technische Behauptungen zu Event A. Antiy Labs veröffentlichte eine Risikoanalyse zum Browser-Kanal.
III. Wie die Steganographie funktioniert
Voraussetzung: Laut Reverse Engineering greift Event B nur, wenn ANTHROPIC_BASE_URL auf Proxy, Gateway oder OpenAI-kompatible Schicht zeigt — nicht bei api.anthropic.com.
Dann passieren laut Bericht zwei Dinge in der harmlosen Datumszeile:
- Datumsseparator: Bei Systemzeitzone
Asia/ShanghaioderAsia/Urumqiwird2026-06-30zu2026/06/30. - Apostroph-Tausch: Das Zeichen in
Today'swird durch visuell identische Unicode-Varianten ersetzt, die Treffer kodieren.
Domain- und Keyword-Listen sind laut Bericht mit base64 + XOR(91) verschleiert — ca. 147 Domain-Regeln, Keywords u. a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.
IV. Unicode-Mapping-Tabelle
| Erkanntes Muster | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII | U+0027 |
| China-Organisation/Reseller-Domain | 2026-06-30 | ' right single quote | U+2019 |
| AI-Lab-Keyword | 2026-06-30 | ʼ modifier letter apostrophe | U+02BC |
| Domain + Lab gleichzeitig | 2026-06-30 | ʹ modifier letter prime | U+02B9 |
| + China-Zeitzone | 2026/06/30 | (wie oben) | — |
In Klartext: Der Prompt wirkt normal — das Backend liest aus einem Apostroph und Separator, ob der Nutzer hinter VPN sitzt, aber in China-Zeitzone und vermutlich an ein AI-Lab gebunden ist. Ein klassischer Covert Channel.
V. Motiv: Anti-Distillation — Ziel vs. Methode
Community-Konsens (vorsichtig formuliert): Ziel war Anti-Distillation und Erkennung unautorisierter API-Weiterverkäufe. Anthropic, OpenAI und Google haben wiederholt vor Modell-Distillation gewarnt; China-verknüpfte Proxies und Labs sind laut Debatte Schwerpunkte.
Auf Hacker News erreichte der Thread laut Bericht 350+ Punkte und 100+ Kommentare, gespalten zwischen „legitime Anti-Distillation-Defense" und „für ein Dev-Tool nahe an Malware".
Laut Bericht gab Anthropic den Code zu und entfernte ihn am 1. Juli 2026 in Version 2.1.197 — ohne Erwähnung im Changelog.
VI. Spyware-Debatte — präzisere Einordnung
- Event A: Näher an unautorisiertem Eingriff in Drittsoftware + vorbereiteter Angriffsfläche außerhalb der Browser-Sandbox. Laut Anthropic-eigenen Zahlen: Claude for Chrome Prompt-Injection 23,6 % (unmitigiert) / 11,2 % (mitigiert).
- Event B: Näher an nicht offengelegter Telemetrie / verdeckter Nutzerklassifikation.
Kernproblem in beiden Fällen: keine informierte Zustimmung, bewusst versteckt.
VII. Harte Fakten (zitierbar)
- Verschlüsselung: Domain-Listen base64 + XOR-Schlüssel 91, ca. 147 Regeln.
- Versionen: Code in 2.1.193 / 2.1.195 / 2.1.196 verifiziert; entfernt in 2.1.197.
- HN: 350+ Punkte, 100+ Kommentare; Reddit → HN als Verstärker.
- Zeitzonen:
Asia/Shanghai,Asia/Urumqi→ Datumsseparator/.
VIII. Fünf-Schritte-Runbook: Prüfen und absichern
- ANTHROPIC_BASE_URL prüfen: Nur Proxy-Nutzer triggern Event B. Offiziellen Endpoint nutzen oder bewusst dokumentieren.
- Claude Code ≥ 2.1.197: Upgrade erzwingen; Changelog allein reicht nicht — Version in CLI verifizieren.
- System-Prompt inspizieren: Apostroph in
Today'sauf U+0027/U+2019/U+02BC/U+02B9 prüfen (Hex-Editor oder Unicode-Inspector). - Event A — Native Messaging: Unter
~/Library/Application Support/<Browser>/NativeMessagingHosts/nachcom.anthropic.claude_browser_extension.jsonsuchen; Löschung kann von Claude Desktop rückgängig gemacht werden. - Enterprise: Desktop-Agents als Hochprivileg-Programme behandeln — Least Privilege, explizite Autorisierung, auditierbare Logs auf dedizierten Hosts.
IX. Was das für AI-Vendor-Vertrauen bedeutet
Die Lektion ist nicht „ein Apostroph", sondern: Wenn Modellfähigkeit schneller wächst als Sicherheitsgrenzen und Audit, überschreiten Anbieter Vertrauensgrenzen im Namen von UX oder Missbrauchsschutz. Reine Cloud-API-Nutzung auf generischen Linux-VPS birgt Preisschwankungen, undetectable Prompt-Manipulation und fehlende Apple-Toolchain-Isolation. Self-Hosted-Gateways auf GPU-VPS bringen CUDA-Troubleshooting und undokumentierte Vendor-Verhalten.
Für auditierbare Claude-Code-/Agent-Produktion mit Xcode, Cursor und launchd-7×24-Betrieb ist ein dedizierter VPSMAC M4 Mac-Cloud-Host oft die stabilere Wahl: nativer macOS-Stack, isolierte API-Keys, JSONL-Logs und keine Docker-Abstraktion — damit Proxy-Routing und Prompt-Audits reproduzierbar bleiben, statt in unsichtbaren Unicode-Bits zu verschwinden.
X. FAQ
Ist Claude Code Spyware?
Nicht klassisch, aber laut Reverse Engineering barg es einen nicht offengelegten Fingerabdruck — entfernt in 2.1.197. Genauer: Covert Channel, kein Datendiebstahl-Trojaner.
Erkennt Claude Code meine Zeitzone?
Laut Bericht nur bei Proxy-Base-URL; prüft Asia/Shanghai und Asia/Urumqi für den Datumsseparator.
Was ist der Apostroph-Trick?
U+0027, U+2019, U+02BC, U+02B9 kodieren Domain-/Lab-Treffer — siehe Mapping-Tabelle oben.
Warum hat Anthropic das gemacht?
Sehr wahrscheinlich Anti-Distillation und Anti-Reselling — legitimes Ziel, illegitim versteckte Umsetzung.
Ist das dasselbe wie Claude Desktop Spyware?
Nein — Event A (April, Hanff) vs. Event B (Juni, thereallo.dev).
Welche Versionen waren betroffen?
2.1.193–2.1.196 laut Reverse Engineering; Fix in 2.1.197 ohne Changelog-Hinweis.
XI. Quellen
- The Register — Claude Desktop ändert Software-Berechtigungen ohne Zustimmung (April 2026)
- Malwarebytes, gHacks, YOOTA — Claude Desktop Native Messaging
- thereallo.dev — Original-Reverse-Engineering Prompt-Steganographie
- Tech Startups, TMC Insight, Developers Digest, TechTimes — Event B, Fix 2.1.197
- Antiy Labs — Risikoanalyse Browser-Kanal
- Hacker News — Debatte Anti-Distillation vs. Dev-Tool-Ethik