Kurzantwort: Ende Juni 2026 deckte thereallo.dev per Reverse Engineering auf, dass Claude Code (nicht die Web-App) bei nicht-offiziellem ANTHROPIC_BASE_URL Text-Steganografie in der System-Prompt-Zeile Today's date is... einsetzt — Datums-Trennzeichen und optisch identische Unicode-Apostrophe kodieren Zeitzone und China-Domain/AI-Lab-Treffer zurück an den Server. Anthropic entfernte den Code in 2.1.197. Wahrscheinlich Anti-Distillation/Anti-Resale, aber die Methode ist hochgradig umstritten. Dieser datenbasierte Leitfaden trennt Ereignis A (Claude Desktop Native Messaging) von Ereignis B (Claude Code Steganografie), liefert Unicode-Mapping, HN-Daten (350+ Points), 23,6 %/11,2 % Prompt-Injection-Benchmarks, Sechs-Schritte-Runbook, DSGVO-Kontext und acht FAQ.
Die Welle besteht aus zwei unabhängigen, aber verwandten Ereignissen. HN- und Security-Leser erkennen Vermischung sofort — E-E-A-T leidet. Vor Veröffentlichung strikt trennen:
Ereignis A (April 2026, Alexander Hanff): Nach Installation von Claude Desktop (macOS) schreibt es laut The Register ohne Zustimmung Native-Messaging-Konfigurationen com.anthropic.claude_browser_extension.json in Chrome, Edge, Brave, Arc, Vivaldi, Opera — drei Extension-IDs erhalten Zugriff auf chrome-native-host außerhalb der Browser-Sandbox mit vollen User-Rechten. Verzeichnisse werden auch ohne installierten Browser angelegt; manuelles Löschen wird nach Desktop-Neustart wiederhergestellt. Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte Risikoanalyse. Security-Kreise sprechen von alleged spyware/backdoor.
Ereignis B (30. Juni 2026, thereallo.dev): Reverse Engineering von Claude Code offenbarte Prompt-Steganografie im System-Prompt — Fokus dieses Artikels. Reddit → Hacker News: Diskussion in Stunden auf die Frontpage, 350+ Points, 100+ Kommentare.
Kernunterschied: A betrifft Claude Desktop, Trigger bei Installation/Start. B betrifft Claude Code CLI, nur wenn ANTHROPIC_BASE_URL ≠ api.anthropic.com (Proxy/Gateway/Resale). Anthropic bestätigte B-Code und entfernte ihn am 1. Juli in 2.1.197 (Changelog ohne Erwähnung). Zu A: keine offizielle Stellungnahme; späterer Opt-in-Schalter, zugrunde liegendes Permission-Modell laut Berichten unverändert.
Compliance-Formulierung: Durchgängig „laut Bericht / alleged / Reverse-Engineering-Befund" — Herstellerabsicht nicht als Fakt darstellen. Zweck (Anti-Distillation) und Mittel (Steganografie) getrennt bewerten. EU-Kontext: undisclosed Nutzerklassifikation kann DSGVO-Transparenzpflichten berühren.
Voraussetzung: ANTHROPIC_BASE_URL zeigt auf Nicht-Offiziellen-Endpunkt (Proxy, Gateway, Drittanbieter-Resale, OpenAI-kompatible Schicht). Offizielles api.anthropic.com: keine Manipulation.
Bei Trigger zwei Aktionen in der harmlosen Zeile Today's date is ...:
Datums-Trennzeichen: Bei Zeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.
Apostroph-Tausch: Apostroph in Today's wird durch visuell identische Unicode-Zeichen ersetzt — Kodierung des Trefferstatus.
| Erkanntes Muster | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-Institutions-/Reseller-Domain | 2026-06-30 | ' rechter einfacher Anführungsstrich | U+2019 |
| China-AI-Lab-Keywords (deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai u. a.) | 2026-06-30 | ʼ Modifikator-Apostroph | U+02BC |
| Domain + Lab gleichzeitig | 2026-06-30 | ʹ Modifikator-Letter | U+02B9 |
| + China-Zeitzone | 2026/06/30 | (Apostroph-Regeln wie oben) | — |
Domain- und Keyword-Listen: base64 + XOR(91) obfuskiert, ca. 147 Regeln. Reverse Engineers verifizierten 2.1.193 / 2.1.195 / 2.1.196 — Logik in allen drei Versionen vorhanden.
„Der Request sieht wie normaler englischer Prompt aus — aber Backend scannt Datums-Trennzeichen und Unicode des Apostrophs und taggt dich im Hintergrund. Klassischer covert channel.“
| Dimension | A: Stille Browser-Injection | B: System-Prompt-Steganografie |
|---|---|---|
| Produkt | Claude Desktop (macOS) | Claude Code (CLI) |
| Quelle | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| Zeitpunkt | 2026-04 (ab ca. 18.04.) | 2026-06-30 |
| Trigger | Installation/Start Claude Desktop | Nur nicht-offizieller ANTHROPIC_BASE_URL |
| Label | spyware / backdoor | prompt steganography / covert channel |
| Anthropic | Keine offizielle Antwort; später Opt-in | Code bestätigt; 2.1.197 entfernt (Changelog stumm) |
Community-Konsens (zurückhaltend formuliert): Zweck = Anti-Distillation + Anti-Resale. Anthropic, OpenAI und Google warnen öffentlich vor API-basierter Modell-Distillation. China-bezogene Proxies, Reseller und Labs standen im Verdacht — daher die Tagging-Logik.
Ziel nachvollziehbar, Mittel problematisch: Klassifikationssignal unsichtbar machen, Code obfuskieren, in jeden Request einbetten — für ein Developer-Trust-Produkt eine Vertrauensgrenze. HN-Spaltung: „legitime Anti-Distillation" vs. „malware-adjacent für Dev-Tools".
„Spyware" ist ein emotionales Label. Präziser:
Unabhängig vom Spyware-Begriff: Kernproblem ist fehlende informierte Einwilligung und bewusste Verheimlichung. Mainstream-Interpretation: Ziel war Resale/Distillation-Erkennung, nicht persönliche Überwachung — Streitpunkt sind die Mittel (verdeckt, obfuskiert, undisclosed).
ANTHROPIC_BASE_URL prüfen: Ereignis B nur bei Proxy. Nicht gesetzt oder offizieller Endpunkt = Steganografie inaktiv.
Claude Code upgraden: Mindestens 2.1.197 (1. Juli 2026, Code entfernt).
Zeitzone auditieren: Asia/Shanghai / Asia/Urumqi ändert Datums-Trennzeichen zusätzlich.
Claude Desktop Native Messaging (A): macOS: ~/Library/Application Support/<Browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json durchsuchen, ggf. löschen; Desktop-Neustart kann Datei wiederherstellen.
Enterprise Least Privilege: Desktop-Agent in Produktion evaluieren; explizite Autorisierung und Audit-Trail Pflicht. DSGVO: Verarbeitungsverzeichnis und AV-Vertrag bei sensiblen Prompts prüfen.
Transparenz einfordern: Anti-Distillation kann offen kommuniziert werden — nicht in Interpunktion versteckt. Mit Vendor-Footing abstimmen.
# Nicht-offizielle Base URL prüfen echo "$ANTHROPIC_BASE_URL" # macOS: Claude Desktop Native Messaging find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null # Claude Code Version (2.1.197+ erforderlich) claude --version
Die Warnung liegt nicht im Apostroph, sondern darin, dass Sicherheitsgrenzen, Autorisierung und Audit hinter Modell-Fähigkeiten zurückfallen — und Anbieter unter „Experience/Anti-Abuse" einseitig Vertrauensgrenzen überschreiten. Gegenmaßnahmen: Default-Distrust, evidenzbasiert; Transparenz statt Verheimlichung; Least Privilege + Isolation; Vendor-Druck + DSGVO/Regulierung.
Claude Code / OpenClaw auf dem lokalen Mac = volle User-Rechte und persistente Config — nicht auditierbares Vendor-Verhalten erhöht Risiko gegenüber isolierter Umgebung. CLI-Agent auf dediziertem Remote-Mac-Node, getrennt von Produktions-Desktop/Browser, mit auditierbarem Deployment: stabilere Wahl für iOS CI/CD und AI-Agent-Automation. Für reproduzierbare, isolierte Apple-Silicon-Kapazität bietet NodeMini Mac-Mini-Cloud-Miete dedizierte Nodes mit Root-Zugriff — High-Privilege-Agent-Workloads vom Laptop trennen. Siehe Mac-Mini-Mietpreise und Hilfezentrum.
Quellen: The Register (Claude Desktop, 04/2026); Malwarebytes / gHacks / YOOTA (Native Messaging); thereallo.dev (Original-Reverse-Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (2.1.197); Antiy Labs (Desktop-Risikoanalyse).
Nicht klassisch. Laut Reverse-Engineering verbarg es einen undisclosed, obfuskierten Fingerabdruck im System-Prompt für China-Proxy-Nutzer; Anthropic entfernte ihn in 2.1.197. Präziser: undisclosed covert channel, kein Datenstehlender Malware-Typ.
Laut Bericht: Asia/Shanghai / Asia/Urumqi — aber nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkte: Datumszeile unverändert.
Apostroph in Today's wechselt zwischen U+0027, U+2019, U+02BC, U+02B9 — Standard, China-Domain-Treffer, AI-Lab-Keyword, beides. China-Zeitzone: Trennzeichen - → /.
Community-Konsens: Anti-Distillation und Anti-Resale. Legitimes Ziel, undisclosed Umsetzung (verdeckt, obfuskiert) hochgradig umstritten — auch unter DSGVO-Transparenzanforderungen.
Nein. April 2026 Hanff: Desktop Native Messaging. 30. Juni 2026 thereallo.dev: Code CLI Prompt-Steganografie — unterschiedliche Produkte, Mechanismen, Trigger.
Ereignis B nur in Claude Code mit nicht-offiziellem ANTHROPIC_BASE_URL. Standard-Web-Nutzer nicht betroffen.
~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json löschen. Desktop-Neustart kann wiederherstellen. Enterprise: Remote-Mac-Isolation — Hilfezentrum.
Upgrade 2.1.197+, Base URL auditieren, CLI-Agent auf isolierter Remote-Mac-Node statt Produktions-Laptop. Dedizierte Apple-Silicon-Kapazität: Mac-Mini-Mietpreise.