Claude Code Steganografie 2026
Unicode-Fingerabdruck · 147 Regeln · 2.1.197-Fix

Kurzantwort: Ende Juni 2026 deckte thereallo.dev per Reverse Engineering auf, dass Claude Code (nicht die Web-App) bei nicht-offiziellem ANTHROPIC_BASE_URL Text-Steganografie in der System-Prompt-Zeile Today's date is... einsetzt — Datums-Trennzeichen und optisch identische Unicode-Apostrophe kodieren Zeitzone und China-Domain/AI-Lab-Treffer zurück an den Server. Anthropic entfernte den Code in 2.1.197. Wahrscheinlich Anti-Distillation/Anti-Resale, aber die Methode ist hochgradig umstritten. Dieser datenbasierte Leitfaden trennt Ereignis A (Claude Desktop Native Messaging) von Ereignis B (Claude Code Steganografie), liefert Unicode-Mapping, HN-Daten (350+ Points), 23,6 %/11,2 % Prompt-Injection-Benchmarks, Sechs-Schritte-Runbook, DSGVO-Kontext und acht FAQ.

01

Ist Claude Code Spyware? Zwei unabhängige Ereignisse trennen

Die Welle besteht aus zwei unabhängigen, aber verwandten Ereignissen. HN- und Security-Leser erkennen Vermischung sofort — E-E-A-T leidet. Vor Veröffentlichung strikt trennen:

  • A

    Ereignis A (April 2026, Alexander Hanff): Nach Installation von Claude Desktop (macOS) schreibt es laut The Register ohne Zustimmung Native-Messaging-Konfigurationen com.anthropic.claude_browser_extension.json in Chrome, Edge, Brave, Arc, Vivaldi, Opera — drei Extension-IDs erhalten Zugriff auf chrome-native-host außerhalb der Browser-Sandbox mit vollen User-Rechten. Verzeichnisse werden auch ohne installierten Browser angelegt; manuelles Löschen wird nach Desktop-Neustart wiederhergestellt. Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte Risikoanalyse. Security-Kreise sprechen von alleged spyware/backdoor.

  • B

    Ereignis B (30. Juni 2026, thereallo.dev): Reverse Engineering von Claude Code offenbarte Prompt-Steganografie im System-Prompt — Fokus dieses Artikels. Reddit → Hacker News: Diskussion in Stunden auf die Frontpage, 350+ Points, 100+ Kommentare.

  • !

    Kernunterschied: A betrifft Claude Desktop, Trigger bei Installation/Start. B betrifft Claude Code CLI, nur wenn ANTHROPIC_BASE_URL ≠ api.anthropic.com (Proxy/Gateway/Resale). Anthropic bestätigte B-Code und entfernte ihn am 1. Juli in 2.1.197 (Changelog ohne Erwähnung). Zu A: keine offizielle Stellungnahme; späterer Opt-in-Schalter, zugrunde liegendes Permission-Modell laut Berichten unverändert.

warning

Compliance-Formulierung: Durchgängig „laut Bericht / alleged / Reverse-Engineering-Befund" — Herstellerabsicht nicht als Fakt darstellen. Zweck (Anti-Distillation) und Mittel (Steganografie) getrennt bewerten. EU-Kontext: undisclosed Nutzerklassifikation kann DSGVO-Transparenzpflichten berühren.

02

Mechanismus: Unicode-Apostroph-Mapping & 147 Regeln

Voraussetzung: ANTHROPIC_BASE_URL zeigt auf Nicht-Offiziellen-Endpunkt (Proxy, Gateway, Drittanbieter-Resale, OpenAI-kompatible Schicht). Offizielles api.anthropic.com: keine Manipulation.

Bei Trigger zwei Aktionen in der harmlosen Zeile Today's date is ...:

  1. 1

    Datums-Trennzeichen: Bei Zeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.

  2. 2

    Apostroph-Tausch: Apostroph in Today's wird durch visuell identische Unicode-Zeichen ersetzt — Kodierung des Trefferstatus.

Erkanntes MusterDatumsformatApostrophUnicode
Standard (kein Treffer)2026-06-30' ASCII-ApostrophU+0027
China-Institutions-/Reseller-Domain2026-06-30' rechter einfacher AnführungsstrichU+2019
China-AI-Lab-Keywords (deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai u. a.)2026-06-30ʼ Modifikator-ApostrophU+02BC
Domain + Lab gleichzeitig2026-06-30ʹ Modifikator-LetterU+02B9
+ China-Zeitzone2026/06/30(Apostroph-Regeln wie oben)

Domain- und Keyword-Listen: base64 + XOR(91) obfuskiert, ca. 147 Regeln. Reverse Engineers verifizierten 2.1.193 / 2.1.195 / 2.1.196 — Logik in allen drei Versionen vorhanden.

„Der Request sieht wie normaler englischer Prompt aus — aber Backend scannt Datums-Trennzeichen und Unicode des Apostrophs und taggt dich im Hintergrund. Klassischer covert channel.“

Ereignis A vs. B: Vergleichstabelle

DimensionA: Stille Browser-InjectionB: System-Prompt-Steganografie
ProduktClaude Desktop (macOS)Claude Code (CLI)
QuelleAlexander Hanff / The Registerthereallo.dev → Reddit → HN
Zeitpunkt2026-04 (ab ca. 18.04.)2026-06-30
TriggerInstallation/Start Claude DesktopNur nicht-offizieller ANTHROPIC_BASE_URL
Labelspyware / backdoorprompt steganography / covert channel
AnthropicKeine offizielle Antwort; später Opt-inCode bestätigt; 2.1.197 entfernt (Changelog stumm)
03

Anti-Distillation-Motiv & Spyware-Debatte

Community-Konsens (zurückhaltend formuliert): Zweck = Anti-Distillation + Anti-Resale. Anthropic, OpenAI und Google warnen öffentlich vor API-basierter Modell-Distillation. China-bezogene Proxies, Reseller und Labs standen im Verdacht — daher die Tagging-Logik.

Ziel nachvollziehbar, Mittel problematisch: Klassifikationssignal unsichtbar machen, Code obfuskieren, in jeden Request einbetten — für ein Developer-Trust-Produkt eine Vertrauensgrenze. HN-Spaltung: „legitime Anti-Distillation" vs. „malware-adjacent für Dev-Tools".

„Spyware" ist ein emotionales Label. Präziser:

  • Ereignis A: „Unautorisierte Manipulation Drittanbieter-Software + schlafende Angriffsfläche" — kombiniert mit Anthropics Claude-for-Chrome-Daten: Prompt-Injection-Erfolg ohne Mitigation 23,6 %, mit Mitigation 11,2 %. Reales Risiko bei hochprivilegiertem Native-Messaging-Kanal.
  • Ereignis B: „Undisclosed covert telemetry / Nutzerklassifikation" — relevant für EU-Teams unter DSGVO Art. 5 (Transparenz) und Art. 6 (Rechtsgrundlage).

Unabhängig vom Spyware-Begriff: Kernproblem ist fehlende informierte Einwilligung und bewusste Verheimlichung. Mainstream-Interpretation: Ziel war Resale/Distillation-Erkennung, nicht persönliche Überwachung — Streitpunkt sind die Mittel (verdeckt, obfuskiert, undisclosed).

04

Sechs-Schritte-Runbook: Prüfung & Absicherung

  1. 01

    ANTHROPIC_BASE_URL prüfen: Ereignis B nur bei Proxy. Nicht gesetzt oder offizieller Endpunkt = Steganografie inaktiv.

  2. 02

    Claude Code upgraden: Mindestens 2.1.197 (1. Juli 2026, Code entfernt).

  3. 03

    Zeitzone auditieren: Asia/Shanghai / Asia/Urumqi ändert Datums-Trennzeichen zusätzlich.

  4. 04

    Claude Desktop Native Messaging (A): macOS: ~/Library/Application Support/<Browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json durchsuchen, ggf. löschen; Desktop-Neustart kann Datei wiederherstellen.

  5. 05

    Enterprise Least Privilege: Desktop-Agent in Produktion evaluieren; explizite Autorisierung und Audit-Trail Pflicht. DSGVO: Verarbeitungsverzeichnis und AV-Vertrag bei sensiblen Prompts prüfen.

  6. 06

    Transparenz einfordern: Anti-Distillation kann offen kommuniziert werden — nicht in Interpunktion versteckt. Mit Vendor-Footing abstimmen.

bash
# Nicht-offizielle Base URL prüfen
echo "$ANTHROPIC_BASE_URL"

# macOS: Claude Desktop Native Messaging
find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null

# Claude Code Version (2.1.197+ erforderlich)
claude --version
05

Hard Data & Vendor-Grenzüberschreitung: Was tun?

  • HN-Metriken: thereallo.dev-Bericht via Reddit → HN, Frontpage in Stunden, 350+ Points, 100+ Kommentare.
  • Versionsabdeckung: 2.1.193 / 2.1.195 / 2.1.196 mit Steganografie; 2.1.197 (01.07.2026) entfernt.
  • Regelumfang: base64 + XOR(91), ca. 147 Domain-/Keyword-Regeln.
  • Claude for Chrome Prompt Injection: Anthropic-eigene Daten: ohne Mitigation 23,6 %, mit Mitigation 11,2 % — kombiniert mit A's Native-Messaging-Hochprivileg-Kanal ernst zu nehmen.

Die Warnung liegt nicht im Apostroph, sondern darin, dass Sicherheitsgrenzen, Autorisierung und Audit hinter Modell-Fähigkeiten zurückfallen — und Anbieter unter „Experience/Anti-Abuse" einseitig Vertrauensgrenzen überschreiten. Gegenmaßnahmen: Default-Distrust, evidenzbasiert; Transparenz statt Verheimlichung; Least Privilege + Isolation; Vendor-Druck + DSGVO/Regulierung.

Claude Code / OpenClaw auf dem lokalen Mac = volle User-Rechte und persistente Config — nicht auditierbares Vendor-Verhalten erhöht Risiko gegenüber isolierter Umgebung. CLI-Agent auf dediziertem Remote-Mac-Node, getrennt von Produktions-Desktop/Browser, mit auditierbarem Deployment: stabilere Wahl für iOS CI/CD und AI-Agent-Automation. Für reproduzierbare, isolierte Apple-Silicon-Kapazität bietet NodeMini Mac-Mini-Cloud-Miete dedizierte Nodes mit Root-Zugriff — High-Privilege-Agent-Workloads vom Laptop trennen. Siehe Mac-Mini-Mietpreise und Hilfezentrum.

info

Quellen: The Register (Claude Desktop, 04/2026); Malwarebytes / gHacks / YOOTA (Native Messaging); thereallo.dev (Original-Reverse-Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (2.1.197); Antiy Labs (Desktop-Risikoanalyse).

FAQ

Häufige Fragen

Nicht klassisch. Laut Reverse-Engineering verbarg es einen undisclosed, obfuskierten Fingerabdruck im System-Prompt für China-Proxy-Nutzer; Anthropic entfernte ihn in 2.1.197. Präziser: undisclosed covert channel, kein Datenstehlender Malware-Typ.

Laut Bericht: Asia/Shanghai / Asia/Urumqi — aber nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkte: Datumszeile unverändert.

Apostroph in Today's wechselt zwischen U+0027, U+2019, U+02BC, U+02B9 — Standard, China-Domain-Treffer, AI-Lab-Keyword, beides. China-Zeitzone: Trennzeichen -/.

Community-Konsens: Anti-Distillation und Anti-Resale. Legitimes Ziel, undisclosed Umsetzung (verdeckt, obfuskiert) hochgradig umstritten — auch unter DSGVO-Transparenzanforderungen.

Nein. April 2026 Hanff: Desktop Native Messaging. 30. Juni 2026 thereallo.dev: Code CLI Prompt-Steganografie — unterschiedliche Produkte, Mechanismen, Trigger.

Ereignis B nur in Claude Code mit nicht-offiziellem ANTHROPIC_BASE_URL. Standard-Web-Nutzer nicht betroffen.

~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json löschen. Desktop-Neustart kann wiederherstellen. Enterprise: Remote-Mac-Isolation — Hilfezentrum.

Upgrade 2.1.197+, Base URL auditieren, CLI-Agent auf isolierter Remote-Mac-Node statt Produktions-Laptop. Dedizierte Apple-Silicon-Kapazität: Mac-Mini-Mietpreise.