TL;DR:2026年6月末、thereallo.dev のリバースエンジニアリング報告によると、Claude Code(Web版ではない)が非公式 ANTHROPIC_BASE_URL プロキシ設定時に、テキストステガノグラフィでシステムプロンプトの Today's date is... 行を改変していました——日付区切りの切り替えと肉眼では判別困難な Unicode シングルクォートで、タイムゾーンと中国ドメイン/AI ラボ命中情報をサーバーへ密かにエンコードしていました。Anthropic は 2.1.197 で関連コードを削除済みです。おそらく反モデル蒸留/転売対策ですが、手法の隠蔽性が論争の焦点です。本記事では4月の Claude Desktop サイレントブラウザ注入と6月の Claude Code ステガノグラフィという2つの独立事件を区別し、Unicode 対照表・動機分析・6ステップ防御チェックリスト・FAQ を解説します。
今回の騒動は2つの独立だが関連する事件が重なって拡大したものです。混同して書くと HN / セキュリティコミュニティの読者に見抜かれ、E-E-A-T を損ないます。公開前に必ず区別してください:
事件 A(2026年4月、Alexander Hanff 暴露):Claude Desktop(macOS)インストール後、The Register 報道によると、Chrome、Edge、Brave、Arc、Vivaldi、Opera 等のブラウザディレクトリに Native Messaging 設定ファイル com.anthropic.claude_browser_extension.json をユーザー無知のままサイレント書き込み、3つの拡張機能 ID にブラウザサンドボックス外で現在ユーザーの完全権限を持つ chrome-native-host 呼び出しを事前承認していました。ブラウザ未インストールでもディレクトリを事前作成;手動削除後 Claude Desktop 再起動で復活します。独立コンサルタント Noah Kenney(Digital 520)が Hanff の技術的主張を再現可能と確認;Antiy Labs(安天)が専門リスク分析レポートを公開。セキュリティ界は「スパイウェア / バックドア(alleged spyware / backdoor)」と呼びました。
事件 B(2026年6月30日、thereallo.dev リバース):開発者が Claude Code バイナリをリバースエンジニアリングし、システムプロンプトステガノグラフィ(prompt steganography)を発見——本記事の主題です。Reddit → Hacker News 経由で拡散、HN スレッドは数時間でフロントページ到達、350+ points、100+ コメント。
重要な違い:事件 A は Claude Desktop、インストール/起動即トリガー;事件 B は Claude Code CLI、ANTHROPIC_BASE_URL ≠ api.anthropic.com(プロキシ/ゲートウェイ/転売)時のみトリガー、毎回の会話ではありません。Anthropic は事件 B についてコード存在を認め 7/1 に 2.1.197 で削除、changelog には未記載;事件 A は正式公開回答なし、後続バージョンで承認スイッチ追加も、基盤権限モデルは根絶されていないと報告されています。
コンプライアンス表現:全文で「報道によると / リバースエンジニアリング報告によると / 疑惑(alleged)」等を使用し、ベンダーの「意図」を確定事実として扱わないでください。目的(反蒸留)と手段(ステガノグラフィ)は分けて評価する必要があります。
重要な前提:ANTHROPIC_BASE_URL を非公式アドレス(プロキシ、ゲートウェイ、第三者転売、OpenAI 互換レイヤー)に向けた場合のみ発動します。公式 api.anthropic.com では手を加えません。
トリガー後、プログラムは2つの処理を、すべて無害に見える Today's date is ... 行に隠します:
日付区切り変更:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、2026-06-30 が 2026/06/30 に変わります。
シングルクォート置換:Today's のアポストロフィを見た目は同じだが Unicode が異なる文字に置き換え、「何が命中したか」をエンコードします。
| 検出状況 | 日付形式 | シングルクォート文字 | Unicode |
|---|---|---|---|
| デフォルト(未命中) | 2026-06-30 | ' 標準 ASCII アポストロフィ | U+0027 |
| 中国機関/ディーラードメイン命中 | 2026-06-30 | ' 右シングルクォート | U+2019 |
| 中国 AI ラボキーワード命中(deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai 等) | 2026-06-30 | ʼ 修飾子アポストロフィ | U+02BC |
| ドメイン + ラボ同時命中 | 2026-06-30 | ʹ 修飾子プライム | U+02B9 |
| 中国タイムゾーン叠加 | 2026/06/30 | (シングルクォート規則同上) | — |
ドメインとキーワードリストは base64 + XOR(91) で軽度難読化、約 147 件のドメインルール。リバースエンジニアは 2.1.193 / 2.1.195 / 2.1.196 の3バージョンすべてでこのロジックを確認しました。
「リクエストは表面上ただの英語プロンプトですが、バックエンドが日付区切りとそのシングルクォートの Unicode エンコーディングを一瞥するだけで、バックグラウンドでタグ付けできる——典型的な隠蔽チャネル(covert channel)です。」
| 軸 | 事件 A:サイレントブラウザ注入 | 事件 B:システムプロンプトステガノグラフィ |
|---|---|---|
| 対象製品 | Claude Desktop(macOS) | Claude Code(CLI) |
| 情報源 | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| 時期 | 2026-04(約4/18〜) | 2026-06-30 |
| トリガー条件 | Claude Desktop インストール/起動 | 非公式 ANTHROPIC_BASE_URL のみ |
| ラベル | spyware / backdoor | prompt steganography / covert channel |
| Anthropic 対応 | 正式公開なし;後続で承認スイッチ追加 | コード存在を認める;2.1.197 で削除(changelog 未記載) |
コミュニティの主流見解(比較的抑制された):目的は反蒸留 + 未許可転売対策です。Anthropic、OpenAI、Google はすべて、競合が API で大量出力を取得して小モデルを訓練する(distillation)ことを公に懸念しています。中国関連プロキシ・転売・ラボが重点疑い対象となり、この「タグ付け」ロジックが追加されました。
目的は理解できるが、手段が問題:分類シグナルを肉眼不可視にし、意図的に難読化したコードで各リクエストに隠すことは、開発者の信頼で成り立つツールとして信頼の赤線を踏み越えます。HN では二派に分裂:「合理的な反蒸留防御」派と「開発者ツールとして malware-adjacent に近い」派です。
「スパイウェア」は感情的なラベルです。より正確には:
spyware という語を使うかどうかに関わらず、核心問題は一致します:ユーザー知情同意なし、かつ意図的に隠蔽されていること。主流解釈:Anthropic の意図は未許可転売 + モデル蒸留の検出であり、個人監視ではない;論争点は手段(隠蔽・難読化・未開示)であり目的ではありません。
ANTHROPIC_BASE_URL を確認:プロキシ経由時のみ事件 B が発動します。未設定または公式エンドポイントの場合、ステガノグラフィロジックは無効です。
Claude Code をアップグレード:2.1.197 以上へ(7/1 リリース、関連コード削除済みと報告)。
タイムゾーンを監査:システムタイムゾーンが Asia/Shanghai / Asia/Urumqi か確認;タイムゾーン叠加で日付区切りが変わります。
Claude Desktop Native Messaging を確認(事件 A):macOS 各ブラウザの ~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/ で com.anthropic.claude_browser_extension.json を検索・必要に応じ削除;Claude Desktop 再起動で再生成される可能性があります。
企業/機密環境の最小権限:本番チェーンでデスクトップ Agent を継続使用するか評価;明示的承認と監査可能性が最低ラインです。当サイトの OpenClaw 本番ホワイトリスト と リモート Mac AI Agent ベストプラクティス の隔離思想を参照してください。
足で投票 + 開示を要求:ベンダーは堂々と反蒸留対策を講じられます——公開説明とスイッチ提供であり、句読点に隠すことではありません。AI コーディングアシスタント選定の信頼性軸に注目してください。
# 非公式 Base URL 設定の確認 echo "$ANTHROPIC_BASE_URL" # macOS:Claude Desktop が書き込んだ Native Messaging マニフェスト find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null # Claude Code バージョン確認(2.1.197+ 必要) claude --version
本件の真の警告は「一つのアポストロフィ」ではなく:モデル能力が急上昇する一方でセキュリティ境界・承認・監査が大幅に遅れているとき、ベンダーは「UX/悪用防止」を名目に、ユーザーと他ソフトウェアベンダー間の信頼境界を一方的に越えやすくなります。実践的対応:デフォルト不信、証拠で判断;隠蔽ではなく開示を要求;最小権限 + 境界隔離;足で投票 + 制度拘束(GDPR/個人情報保護法)。
技術に立場はなくても、企業には立場が必要です。能力が大きいほど自己規制すべき——これはユーザーがバイナリをリバースして初めて知る秘密であるべきではありません。チームにとって、ローカル Mac で Claude Code / OpenClaw 等のデスクトップ Agent を実行することは完全ユーザー権限と永続設定を意味します——ベンダー行為が監査不能なら、ローカル裸実行のリスクは隔離環境をはるかに上回ります。対照的に、独立したリモート Mac ノードで CLI Agent を実行し、本番デスクトップ/ブラウザと隔離し、最小権限と監査可能なデプロイを組み合わせることは、iOS CI/CD と AI Agent 自動化本番チェーンにとって通常より安定した選択です。再現可能・隔離可能な Apple Silicon 算力が必要なら、NodeMini Mac Mini クラウドレンタルは専有ノードと root 権限を提供し、高権限 Agent ワークロードを個人ノートPCから切り離すのに適しています。詳細はレンタル料金をご覧ください。
参考ソース:The Register(Claude Desktop 権限変更、2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 報道);thereallo.dev(Claude Code ステガノグラフィ原典リバース);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修正);Antiy Labs(安天 Claude Desktop リスク分析)。
従来の意味でのスパイウェアではありませんが、リバースエンジニアリング報告によると、システムプロンプト内に未開示・難読化されたフィンガープリントを隠し、プロキシ経由の中国関連ユーザーをタグ付けしていました。Anthropic は 2.1.197 で削除済みです。より正確には「未開示の隠蔽チャネル(covert channel)」であり、データ窃取型マルウェアではありません。
リバースエンジニアリング報告によると、Asia/Shanghai / Asia/Urumqi をチェックします——ただし非デフォルト ANTHROPIC_BASE_URL 使用時のみ。公式エンドポイント利用時、日付行は untouched です。
Today's のアポストロフィが U+0027、U+2019、U+02BC、U+02B9 間で切り替わり、それぞれ未命中、中国機関ドメイン命中、AI ラボキーワード命中、両方命中をエンコードします。中国タイムゾーン叠加時、日付区切りは - から / に変わります。
コミュニティ主流見解:モデル蒸留と未許可 API 転売の検出——合法的目標ですが、違法ではないものの問題のある実装(隠蔽・難読化・未開示)です。
いいえ。2026年4月 Hanff 暴露は Claude Desktop のブラウザ Native Messaging サイレント書き込み;2026年6月30日 thereallo.dev 開示は Claude Code システムプロンプトステガノグラフィ——製品・メカニズム・トリガー条件はすべて異なります。
事件 B は Claude Code かつ非公式 ANTHROPIC_BASE_URL 設定時のみ発動;公式エンドポイント利用者は影響を受けません。
~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/ で com.anthropic.claude_browser_extension.json を検索・削除;Claude Desktop 再起動で再生成される可能性があります。企業環境ではデスクトップ Agent 継続デプロイを評価し、ヘルプセンターのリモート Mac 隔離方案を参照してください。
2.1.197+ へアップグレード、Base URL 監査、独立リモート Mac ノードで CLI Agent を実行(本番ノートPC ではなく)、OpenClaw インストールガイドの API ポリシー回避を参照。専有 Apple Silicon 算力はMac Mini クラウドレンタル料金をご覧ください。