Claude Code ステガノグラフィ事件
Anthropic が一つのシングルクォートでユーザーをタグ付け(2026)

TL;DR:2026年6月末、thereallo.dev のリバースエンジニアリング報告によると、Claude Code(Web版ではない)が非公式 ANTHROPIC_BASE_URL プロキシ設定時に、テキストステガノグラフィでシステムプロンプトの Today's date is... 行を改変していました——日付区切りの切り替えと肉眼では判別困難な Unicode シングルクォートで、タイムゾーンと中国ドメイン/AI ラボ命中情報をサーバーへ密かにエンコードしていました。Anthropic は 2.1.197 で関連コードを削除済みです。おそらく反モデル蒸留/転売対策ですが、手法の隠蔽性が論争の焦点です。本記事では4月の Claude Desktop サイレントブラウザ注入と6月の Claude Code ステガノグラフィという2つの独立事件を区別し、Unicode 対照表・動機分析・6ステップ防御チェックリスト・FAQ を解説します。

01

Claude Code はスパイウェアか?まず2つの独立事件を区別する

今回の騒動は2つの独立だが関連する事件が重なって拡大したものです。混同して書くと HN / セキュリティコミュニティの読者に見抜かれ、E-E-A-T を損ないます。公開前に必ず区別してください:

  • A

    事件 A(2026年4月、Alexander Hanff 暴露):Claude Desktop(macOS)インストール後、The Register 報道によると、Chrome、Edge、Brave、Arc、Vivaldi、Opera 等のブラウザディレクトリに Native Messaging 設定ファイル com.anthropic.claude_browser_extension.json をユーザー無知のままサイレント書き込み、3つの拡張機能 ID にブラウザサンドボックス外で現在ユーザーの完全権限を持つ chrome-native-host 呼び出しを事前承認していました。ブラウザ未インストールでもディレクトリを事前作成;手動削除後 Claude Desktop 再起動で復活します。独立コンサルタント Noah Kenney(Digital 520)が Hanff の技術的主張を再現可能と確認;Antiy Labs(安天)が専門リスク分析レポートを公開。セキュリティ界は「スパイウェア / バックドア(alleged spyware / backdoor)」と呼びました。

  • B

    事件 B(2026年6月30日、thereallo.dev リバース):開発者が Claude Code バイナリをリバースエンジニアリングし、システムプロンプトステガノグラフィ(prompt steganography)を発見——本記事の主題です。Reddit → Hacker News 経由で拡散、HN スレッドは数時間でフロントページ到達、350+ points、100+ コメント

  • !

    重要な違い:事件 A は Claude Desktop、インストール/起動即トリガー;事件 B は Claude Code CLIANTHROPIC_BASE_URL ≠ api.anthropic.com(プロキシ/ゲートウェイ/転売)時のみトリガー、毎回の会話ではありません。Anthropic は事件 B についてコード存在を認め 7/1 に 2.1.197 で削除、changelog には未記載;事件 A は正式公開回答なし、後続バージョンで承認スイッチ追加も、基盤権限モデルは根絶されていないと報告されています。

warning

コンプライアンス表現:全文で「報道によると / リバースエンジニアリング報告によると / 疑惑(alleged)」等を使用し、ベンダーの「意図」を確定事実として扱わないでください。目的(反蒸留)と手段(ステガノグラフィ)は分けて評価する必要があります。

02

Claude Code ステガノグラフィの仕組み:Unicode シングルクォートフィンガープリント対照表

重要な前提:ANTHROPIC_BASE_URL を非公式アドレス(プロキシ、ゲートウェイ、第三者転売、OpenAI 互換レイヤー)に向けた場合のみ発動します。公式 api.anthropic.com では手を加えません。

トリガー後、プログラムは2つの処理を、すべて無害に見える Today's date is ... 行に隠します:

  1. 1

    日付区切り変更:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、2026-06-302026/06/30 に変わります。

  2. 2

    シングルクォート置換:Today's のアポストロフィを見た目は同じだが Unicode が異なる文字に置き換え、「何が命中したか」をエンコードします。

検出状況日付形式シングルクォート文字Unicode
デフォルト(未命中)2026-06-30' 標準 ASCII アポストロフィU+0027
中国機関/ディーラードメイン命中2026-06-30' 右シングルクォートU+2019
中国 AI ラボキーワード命中(deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai 等)2026-06-30ʼ 修飾子アポストロフィU+02BC
ドメイン + ラボ同時命中2026-06-30ʹ 修飾子プライムU+02B9
中国タイムゾーン叠加2026/06/30(シングルクォート規則同上)

ドメインとキーワードリストは base64 + XOR(91) で軽度難読化、約 147 件のドメインルール。リバースエンジニアは 2.1.193 / 2.1.195 / 2.1.196 の3バージョンすべてでこのロジックを確認しました。

「リクエストは表面上ただの英語プロンプトですが、バックエンドが日付区切りとそのシングルクォートの Unicode エンコーディングを一瞥するだけで、バックグラウンドでタグ付けできる——典型的な隠蔽チャネル(covert channel)です。」

事件 A vs 事件 B 比較表

事件 A:サイレントブラウザ注入事件 B:システムプロンプトステガノグラフィ
対象製品Claude Desktop(macOS)Claude Code(CLI)
情報源Alexander Hanff / The Registerthereallo.dev → Reddit → HN
時期2026-04(約4/18〜)2026-06-30
トリガー条件Claude Desktop インストール/起動非公式 ANTHROPIC_BASE_URL のみ
ラベルspyware / backdoorprompt steganography / covert channel
Anthropic 対応正式公開なし;後続で承認スイッチ追加コード存在を認める;2.1.197 で削除(changelog 未記載)
03

Anthropic はなぜこうしたのか?反蒸留動機と「スパイウェアか」論争

コミュニティの主流見解(比較的抑制された):目的は反蒸留 + 未許可転売対策です。Anthropic、OpenAI、Google はすべて、競合が API で大量出力を取得して小モデルを訓練する(distillation)ことを公に懸念しています。中国関連プロキシ・転売・ラボが重点疑い対象となり、この「タグ付け」ロジックが追加されました。

目的は理解できるが、手段が問題:分類シグナルを肉眼不可視にし、意図的に難読化したコードで各リクエストに隠すことは、開発者の信頼で成り立つツールとして信頼の赤線を踏み越えます。HN では二派に分裂:「合理的な反蒸留防御」派と「開発者ツールとして malware-adjacent に近い」派です。

「スパイウェア」は感情的なラベルです。より正確には:

  • 事件 A は「第三者ソフトウェアの無許可改変 + 休眠攻撃面の予約」に近い——Claude for Chrome が自ら開示したプロンプトインジェクション成功率(緩和なし 23.6%、緩和あり 11.2%)と叠加し、リスクは現実的です。
  • 事件 B は「未開示の隠蔽テレメトリ / ユーザー分類」に近いです。

spyware という語を使うかどうかに関わらず、核心問題は一致します:ユーザー知情同意なし、かつ意図的に隠蔽されていること。主流解釈:Anthropic の意図は未許可転売 + モデル蒸留の検出であり、個人監視ではない;論争点は手段(隠蔽・難読化・未開示)であり目的ではありません。

04

Claude Code の自己点検と防御:6ステップ Runbook

  1. 01

    ANTHROPIC_BASE_URL を確認:プロキシ経由時のみ事件 B が発動します。未設定または公式エンドポイントの場合、ステガノグラフィロジックは無効です。

  2. 02

    Claude Code をアップグレード:2.1.197 以上へ(7/1 リリース、関連コード削除済みと報告)。

  3. 03

    タイムゾーンを監査:システムタイムゾーンが Asia/Shanghai / Asia/Urumqi か確認;タイムゾーン叠加で日付区切りが変わります。

  4. 04

    Claude Desktop Native Messaging を確認(事件 A):macOS 各ブラウザの ~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json を検索・必要に応じ削除;Claude Desktop 再起動で再生成される可能性があります。

  5. 05

    企業/機密環境の最小権限:本番チェーンでデスクトップ Agent を継続使用するか評価;明示的承認と監査可能性が最低ラインです。当サイトの OpenClaw 本番ホワイトリストリモート Mac AI Agent ベストプラクティス の隔離思想を参照してください。

  6. 06

    足で投票 + 開示を要求:ベンダーは堂々と反蒸留対策を講じられます——公開説明とスイッチ提供であり、句読点に隠すことではありません。AI コーディングアシスタント選定の信頼性軸に注目してください。

bash
# 非公式 Base URL 設定の確認
echo "$ANTHROPIC_BASE_URL"

# macOS:Claude Desktop が書き込んだ Native Messaging マニフェスト
find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null

# Claude Code バージョン確認(2.1.197+ 必要)
claude --version
05

引用可能なハードデータと AI ベンダーの越境:私たちはどう対応すべきか

  • HN 注目度:thereallo.dev リバース報告が Reddit → HN 経由で拡散、スレッドは数時間でフロントページ、350+ points、100+ コメント
  • バージョンカバレッジ:リバースエンジニアが 2.1.193 / 2.1.195 / 2.1.196 すべてでステガノグラフィロジックを確認;2.1.197(2026-07-01)で削除。
  • ルール規模:ドメイン/キーワードリスト base64 + XOR(91) 難読化、約 147 件のルール。
  • Claude for Chrome プロンプトインジェクション:Anthropic 自ら開示したデータでは、緩和なし成功率 23.6%、緩和あり 11.2%——事件 A の高権限 Native Messaging チャネルと叠加し、リスクは真剣に評価すべきです。

本件の真の警告は「一つのアポストロフィ」ではなく:モデル能力が急上昇する一方でセキュリティ境界・承認・監査が大幅に遅れているとき、ベンダーは「UX/悪用防止」を名目に、ユーザーと他ソフトウェアベンダー間の信頼境界を一方的に越えやすくなります。実践的対応:デフォルト不信、証拠で判断;隠蔽ではなく開示を要求;最小権限 + 境界隔離;足で投票 + 制度拘束(GDPR/個人情報保護法)。

技術に立場はなくても、企業には立場が必要です。能力が大きいほど自己規制すべき——これはユーザーがバイナリをリバースして初めて知る秘密であるべきではありません。チームにとって、ローカル Mac で Claude Code / OpenClaw 等のデスクトップ Agent を実行することは完全ユーザー権限と永続設定を意味します——ベンダー行為が監査不能なら、ローカル裸実行のリスクは隔離環境をはるかに上回ります。対照的に、独立したリモート Mac ノードで CLI Agent を実行し、本番デスクトップ/ブラウザと隔離し、最小権限と監査可能なデプロイを組み合わせることは、iOS CI/CD と AI Agent 自動化本番チェーンにとって通常より安定した選択です。再現可能・隔離可能な Apple Silicon 算力が必要なら、NodeMini Mac Mini クラウドレンタルは専有ノードと root 権限を提供し、高権限 Agent ワークロードを個人ノートPCから切り離すのに適しています。詳細はレンタル料金をご覧ください。

info

参考ソース:The Register(Claude Desktop 権限変更、2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 報道);thereallo.dev(Claude Code ステガノグラフィ原典リバース);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修正);Antiy Labs(安天 Claude Desktop リスク分析)。

FAQ

よくある質問

従来の意味でのスパイウェアではありませんが、リバースエンジニアリング報告によると、システムプロンプト内に未開示・難読化されたフィンガープリントを隠し、プロキシ経由の中国関連ユーザーをタグ付けしていました。Anthropic は 2.1.197 で削除済みです。より正確には「未開示の隠蔽チャネル(covert channel)」であり、データ窃取型マルウェアではありません。

リバースエンジニアリング報告によると、Asia/Shanghai / Asia/Urumqi をチェックします——ただし非デフォルト ANTHROPIC_BASE_URL 使用時のみ。公式エンドポイント利用時、日付行は untouched です。

Today's のアポストロフィが U+0027、U+2019、U+02BC、U+02B9 間で切り替わり、それぞれ未命中、中国機関ドメイン命中、AI ラボキーワード命中、両方命中をエンコードします。中国タイムゾーン叠加時、日付区切りは - から / に変わります。

コミュニティ主流見解:モデル蒸留と未許可 API 転売の検出——合法的目標ですが、違法ではないものの問題のある実装(隠蔽・難読化・未開示)です。

いいえ。2026年4月 Hanff 暴露は Claude Desktop のブラウザ Native Messaging サイレント書き込み;2026年6月30日 thereallo.dev 開示は Claude Code システムプロンプトステガノグラフィ——製品・メカニズム・トリガー条件はすべて異なります。

事件 B は Claude Code かつ非公式 ANTHROPIC_BASE_URL 設定時のみ発動;公式エンドポイント利用者は影響を受けません。

~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json を検索・削除;Claude Desktop 再起動で再生成される可能性があります。企業環境ではデスクトップ Agent 継続デプロイを評価し、ヘルプセンターのリモート Mac 隔離方案を参照してください。

2.1.197+ へアップグレード、Base URL 監査、独立リモート Mac ノードで CLI Agent を実行(本番ノートPC ではなく)、OpenClaw インストールガイドの API ポリシー回避を参照。専有 Apple Silicon 算力はMac Mini クラウドレンタル料金をご覧ください。