TL;DR: 2026년 6월 말, thereallo.dev 리버스 엔지니어링 보고에 따르면 Claude Code(웹 버전 아님)가 비공식 ANTHROPIC_BASE_URL 프록시 설정 시 텍스트 스테가노그래피로 시스템 프롬프트의 Today's date is... 행을 변조했습니다——날짜 구분자 전환과 육안으로 거의 구별 불가한 Unicode 작은따옴표로 시간대와 중국 도메인/AI 랩 적중 정보를 서버에 조용히 인코딩했습니다. Anthropic은 2.1.197에서 관련 코드를 제거했습니다. 아마도 반모델 증류/재판매 대응 수단이지만, 논쟁은 은밀한 방식에 있습니다. 본문은 4월 Claude Desktop 조용한 브라우저 주입과 6월 Claude Code 스테가노그래피 두 독립 사건을 구분하고, Unicode 매핑표·동기 분석·6단계 방어 체크리스트·FAQ를 제공합니다.
이번 논란은 사실 두 개의 독립적이지만 관련된 사건이 겹쳐 확산된 것입니다. 혼동하여 작성하면 HN / 보안 커뮤니티 독자에게 들키며 E-E-A-T를 해칩니다. 게시 전 반드시 구분하세요:
사건 A(2026년 4월, Alexander Hanff 폭로): Claude Desktop(macOS) 설치 후 The Register 보도에 따르면, Chrome, Edge, Brave, Arc, Vivaldi, Opera 등 브라우저 디렉터리에 Native Messaging 설정 파일 com.anthropic.claude_browser_extension.json을 사용자 모르게 조용히 기록하고, 3개 확장 ID에 브라우저 샌드박스 밖에서 현재 사용자 완전 권한을 가진 chrome-native-host 호출을 사전 승인했습니다. 브라우저 미설치 시에도 디렉터리 사전 생성;수동 삭제 후 Claude Desktop 재시작 시 부활합니다. 독립 컨설턴트 Noah Kenney(Digital 520)가 Hanff의 기술 주장 재현 가능 확인;Antiy Labs(安天)가 전문 위험 분석 보고서 발표. 보안계는 이를「스파이웨어 / 백도어(alleged spyware / backdoor)」라 부릅니다.
사건 B(2026년 6월 30일, thereallo.dev 리버스): 개발자가 Claude Code 바이너리를 리버스 엔지니어링하여 시스템 프롬프트 스테가노그래피(prompt steganography) 발견——본문 주제입니다. Reddit → Hacker News 경유 확산, HN 스레드는 수 시간 만에 프론트 페이지 도달, 350+ points, 100+ 댓글.
핵심 차이: 사건 A는 Claude Desktop, 설치/시작 즉시 트리거;사건 B는 Claude Code CLI, ANTHROPIC_BASE_URL ≠ api.anthropic.com(프록시/게이트웨이/재판매)일 때만 트리거, 매 대화마다는 아닙니다. Anthropic은 사건 B에 대해 코드 존재를 인정하고 7/1 2.1.197에서 제거, changelog 미언급;사건 A는 공식 공개 대응 없음, 후속 버전에 승인 스위치 추가했으나 기반 권한 모델은 근절되지 않았다고 보고됩니다.
컴플라이언스 표현: 전문에서「보도에 따르면 / 리버스 엔지니어링 보고에 따르면 / 혐의(alleged)」등을 사용하고, 벤더「의도」를 확정 사실로 취급하지 마세요. 목적(반증류)과 수단(스테가노그래피)은 분리 평가해야 합니다.
핵심 전제: ANTHROPIC_BASE_URL을 비공식 주소(프록시, 게이트웨이, 제3자 재판매, OpenAI 호환 레이어)로 지정한 경우에만 발동합니다. 공식 api.anthropic.com에서는 손대지 않습니다.
트리거 후 프로그램은 두 가지를 모두 무해해 보이는 Today's date is ... 행에 숨깁니다:
날짜 구분자 변경: 시스템 시간대가 Asia/Shanghai 또는 Asia/Urumqi이면 2026-06-30이 2026/06/30으로 바뀝니다.
작은따옴표 교체: Today's의 아포스트로피를 보기에는 같지만 Unicode가 다른 문자로 교체하여「무엇이 적중했는지」를 인코딩합니다.
| 감지 상황 | 날짜 형식 | 작은따옴표 문자 | Unicode |
|---|---|---|---|
| 기본(미적중) | 2026-06-30 | ' 표준 ASCII 아포스트로피 | U+0027 |
| 중국 기관/딜러 도메인 적중 | 2026-06-30 | ' 오른쪽 작은따옴표 | U+2019 |
| 중국 AI 랩 키워드 적중(deepseek/moonshot/zhipu/minimax/baichuan/stepfun/01ai 등) | 2026-06-30 | ʼ 수식어 아포스트로피 | U+02BC |
| 도메인 + 랩 동시 적중 | 2026-06-30 | ʹ 수식어 프라임 | U+02B9 |
| 중국 시간대 중첩 | 2026/06/30 | (작은따옴표 규칙 동일) | — |
도메인과 키워드 목록은 base64 + XOR(91)로 경미 난독화, 약 147개 도메인 규칙. 리버스 엔지니어는 2.1.193 / 2.1.195 / 2.1.196 세 버전 모두에서 이 로직을 확인했습니다.
「요청은 표면상 평범한 영어 프롬프트이지만, 백엔드가 날짜 구분자와 그 작은따옴표의 Unicode 인코딩을 한눈에 보면 백그라운드에서 태깅할 수 있습니다——전형적인 은밀 채널(covert channel)입니다.」
| 축 | 사건 A: 조용한 브라우저 주입 | 사건 B: 시스템 프롬프트 스테가노그래피 |
|---|---|---|
| 관련 제품 | Claude Desktop(macOS) | Claude Code(CLI) |
| 정보원 | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| 시기 | 2026-04(약 4/18~) | 2026-06-30 |
| 트리거 조건 | Claude Desktop 설치/시작 | 비공식 ANTHROPIC_BASE_URL만 |
| 붙은 라벨 | spyware / backdoor | prompt steganography / covert channel |
| Anthropic 대응 | 공식 공개 없음;후속 승인 스위치 추가 | 코드 존재 인정;2.1.197 제거(changelog 미언급) |
커뮤니티 주류 판단(비교적 절제됨): 목적은 반증류 + 무단 재판매 대응입니다. Anthropic, OpenAI, Google 모두 경쟁사가 API로 대량 출력을 가져와 소형 모델을 훈련하는(distillation) 것을 공개적으로 우려합니다. 중국 관련 프록시·재판매·랩이 중점 의심 대상이 되어 이「태깅」로직이 추가되었습니다.
목적은 이해할 수 있지만 수단이 문제: 분류 신호를 육안 불가시하고 의도적으로 난독화된 코드로 각 요청에 숨기는 것은 개발자 신뢰로 성립하는 도구로서 신뢰의 적선을 넘습니다. HN에서는 두 파로 나뉩니다:「합리적인 반증류 방어」파와「개발자 도구로서 malware-adjacent에 가까운」파입니다.
「스파이웨어」는 감정적 라벨입니다. 더 정확한 표현:
spyware라는 말을 쓰든 말든 핵심 문제는 일치합니다: 사용자 사전 동의 없이, 의도적으로 은밀하게. 주류 해석: Anthropic 의도는 무단 재판매 + 모델 증류 감지이며 개인 감시가 아님;논쟁점은 수단(은밀·난독화·미공개)이지 목적이 아닙니다.
ANTHROPIC_BASE_URL 확인: 프록시 경유 시에만 사건 B가 발동합니다. 미설정 또는 공식 엔드포인트면 스테가노그래피 로직 무효입니다.
Claude Code 업그레이드: 2.1.197 이상으로(7/1 릴리스, 관련 코드 제거됨).
시간대 감사: 시스템 시간대가 Asia/Shanghai / Asia/Urumqi인지 확인;시간대 중첩 시 날짜 구분자 변경.
Claude Desktop Native Messaging 확인(사건 A): macOS 각 브라우저 ~/Library/Application Support/<브라우저>/NativeMessagingHosts/에서 com.anthropic.claude_browser_extension.json 검색·필요 시 삭제;Claude Desktop 재시작 시 재생성 가능.
기업/민감 환경 최소 권한: 프로덕션 체인에서 데스크톱 Agent 계속 사용 여부 평가;명시적 승인·감사 가능성이 최소 기준입니다. 본 사이트 OpenClaw 프로덕션 화이트리스트와 원격 Mac AI Agent 모범 사례의 격리 사상을 참고하세요.
발로 투표 + 공개 요구: 벤더는 당당하게 반증류 대응 가능합니다——공개 설명과 스위치 제공이지, 문장 부호에 숨기는 것이 아닙니다. AI 코딩 어시스턴트 선정의 신뢰 축에 주목하세요.
# 비공식 Base URL 설정 확인 echo "$ANTHROPIC_BASE_URL" # macOS: Claude Desktop이 기록한 Native Messaging 매니페스트 find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null # Claude Code 버전 확인(2.1.197+ 필요) claude --version
본 사건의 진짜 경고는「하나의 아포스트로피」가 아닙니다: 모델 역량이 급상승하는 한편 보안 경계·승인·감사가 크게 뒤처질 때, 벤더는「UX/남용 방지」를 명목으로 사용자와 다른 소프트웨어 벤더 간 신뢰 경계를 일방적으로 넘기 쉽습니다. 실천적 대응: 기본 불신, 증거로 판단;은밀 대신 공개 요구;최소 권한 + 경계 격리;발로 투표 + 제도적 구속(GDPR/개인정보보호법).
기술에는 입장이 없어도 기업에는 입장이 필요합니다. 역량이 클수록 자기 규율해야 합니다——이것은 사용자가 바이너리를 리버스해서야 알게 될 비밀이어서는 안 됩니다. 팀에게 로컬 Mac에서 Claude Code / OpenClaw 등 데스크톱 Agent 실행은 완전 사용자 권한과 영속 설정을 의미합니다——벤더 행위가 감사 불가하면 로컬 맨 실행 위험은 격리 환경보다 훨씬 큽니다. 대조적으로 독립 원격 Mac 노드에서 CLI Agent 실행, 프로덕션 데스크톱/브라우저와 격리, 최소 권한과 감사 가능 배포를 결합하는 것은 iOS CI/CD와 AI Agent 자동화 프로덕션 체인에 더 안정적인 선택입니다. 재현 가능·격리 가능한 Apple Silicon 연산이 필요하면 NodeMini Mac Mini 클라우드 대여는 전용 노드와 root 권한을 제공하여 고권한 Agent 워크로드를 개인 노트북에서 분리하기에 적합합니다. 자세한 내용은 대여 요금을 참고하세요.
참고 출처: The Register(Claude Desktop 권한 변경, 2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 보도);thereallo.dev(Claude Code 스테가노그래피 원본 리버스);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 수정);Antiy Labs(安天 Claude Desktop 위험 분석).
전통적 의미의 스파이웨어는 아니지만, 리버스 엔지니어링 보고에 따르면 시스템 프롬프트에 미공개·난독화된 지문을 숨겨 프록시 경유 중국 관련 사용자를 태깅했습니다. Anthropic은 2.1.197에서 제거했습니다. 더 정확한 표현은「미공개 은밀 채널(covert channel)」이며 데이터 탈취형 악성코드가 아닙니다.
리버스 엔지니어링 보고에 따르면 Asia/Shanghai / Asia/Urumqi를 확인합니다——비기본 ANTHROPIC_BASE_URL 사용 시에만. 공식 엔드포인트 사용 시 날짜 행은 untouched입니다.
Today's의 아포스트로피가 U+0027, U+2019, U+02BC, U+02B9 사이에서 전환되어 각각 미적중, 중국 기관 도메인 적중, AI 랩 키워드 적중, 둘 다 적중을 인코딩합니다. 중국 시간대 중첩 시 날짜 구분자는 -에서 /로 바뀝니다.
커뮤니티 주류 판단: 모델 증류와 무단 API 재판매 감지——합법적 목표이지만 불법은 아니나 문제 있는 구현(은밀·난독화·미공개)입니다.
아닙니다. 2026년 4월 Hanff 폭로는 Claude Desktop의 브라우저 Native Messaging 조용한 기록;2026년 6월 30일 thereallo.dev 공개는 Claude Code 시스템 프롬프트 스테가노그래피——제품·메커니즘·트리거 조건이 모두 다릅니다.
사건 B는 Claude Code이며 비공식 ANTHROPIC_BASE_URL 설정 시에만 발동;공식 엔드포인트 사용자는 영향 없음.
~/Library/Application Support/<브라우저>/NativeMessagingHosts/에서 com.anthropic.claude_browser_extension.json 검색·삭제;Claude Desktop 재시작 시 재생성 가능. 기업 환경에서는 데스크톱 Agent 배포 지속 여부를 평가하고 헬프 센터의 원격 Mac 격리 방안을 참고하세요.
2.1.197+ 업그레이드, Base URL 감사, 독립 원격 Mac 노드에서 CLI Agent 실행(프로덕션 노트북 대신), OpenClaw 설치 가이드의 API 정책 회피 참고. 전용 Apple Silicon 연산은 Mac Mini 클라우드 대여 요금을 확인하세요.