Claude Code Steganographie: Wie Anthropic Nutzer mit einem Apostroph markierte
Kurzfassung: Ende Juni 2026 zeigte ein Reverse-Engineering-Bericht, dass Claude Code (nicht die Claude-Webversion) bei nicht-offiziellem ANTHROPIC_BASE_URL Text-Steganographie in der Zeile Today's date is... einsetzt — durch Wechsel des Datums-Trennzeichens und nahezu unsichtbarer Unicode-Apostrophe werden Bit-Informationen wie „China-Zeitzone“, „China-Domain/AI-Lab-Treffer“ still an den Server zurückgemeldet. Anthropic entfernte den Code in 2.1.197; vermutlich Anti-Distillation/Weiterverkauf, aber die Methode war verdeckt und verschleiert.
Für Claude-Code-Nutzer, Security Engineers und IT-Entscheider: ① zwei unabhängige Ereignisse (April Desktop-Injection, Juni Code-Steganographie), ② Unicode-Fingerabdruck-Tabelle und Trigger, ③ sechs Selbstprüfschritte, HN-Debatte und Haltung gegenüber Grenzüberschreitungen. Formulierung nach dem Prinzip „laut Bericht/Reverse Engineering/behauptet“; Ziel und Mittel getrennt bewertet.
01 Claude-Steganographie und Browser-Injection 2026: Was geschah?
Die Welle basiert auf zwei unabhängigen Ereignissen. Vor der Veröffentlichung unterscheiden — sonst erkennen HN / Reddit / die Security-Community sofort Verwechslung, was E-E-A-T und Glaubwürdigkeit schadet.
| Zeit | Ereignis | Quelle |
|---|---|---|
| 2026-04 (ca. ab 18.4.) | Ereignis A: Claude Desktop schreibt still Browser-Native-Messaging-Manifest | Alexander Hanff (The Register) |
| 2026-06-30 | Ereignis B: Claude Code System-Prompt-Steganographie per Reverse Engineering enthüllt | thereallo.dev → Reddit → Hacker News |
| 2026-07-01 | Anthropic veröffentlicht Claude Code 2.1.197, entfernt Steganographie (Changelog schweigt) | Tech Startups / Developers Digest u.a. |
| HN-Diskussion | Frontpage in Stunden, 350+ Points, 100+ Kommentare, Community gespalten | Hacker News |
- Ereignis A: Nach Claude Desktop (macOS) wird
com.anthropic.claude_browser_extension.jsonunbemerkt in Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium geschrieben; 3 Extension-IDs dürfenchrome-native-hostaußerhalb der Sandbox aufrufen. Verzeichnis wird auch ohne installierten Browser angelegt; nach Löschung kehrt es nach Neustart zurück. - Ereignis B: Nur bei
ANTHROPIC_BASE_URL ≠ api.anthropic.comwird ein Fingerabdruck in die Datumszeile eingebettet — nicht bei jedem Gespräch zwingend. - Unabhängiger Berater Noah Kenney (Digital 520) bestätigte Hanffs technische Behauptungen zu Ereignis A. Antiy Labs veröffentlichte eine Risikoanalyse zum Browser-Kanal von Claude Desktop.
02 Claude Desktop Injection vs. Claude Code Steganographie
| Dimension | Ereignis A: Stille Browser-Injection | Ereignis B: System-Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS-Client) | Claude Code (CLI-Coding-Tool) |
| Whistleblower | Alexander Hanff (Privacy-Berater) | Entwickler, Binary Reverse Engineering, thereallo.dev |
| Label | "spyware" / "backdoor" | "prompt steganography" / "covert channel" |
| Trigger | Installation/Start von Claude Desktop | Nur bei nicht-offizieller Base URL (Proxy/Gateway) |
| Anthropic-Reaktion | Keine offizielle Stellungnahme; später Opt-in-Schalter, Grundmodell unverändert | Code bestätigt, 2.1.197 am 1.7. entfernt, Changelog ohne Erwähnung |
Mainstream-Interpretation: Anthropic wollte unautorisierten Weiterverkauf und Modell-Distillation erkennen, nicht Einzelpersonen überwachen. Streitpunkt ist das Mittel (verdeckt, verschleiert, undeclared), nicht das Ziel.
03 Wie Claude Code Steganographie funktioniert: Unicode-Apostroph-Tabelle
Wichtige Voraussetzung: Nur wenn ANTHROPIC_BASE_URL auf eine nicht-offizielle Adresse zeigt (Proxy, Gateway, Drittweiterverkauf, OpenAI-kompatible Schicht). Offiziell api.anthropic.com bleibt unangetastet. Reverse Engineers fanden die Logik in 2.1.193 / 2.1.195 / 2.1.196.
Nach Auslösung passiert in der harmlosen Zeile Today's date is ... Folgendes:
- Datums-Trennzeichen: Bei Zeitzone
Asia/ShanghaioderAsia/Urumqiwird2026-06-30zu2026/06/30. - Apostroph-Tausch: Das Zeichen in
Today'swird durch optisch gleiches, Unicode-unterschiedliches Zeichen ersetzt.
| Erkannt | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-Institution/Händler-Domain | 2026-06-30 | ' Rechtes Anführungszeichen | U+2019 |
| China-AI-Lab-Keyword | 2026-06-30 | ʼ Modifikator-Apostroph | U+02BC |
| Domain + Lab | 2026-06-30 | ʹ Modifikator-Prime | U+02B9 |
| Plus China-Zeitzone | 2026/06/30 | (gleiche Regeln) | — |
Domain- und Keyword-Listen: base64 + XOR(91), ca. 147 Domain-Regeln; Keywords u.a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.
In Klartext: Die Anfrage wirkt wie normaler englischer Prompt, aber Backend liest Trennzeichen und Unicode-Codepoint des Apostrophs und taggt z.B. „VPN-Nutzer, aber China-Zeitzone, vermutlich AI-Lab“. Typischer Covert Channel und Prompt-Steganographie.
# Unicode-Codepoint des Apostrophs in Today's im System-Prompt prüfen
python3 -c "
s = open('system_prompt.txt').read()
idx = s.find('Today')
if idx >= 0:
c = s[idx+5]
print(f'Char: {c!r} Codepoint: U+{ord(c):04X}')
"
# Offizieller Endpunkt: U+0027; Proxy-Nutzer evtl. U+2019 / U+02BC / U+02B9
04 Warum hat Anthropic das getan? Ist Claude Code Spyware?
Motiv: Anti-Distillation und Anti-Weiterverkauf
Community-Konsens (zurückhaltend): Ziel ist Anti-Distillation und Schutz vor unautorisiertem Weiterverkauf. Anthropic, OpenAI und Google warnen öffentlich vor Massen-API-Output für kleinere Modelle. China-bezogene Proxies, Reseller und Labs waren Verdachtsziele.
Ziel verständlich, Mittel problematisch: Klassifizierungssignale unsichtbar und verschleiert in jeden Request zu legen verletzt Vertrauen bei einem entwicklergetriebenen Tool. HN: eine Seite „legitime Anti-Distillation“, andere „malware-adjacent for a dev tool“.
„Spyware“ ist ein emotionales Label. Genauer:
- Ereignis A: „Unbefugte Änderung fremder Software plus vorbereitete Angriffsfläche“ — auch ohne aktuelle Ausnutzung wurde ein Hochprivileg-Kanal außerhalb der Browser-Sandbox gelegt. Claude for Chrome: Prompt-Injection-Erfolgsrate ohne Mitigation 23,6 %, mit 11,2 % (Anthropic).
- Ereignis B: „Undeclared verdeckte Telemetrie / Nutzerklassifikation“ — relevant auch im Kontext der DSGVO (Informationspflicht, Zweckbindung, Datenminimierung).
Kernproblem unabhängig vom Wort „Spyware“: ohne informierte Einwilligung und absichtlich verdeckt. Verbindet sich mit Claude Fable 5 Exportkontrolle und MCP-Protokoll zum Thema Vertrauensgrenzen.
HN: zwei Lager
- Pro: Vernünftige Anti-Distillation-Defense.
- Contra: Malware-adjacent; offenlegen und Opt-out statt Zeichen in Interpunktion verstecken.
05 Selbstprüfung: Sechs Schritte zum Schutz
- ANTHROPIC_BASE_URL prüfen:
echo $ANTHROPIC_BASE_URL— leer oderapi.anthropic.combedeutet kein Ereignis B. Proxy-/Gateway-Nutzer besonders prüfen. - Claude Code auf 2.1.197+ aktualisieren: Anthropic entfernte Steganographie am 2026-07-01.
claude --version. - System-Zeitzone prüfen:
date +%Z,readlink /etc/localtime(Linux) oder Systemeinstellungen (macOS) aufAsia/Shanghai/Asia/Urumqi. - System-Prompt erfassen und analysieren: Unter Proxy per Capture/Debug Prompt exportieren; Apostroph-Codepoint in
Today's≠ U+0027? - Claude Desktop Native Messaging (Ereignis A): In
~/Library/Application Support/<Browser>/NativeMessagingHosts/nachcom.anthropic.claude_browser_extension.jsonsuchen und ggf. löschen — Neustart von Claude Desktop kann Datei neu anlegen. - Minimalprivilegien in Unternehmen: Desktop-Agent in Produktion? Jeden Desktop-AI-Agent wie Hochprivileg-Software behandeln: explizite Freigabe, Audit, Netzwerkisolierung. Bei AI-Coding-Assistenten-Vergleich Telemetrie-Transparenz gewichten.
06 Zitierbare technische Daten und Parameter
- Domain-Regeln: ca. 147, base64 + XOR(91) im Claude-Code-Binary.
- Betroffene Versionen: 2.1.193, 2.1.195, 2.1.196; entfernt in 2.1.197 (2026-07-01).
- HN: 350+ Points, 100+ Kommentare, Frontpage in Stunden.
- Claude for Chrome Prompt-Injection: 23,6 % ohne Mitigation, 11,2 % mit (Anthropic, Kontext Ereignis A).
- Trigger: nur
ANTHROPIC_BASE_URL ≠ api.anthropic.com. - Unicode: U+0027, U+2019, U+02BC, U+02B9.
Quellen: The Register, Malwarebytes / gHacks / YOOTA, thereallo.dev, Tech Startups / TMC Insight / Developers Digest / TechTimes, Antiy Labs.
07 FAQ zu Claude Code Steganographie
F: Ist Claude Code Spyware?
A: Nicht klassisch, aber laut Reverse Engineering verbarg es undeclared verschleierte Fingerabdrücke für China-bezogene Proxy-Nutzer; entfernt in 2.1.197. Genauer: undeclared Covert Channel.
F: Erkennt Claude Code meine Zeitzone?
A: Nur bei nicht-offiziellem ANTHROPIC_BASE_URL, prüft Asia/Shanghai / Asia/Urumqi und ändert Trennzeichen. Offizieller Endpunkt unverändert.
F: Unicode-Apostroph in Today's date?
A: Wechsel zwischen U+0027, U+2019, U+02BC, U+02B9 je nach Domain-, Lab-Keyword- oder Kombinationstreffer.
F: Warum hat Anthropic das eingebaut?
A: Community: Distillation und unautorisierten Weiterverkauf erkennen — legitimes Ziel, undeclared implementiert.
F: Gleich wie Claude Desktop „Spyware“?
A: Nein. April 2026 Native Messaging = Ereignis A; 30. Juni 2026 Prompt-Steganographie = Ereignis B.
F: Betrifft Web-Claude-Nutzer?
A: Ereignis B nur Claude Code mit nicht-offizieller Base URL.
F: Browser-Dateien von Desktop löschen?
A: ~/Library/Application Support/<Browser>/NativeMessagingHosts/, com.anthropic.claude_browser_extension.json löschen; Neustart kann wieder anlegen.
F: ANTHROPIC_BASE_URL-Fingerabdruck?
A: Bei Proxy-URL codiert Claude Code per Unicode in der Datumszeile Klassifizierung für den Server.
F: Noch Sorgen?
A: 2.1.197+ ohne inoffiziellen Proxy: Ereignis B behoben. Ereignis A: Opt-in, Grundproblem bleibt — prüfen.
F: Anthropic weiter vertrauen?
A: Wertentscheidung. Evidenzbasiert misstrauen; Anbieter müssen offenlegen.
08 Grenzüberschreitungen und unsere Antwort: Fazit
Die Warnung ist nicht „ein Apostroph“, sondern: Bei rascher Modellentwicklung und hinterherhinkenden Sicherheitsgrenzen, Freigaben und Audits überschreiten Anbieter im Namen von „Experience/Anti-Abuse“ Vertrauensgrenzen — wie früher bei PC und Smartphone, jetzt bei Desktop-AI-Agenten.
Praktische Antwort: ① Standardmäßig misstrauen, evidenzbasiert. ② Offenlegung statt Verstecken — Anti-Distillation kann transparent sein. ③ Minimalprivilegien und Isolation. ④ Marktwahl und Regulierung (DSGVO, GDPR). Technik ist neutral, Unternehmen nicht — größere Macht erfordert Selbstbindung; kein Geheimnis, das erst Reverse Engineering enthüllt.
Für Teams mit Claude Code, OpenClaw-Gateway oder eigenem MCP Server in isolierten Umgebungen: reine Local-Dev-Maschinen scheitern an instabilem Heim-Internet für SSH/API, Agent-Tasks beim Zuklappen des Laptops, schwer auditierbaren Mehrnutzer-Umgebungen. JEXCLOUD Multi-Region Bare-Metal Mac: dedizierte Apple Silicon, 7×24, monatlich skalierbar, 120-Sekunden-Bereitstellung — schwere Claude-Code-Jobs in der Cloud, lokal nur Interaktion; separate Netzwerk- und Zeitzonen-Konfiguration für Compliance. Preise: JEXCLOUD Preisseite.