Security AI-Vertrauenskrise 2026.07.03

Claude Code Steganographie: Wie Anthropic Nutzer mit einem Apostroph markierte

Kurzfassung: Ende Juni 2026 zeigte ein Reverse-Engineering-Bericht, dass Claude Code (nicht die Claude-Webversion) bei nicht-offiziellem ANTHROPIC_BASE_URL Text-Steganographie in der Zeile Today's date is... einsetzt — durch Wechsel des Datums-Trennzeichens und nahezu unsichtbarer Unicode-Apostrophe werden Bit-Informationen wie „China-Zeitzone“, „China-Domain/AI-Lab-Treffer“ still an den Server zurückgemeldet. Anthropic entfernte den Code in 2.1.197; vermutlich Anti-Distillation/Weiterverkauf, aber die Methode war verdeckt und verschleiert.

Für Claude-Code-Nutzer, Security Engineers und IT-Entscheider: ① zwei unabhängige Ereignisse (April Desktop-Injection, Juni Code-Steganographie), ② Unicode-Fingerabdruck-Tabelle und Trigger, ③ sechs Selbstprüfschritte, HN-Debatte und Haltung gegenüber Grenzüberschreitungen. Formulierung nach dem Prinzip „laut Bericht/Reverse Engineering/behauptet“; Ziel und Mittel getrennt bewertet.

01 Claude-Steganographie und Browser-Injection 2026: Was geschah?

Die Welle basiert auf zwei unabhängigen Ereignissen. Vor der Veröffentlichung unterscheiden — sonst erkennen HN / Reddit / die Security-Community sofort Verwechslung, was E-E-A-T und Glaubwürdigkeit schadet.

Zeitleiste und Schlüsselpunkte
Zeit Ereignis Quelle
2026-04 (ca. ab 18.4.)Ereignis A: Claude Desktop schreibt still Browser-Native-Messaging-ManifestAlexander Hanff (The Register)
2026-06-30Ereignis B: Claude Code System-Prompt-Steganographie per Reverse Engineering enthülltthereallo.dev → Reddit → Hacker News
2026-07-01Anthropic veröffentlicht Claude Code 2.1.197, entfernt Steganographie (Changelog schweigt)Tech Startups / Developers Digest u.a.
HN-DiskussionFrontpage in Stunden, 350+ Points, 100+ Kommentare, Community gespaltenHacker News
  • Ereignis A: Nach Claude Desktop (macOS) wird com.anthropic.claude_browser_extension.json unbemerkt in Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium geschrieben; 3 Extension-IDs dürfen chrome-native-host außerhalb der Sandbox aufrufen. Verzeichnis wird auch ohne installierten Browser angelegt; nach Löschung kehrt es nach Neustart zurück.
  • Ereignis B: Nur bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird ein Fingerabdruck in die Datumszeile eingebettet — nicht bei jedem Gespräch zwingend.
  • Unabhängiger Berater Noah Kenney (Digital 520) bestätigte Hanffs technische Behauptungen zu Ereignis A. Antiy Labs veröffentlichte eine Risikoanalyse zum Browser-Kanal von Claude Desktop.

02 Claude Desktop Injection vs. Claude Code Steganographie

Ereignis A (stille Browser-Injection) vs. Ereignis B (System-Prompt-Steganographie)
Dimension Ereignis A: Stille Browser-Injection Ereignis B: System-Prompt-Steganographie
ProduktClaude Desktop (macOS-Client)Claude Code (CLI-Coding-Tool)
WhistleblowerAlexander Hanff (Privacy-Berater)Entwickler, Binary Reverse Engineering, thereallo.dev
Label"spyware" / "backdoor""prompt steganography" / "covert channel"
TriggerInstallation/Start von Claude DesktopNur bei nicht-offizieller Base URL (Proxy/Gateway)
Anthropic-ReaktionKeine offizielle Stellungnahme; später Opt-in-Schalter, Grundmodell unverändertCode bestätigt, 2.1.197 am 1.7. entfernt, Changelog ohne Erwähnung

Mainstream-Interpretation: Anthropic wollte unautorisierten Weiterverkauf und Modell-Distillation erkennen, nicht Einzelpersonen überwachen. Streitpunkt ist das Mittel (verdeckt, verschleiert, undeclared), nicht das Ziel.

03 Wie Claude Code Steganographie funktioniert: Unicode-Apostroph-Tabelle

Wichtige Voraussetzung: Nur wenn ANTHROPIC_BASE_URL auf eine nicht-offizielle Adresse zeigt (Proxy, Gateway, Drittweiterverkauf, OpenAI-kompatible Schicht). Offiziell api.anthropic.com bleibt unangetastet. Reverse Engineers fanden die Logik in 2.1.193 / 2.1.195 / 2.1.196.

Nach Auslösung passiert in der harmlosen Zeile Today's date is ... Folgendes:

  1. Datums-Trennzeichen: Bei Zeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.
  2. Apostroph-Tausch: Das Zeichen in Today's wird durch optisch gleiches, Unicode-unterschiedliches Zeichen ersetzt.
Unicode-Apostroph- und Datumsformat-Mapping (thereallo.dev Reverse-Engineering)
Erkannt Datumsformat Apostroph Unicode
Standard (kein Treffer)2026-06-30' ASCII-ApostrophU+0027
China-Institution/Händler-Domain2026-06-30' Rechtes AnführungszeichenU+2019
China-AI-Lab-Keyword2026-06-30ʼ Modifikator-ApostrophU+02BC
Domain + Lab2026-06-30ʹ Modifikator-PrimeU+02B9
Plus China-Zeitzone2026/06/30(gleiche Regeln)

Domain- und Keyword-Listen: base64 + XOR(91), ca. 147 Domain-Regeln; Keywords u.a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.

In Klartext: Die Anfrage wirkt wie normaler englischer Prompt, aber Backend liest Trennzeichen und Unicode-Codepoint des Apostrophs und taggt z.B. „VPN-Nutzer, aber China-Zeitzone, vermutlich AI-Lab“. Typischer Covert Channel und Prompt-Steganographie.

check-apostrophe.sh
# Unicode-Codepoint des Apostrophs in Today's im System-Prompt prüfen
python3 -c "
s = open('system_prompt.txt').read()
idx = s.find('Today')
if idx >= 0:
    c = s[idx+5]
    print(f'Char: {c!r}  Codepoint: U+{ord(c):04X}')
"
# Offizieller Endpunkt: U+0027; Proxy-Nutzer evtl. U+2019 / U+02BC / U+02B9

04 Warum hat Anthropic das getan? Ist Claude Code Spyware?

Motiv: Anti-Distillation und Anti-Weiterverkauf

Community-Konsens (zurückhaltend): Ziel ist Anti-Distillation und Schutz vor unautorisiertem Weiterverkauf. Anthropic, OpenAI und Google warnen öffentlich vor Massen-API-Output für kleinere Modelle. China-bezogene Proxies, Reseller und Labs waren Verdachtsziele.

Ziel verständlich, Mittel problematisch: Klassifizierungssignale unsichtbar und verschleiert in jeden Request zu legen verletzt Vertrauen bei einem entwicklergetriebenen Tool. HN: eine Seite „legitime Anti-Distillation“, andere „malware-adjacent for a dev tool“.

„Spyware“ ist ein emotionales Label. Genauer:

  • Ereignis A:Unbefugte Änderung fremder Software plus vorbereitete Angriffsfläche“ — auch ohne aktuelle Ausnutzung wurde ein Hochprivileg-Kanal außerhalb der Browser-Sandbox gelegt. Claude for Chrome: Prompt-Injection-Erfolgsrate ohne Mitigation 23,6 %, mit 11,2 % (Anthropic).
  • Ereignis B:Undeclared verdeckte Telemetrie / Nutzerklassifikation“ — relevant auch im Kontext der DSGVO (Informationspflicht, Zweckbindung, Datenminimierung).

Kernproblem unabhängig vom Wort „Spyware“: ohne informierte Einwilligung und absichtlich verdeckt. Verbindet sich mit Claude Fable 5 Exportkontrolle und MCP-Protokoll zum Thema Vertrauensgrenzen.

HN: zwei Lager

  • Pro: Vernünftige Anti-Distillation-Defense.
  • Contra: Malware-adjacent; offenlegen und Opt-out statt Zeichen in Interpunktion verstecken.

05 Selbstprüfung: Sechs Schritte zum Schutz

  1. ANTHROPIC_BASE_URL prüfen: echo $ANTHROPIC_BASE_URL — leer oder api.anthropic.com bedeutet kein Ereignis B. Proxy-/Gateway-Nutzer besonders prüfen.
  2. Claude Code auf 2.1.197+ aktualisieren: Anthropic entfernte Steganographie am 2026-07-01. claude --version.
  3. System-Zeitzone prüfen: date +%Z, readlink /etc/localtime (Linux) oder Systemeinstellungen (macOS) auf Asia/Shanghai / Asia/Urumqi.
  4. System-Prompt erfassen und analysieren: Unter Proxy per Capture/Debug Prompt exportieren; Apostroph-Codepoint in Today's ≠ U+0027?
  5. Claude Desktop Native Messaging (Ereignis A): In ~/Library/Application Support/<Browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json suchen und ggf. löschen — Neustart von Claude Desktop kann Datei neu anlegen.
  6. Minimalprivilegien in Unternehmen: Desktop-Agent in Produktion? Jeden Desktop-AI-Agent wie Hochprivileg-Software behandeln: explizite Freigabe, Audit, Netzwerkisolierung. Bei AI-Coding-Assistenten-Vergleich Telemetrie-Transparenz gewichten.

06 Zitierbare technische Daten und Parameter

  • Domain-Regeln: ca. 147, base64 + XOR(91) im Claude-Code-Binary.
  • Betroffene Versionen: 2.1.193, 2.1.195, 2.1.196; entfernt in 2.1.197 (2026-07-01).
  • HN: 350+ Points, 100+ Kommentare, Frontpage in Stunden.
  • Claude for Chrome Prompt-Injection: 23,6 % ohne Mitigation, 11,2 % mit (Anthropic, Kontext Ereignis A).
  • Trigger: nur ANTHROPIC_BASE_URL ≠ api.anthropic.com.
  • Unicode: U+0027, U+2019, U+02BC, U+02B9.

Quellen: The Register, Malwarebytes / gHacks / YOOTA, thereallo.dev, Tech Startups / TMC Insight / Developers Digest / TechTimes, Antiy Labs.

07 FAQ zu Claude Code Steganographie

F: Ist Claude Code Spyware?
A: Nicht klassisch, aber laut Reverse Engineering verbarg es undeclared verschleierte Fingerabdrücke für China-bezogene Proxy-Nutzer; entfernt in 2.1.197. Genauer: undeclared Covert Channel.

F: Erkennt Claude Code meine Zeitzone?
A: Nur bei nicht-offiziellem ANTHROPIC_BASE_URL, prüft Asia/Shanghai / Asia/Urumqi und ändert Trennzeichen. Offizieller Endpunkt unverändert.

F: Unicode-Apostroph in Today's date?
A: Wechsel zwischen U+0027, U+2019, U+02BC, U+02B9 je nach Domain-, Lab-Keyword- oder Kombinationstreffer.

F: Warum hat Anthropic das eingebaut?
A: Community: Distillation und unautorisierten Weiterverkauf erkennen — legitimes Ziel, undeclared implementiert.

F: Gleich wie Claude Desktop „Spyware“?
A: Nein. April 2026 Native Messaging = Ereignis A; 30. Juni 2026 Prompt-Steganographie = Ereignis B.

F: Betrifft Web-Claude-Nutzer?
A: Ereignis B nur Claude Code mit nicht-offizieller Base URL.

F: Browser-Dateien von Desktop löschen?
A: ~/Library/Application Support/<Browser>/NativeMessagingHosts/, com.anthropic.claude_browser_extension.json löschen; Neustart kann wieder anlegen.

F: ANTHROPIC_BASE_URL-Fingerabdruck?
A: Bei Proxy-URL codiert Claude Code per Unicode in der Datumszeile Klassifizierung für den Server.

F: Noch Sorgen?
A: 2.1.197+ ohne inoffiziellen Proxy: Ereignis B behoben. Ereignis A: Opt-in, Grundproblem bleibt — prüfen.

F: Anthropic weiter vertrauen?
A: Wertentscheidung. Evidenzbasiert misstrauen; Anbieter müssen offenlegen.

08 Grenzüberschreitungen und unsere Antwort: Fazit

Die Warnung ist nicht „ein Apostroph“, sondern: Bei rascher Modellentwicklung und hinterherhinkenden Sicherheitsgrenzen, Freigaben und Audits überschreiten Anbieter im Namen von „Experience/Anti-Abuse“ Vertrauensgrenzen — wie früher bei PC und Smartphone, jetzt bei Desktop-AI-Agenten.

Praktische Antwort: ① Standardmäßig misstrauen, evidenzbasiert. ② Offenlegung statt Verstecken — Anti-Distillation kann transparent sein. ③ Minimalprivilegien und Isolation. ④ Marktwahl und Regulierung (DSGVO, GDPR). Technik ist neutral, Unternehmen nicht — größere Macht erfordert Selbstbindung; kein Geheimnis, das erst Reverse Engineering enthüllt.

Für Teams mit Claude Code, OpenClaw-Gateway oder eigenem MCP Server in isolierten Umgebungen: reine Local-Dev-Maschinen scheitern an instabilem Heim-Internet für SSH/API, Agent-Tasks beim Zuklappen des Laptops, schwer auditierbaren Mehrnutzer-Umgebungen. JEXCLOUD Multi-Region Bare-Metal Mac: dedizierte Apple Silicon, 7×24, monatlich skalierbar, 120-Sekunden-Bereitstellung — schwere Claude-Code-Jobs in der Cloud, lokal nur Interaktion; separate Netzwerk- und Zeitzonen-Konfiguration für Compliance. Preise: JEXCLOUD Preisseite.