ANTHROPIC_BASE_URL ≠ api.anthropic.com) die Zeile Today's date is... im System-Prompt still umgeschrieben wird. Durch den Tausch optisch identischer Unicode-Apostrophe und Datumsformate kodiert das Tool China-Zeitzone und Domain-/Lab-Treffer — ein Lehrbuch-covert channel. Anthropic entfernte den Code in 2.1.197. Dieser datengetriebene Leitfaden liefert Entwicklern und Compliance-Verantwortlichen: ① Vorfall A (Desktop Browser-Injection) vs. B (Code-Steganographie); ② vollständige Unicode-Mapping-Tabelle; ③ Anti-Distillation-Motiv und HN-Debatte; ④ Sechs-Schritte-Schutz-Runbook; ⑤ Hard Data und Stellungnahme zu AI-Vendor-Trust-Grenzen — inkl. DSGVO-Relevanz, wenn undisclosed Telemetrie personenbezogene Nutzerklassifikation ohne informierte Einwilligung durchführt.
Was ist passiert? Zwei getrennte Claude-Vorfälle
TL;DR: Die Welle bestand aus zwei unabhängigen Stories. Vorfall A (April 2026): Claude Desktop schreibt still Browser Native Messaging Manifests. Vorfall B (30. Juni 2026): Claude Code versteckt Unicode-Fingerabdrücke in System-Prompts. Letzterer triggert nur bei nicht-offiziellem Base URL — nicht bei jeder Konversation.
Vorfall A (April 2026, Alexander Hanff): Claude Desktop auf macOS schreibt laut Bericht com.anthropic.claude_browser_extension.json in Chrome-, Edge-, Brave-, Arc-, Vivaldi- und Opera-Verzeichnisse — drei Extension-IDs dürfen chrome-native-host außerhalb der Browser-Sandbox aufrufen. Verzeichnisse werden auch ohne installierten Browser angelegt; Löschung wird beim Neustart rückgängig gemacht. Noah Kenney (Digital 520) bestätigte Hanffs Behauptungen; Antiy Labs veröffentlichte eine Risikoanalyse. Anthropic reagierte nicht formal; spätere Versionen erhielten einen Autorisierungs-Toggle, das Berechtigungsmodell blieb.
Vorfall B (30. Juni 2026, thereallo.dev): Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die System-Prompt-Zeile Today's date is... per Datumsseparator- und Unicode-Apostroph-Tausch umgeschrieben. Versionen 2.1.193, 2.1.195 und 2.1.196 enthielten die Logik laut Reverse Engineer. HN-Thread: Frontpage in Stunden — 350+ Punkte, 100+ Kommentare.
Fix-Timeline: Anthropic bestätigte den Code. Release 2.1.197 am 1. Juli 2026 entfernte ihn — Changelog ohne Erwähnung.
Label-Unterschied: Vorfall A: „Spyware“ / „Backdoor“. Vorfall B: „Prompt-Steganographie“ / „covert channel“.
Compliance-Formulierung: „Alleged“, „laut Reverse-Engineering-Bericht“, „disclosed by“ durchgängig nutzen. Intent (Anti-Distillation) von Methode (Steganographie) trennen — relevant für DSGVO-Dokumentation und DPIA.
| Dimension | Vorfall A: Browser-Injection | Vorfall B: System-Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS) | Claude Code (CLI) |
| Quelle | Alexander Hanff (The Register) | thereallo.dev → Reddit → HN |
| Datum | April 2026 (~4/18) | 30. Juni 2026 |
| Trigger | Install/Start Claude Desktop | Nur bei nicht-offiziellem ANTHROPIC_BASE_URL |
| Kernverhalten | Native Messaging Manifest; Extensions rufen Host außerhalb Sandbox auf | Schreibt Today's date Unicode und Datumsformat um |
Wie erkennt Claude Code China-Proxy? Unicode-Fingerabdruck-Tabelle
Voraussetzung: triggert nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt (Proxy, Gateway, Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt unberührt. Klassifikationssignale verstecken sich in der harmlosen Zeile Today's date is ....
| Erkannte Bedingung | Datumsformat | Apostroph in Today's | Unicode |
|---|---|---|---|
| Default (kein Match) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-Domain/Reseller | 2026-06-30 | ' Right Single Quote | U+2019 |
| AI-Lab-Keyword-Match | 2026-06-30 | ʼ Modifier Letter Apostrophe | U+02BC |
| Domain + Lab | 2026-06-30 | ʹ Modifier Letter Prime | U+02B9 |
| + China-Zeitzone | 2026/06/30 (/ Separator) | (gleiche Regeln) | — |
China-Zeitzonen: Asia/Shanghai oder Asia/Urumqi. Domain-/Keyword-Listen: base64 + XOR (Key 91) obfuskiert — ca. 147 Domain-Patterns inkl. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai. Für Menschen wirkt der Prompt normal; fürs Backend verrät ein Apostroph-Codepoint: VPN-Nutzer, China-Zeitzone, evtl. chinesisches AI-Lab. Lehrbuch-covert channel. Unter DSGVO kann undisclosed Nutzerklassifikation ohne Rechtsgrundlage und Transparenz problematisch sein.
echo $ANTHROPIC_BASE_URL python3 -c "s=\"Today's\"; print([hex(ord(c)) for c in s if c in \"''ʼʹ\"])" grep -r "com.anthropic.claude_browser_extension" ~/Library/Application\ Support/*/NativeMessagingHosts/ 2>/dev/null
Tipp: U+0027 und U+2019 sehen in den meisten Terminals identisch aus. Hex-Dump oder Python ord() zur Verifikation.
Warum hat Anthropic das getan? Ist Claude Code Spyware?
Community-Konsens (gemessen): sehr wahrscheinlich Anti-Distillation und Anti-Unauthorized-Reselling. Anthropic, OpenAI und Google warnen öffentlich vor Konkurrenten, die API-Outputs für kleinere Modelle harvesten. China-Reseller, Proxies und Labs sind Hauptverdächtige. Intent ist vertretbar; Methode nicht. Unsichtbare Interpunktion, obfuskierter Binärcode, bei jedem Request — in einem Developer-Tool auf Vertrauensbasis — überschreitet eine Grenze.
Auf Hacker News spaltete sich der Thread: „vernünftige Anti-Distillation-Defense“ vs. „malware-adjacent für ein Dev-Tool“.
„Spyware“ ist geladen. Präziser: Vorfall A = unautorisierte Manipulation Dritter Software plus vorbereitete Angriffsfläche außerhalb der Browser-Sandbox. Anthropics eigene Zahlen: Claude for Chrome Prompt-Injection 23,6 % unmitigated / 11,2 % mitigated. Vorfall B = undisclosed Telemetrie / covert user classification — DSGVO-relevant, wenn personenbezogene Signale (Zeitzone, Proxy-Routing) ohne Einwilligung übermittelt werden. Kernproblem: keine informierte Einwilligung, absichtlich versteckt.
Claude Desktop Native Messaging stoppen: Sechs-Schritte-Runbook
Base URL prüfen: echo $ANTHROPIC_BASE_URL. Leer oder offiziell api.anthropic.com → Vorfall B triggert nicht. Proxy/Gateway-Nutzer sind im Klassifikations-Target-Set.
Claude Code upgraden: Version ≥ 2.1.197 (1. Juli 2026, Steganographie entfernt). claude --version ausführen.
Unicode-Self-Check: Jedes Zeichen in Today's aus erfassten System-Prompts prüfen. U+0027 normal; U+2019/U+02BC/U+02B9 = markiert.
Native Messaging auditieren (Vorfall A): macOS: ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json. Löschen; Claude Desktop legt ggf. neu an.
Zeitzone auditieren: System-Zeitzone prüfen. Nicht-offizielle Base URL plus Asia/Shanghai oder Asia/Urumqi → Datumsseparator wechselt von - zu /.
Enterprise-Härtung: Desktop-Agent in Produktion evaluieren. Least Privilege, explizite Autorisierung, auditierbares Verhalten. Claude Desktop von Browser Native Messaging in sensiblen Umgebungen isolieren — DSGVO-konforme Auftragsverarbeitung prüfen.
Zitierbare Hard Data: Claude Code Fingerprint-Parameter
Domain-Regel-Anzahl: ca. 147 Patterns, base64 + XOR(91) obfuskiert; Keywords: deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.
Betroffene Versionen: 2.1.193 / 2.1.195 / 2.1.196 bestätigt; entfernt in 2.1.197 (2026-07-01).
HN-Community-Heat: Frontpage in Stunden — 350+ Punkte, 100+ Kommentare. Claude for Chrome Prompt-Injection: 23,6 % unmitigated / 11,2 % mitigated (Anthropic-disclosed, Vorfall-A-Kontext).
Hinweis: Die Lektion ist nicht „ein Apostroph“. Wenn Modellfähigkeit rasen und Sicherheitsgrenzen hinterherhinken, überschreiten Vendors Vertrauenslinien — im Namen von UX oder Abuse Prevention. Default: Misstrauen; Disclosure statt Concealment; Least Privilege. Für EU-Teams: undisclosed Telemetrie in DPIA und AV-Verträge einbeziehen.
Teams mit Claude Code für iOS CI/CD und AI-Agent-Automation auf lokalen Macs riskieren Permission Sprawl und covert Telemetrie; geteilte VM-Isolation reicht nicht gegen dediziertes Bare Metal. Für stabile, auditierbare 24/7 Apple-Silicon-Produktion ist MESHLAUNCH Mac Mini Cloud-Miete meist die bessere Wahl: dedizierte M4/M4 Pro, flexible Tages-/Wochen-/Monatsabrechnung, physische Isolation von Claude Desktops hochprivilegierten lokalen Kanälen.
Quellen: The Register (Claude Desktop Permissions, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (Original Reverse Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (2.1.197 Fix); Antiy Labs Risikoanalyse.
Nicht im klassischen Sinn, aber laut Reverse-Engineering-Bericht steckte es einen undisclosed, obfuskierten Fingerabdruck ein, um China-Proxy-Nutzer zu markieren. Entfernt in 2.1.197. Präziser: undisclosed covert channel.
Es prüfte Asia/Shanghai und Asia/Urumqi nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkt-Nutzer blieben unberührt.
Today's Apostroph wurde zwischen U+0027, U+2019, U+02BC, U+02B9 getauscht — kodierend Domain-Matches, Lab-Keywords, beides oder keines. Siehe Mapping-Tabelle oben.
Nein. April 2026 Claude Desktop Native Messaging Injection = Vorfall A. 30. Juni Claude Code Prompt-Steganographie = Vorfall B — andere Produkte und Trigger.
Sehr wahrscheinlich Anti-Distillation und Erkennung unautorisierter API-Weiterverkäufe. Kontroverse: versteckte Methode ohne Einwilligung. Isolierte Deployment-Optionen auf der Mietpreisseite.
Vorfall B triggert nur in Claude Code mit nicht-offiziellem ANTHROPIC_BASE_URL. Standard-Web-Nutzer am offiziellen Endpunkt sind unberührt.
com.anthropic.claude_browser_extension.json unter ~/Library/Application Support/<browser>/NativeMessagingHosts/ löschen. Claude Desktop kann es neu anlegen. Siehe Hilfezentrum.
Anthropic bestätigte und entfernte ihn in 2.1.197 am 1. Juli 2026. Changelog ohne Erwähnung. Sofort upgraden und Version verifizieren.