Claude Code Steganographie
Unicode-Fingerabdruck im System-Prompt

Browser-Injection · Prompt-Steganographie · Anti-Distillation · Sechs-Schritte-Runbook · DSGVO & Telemetrie

Claude Code System-Prompt mit U+2019 Unicode-Apostroph-Fingerabdruck
Ende Juni 2026 entdeckte ein Entwickler beim Reverse Engineering von Claude Code, dass bei Routing über einen Custom-Proxy (ANTHROPIC_BASE_URLapi.anthropic.com) die Zeile Today's date is... im System-Prompt still umgeschrieben wird. Durch den Tausch optisch identischer Unicode-Apostrophe und Datumsformate kodiert das Tool China-Zeitzone und Domain-/Lab-Treffer — ein Lehrbuch-covert channel. Anthropic entfernte den Code in 2.1.197. Dieser datengetriebene Leitfaden liefert Entwicklern und Compliance-Verantwortlichen: ① Vorfall A (Desktop Browser-Injection) vs. B (Code-Steganographie); ② vollständige Unicode-Mapping-Tabelle; ③ Anti-Distillation-Motiv und HN-Debatte; ④ Sechs-Schritte-Schutz-Runbook; ⑤ Hard Data und Stellungnahme zu AI-Vendor-Trust-Grenzen — inkl. DSGVO-Relevanz, wenn undisclosed Telemetrie personenbezogene Nutzerklassifikation ohne informierte Einwilligung durchführt.
01

Was ist passiert? Zwei getrennte Claude-Vorfälle

TL;DR: Die Welle bestand aus zwei unabhängigen Stories. Vorfall A (April 2026): Claude Desktop schreibt still Browser Native Messaging Manifests. Vorfall B (30. Juni 2026): Claude Code versteckt Unicode-Fingerabdrücke in System-Prompts. Letzterer triggert nur bei nicht-offiziellem Base URL — nicht bei jeder Konversation.

A

Vorfall A (April 2026, Alexander Hanff): Claude Desktop auf macOS schreibt laut Bericht com.anthropic.claude_browser_extension.json in Chrome-, Edge-, Brave-, Arc-, Vivaldi- und Opera-Verzeichnisse — drei Extension-IDs dürfen chrome-native-host außerhalb der Browser-Sandbox aufrufen. Verzeichnisse werden auch ohne installierten Browser angelegt; Löschung wird beim Neustart rückgängig gemacht. Noah Kenney (Digital 520) bestätigte Hanffs Behauptungen; Antiy Labs veröffentlichte eine Risikoanalyse. Anthropic reagierte nicht formal; spätere Versionen erhielten einen Autorisierungs-Toggle, das Berechtigungsmodell blieb.

B

Vorfall B (30. Juni 2026, thereallo.dev): Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die System-Prompt-Zeile Today's date is... per Datumsseparator- und Unicode-Apostroph-Tausch umgeschrieben. Versionen 2.1.193, 2.1.195 und 2.1.196 enthielten die Logik laut Reverse Engineer. HN-Thread: Frontpage in Stunden — 350+ Punkte, 100+ Kommentare.

C

Fix-Timeline: Anthropic bestätigte den Code. Release 2.1.197 am 1. Juli 2026 entfernte ihn — Changelog ohne Erwähnung.

D

Label-Unterschied: Vorfall A: „Spyware“ / „Backdoor“. Vorfall B: „Prompt-Steganographie“ / „covert channel“.

E

Compliance-Formulierung: „Alleged“, „laut Reverse-Engineering-Bericht“, „disclosed by“ durchgängig nutzen. Intent (Anti-Distillation) von Methode (Steganographie) trennen — relevant für DSGVO-Dokumentation und DPIA.

DimensionVorfall A: Browser-InjectionVorfall B: System-Prompt-Steganographie
ProduktClaude Desktop (macOS)Claude Code (CLI)
QuelleAlexander Hanff (The Register)thereallo.dev → Reddit → HN
DatumApril 2026 (~4/18)30. Juni 2026
TriggerInstall/Start Claude DesktopNur bei nicht-offiziellem ANTHROPIC_BASE_URL
KernverhaltenNative Messaging Manifest; Extensions rufen Host außerhalb Sandbox aufSchreibt Today's date Unicode und Datumsformat um
02

Wie erkennt Claude Code China-Proxy? Unicode-Fingerabdruck-Tabelle

Voraussetzung: triggert nur, wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt (Proxy, Gateway, Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt unberührt. Klassifikationssignale verstecken sich in der harmlosen Zeile Today's date is ....

Erkannte BedingungDatumsformatApostroph in Today'sUnicode
Default (kein Match)2026-06-30' ASCII-ApostrophU+0027
China-Domain/Reseller2026-06-30' Right Single QuoteU+2019
AI-Lab-Keyword-Match2026-06-30ʼ Modifier Letter ApostropheU+02BC
Domain + Lab2026-06-30ʹ Modifier Letter PrimeU+02B9
+ China-Zeitzone2026/06/30 (/ Separator)(gleiche Regeln)

China-Zeitzonen: Asia/Shanghai oder Asia/Urumqi. Domain-/Keyword-Listen: base64 + XOR (Key 91) obfuskiert — ca. 147 Domain-Patterns inkl. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai. Für Menschen wirkt der Prompt normal; fürs Backend verrät ein Apostroph-Codepoint: VPN-Nutzer, China-Zeitzone, evtl. chinesisches AI-Lab. Lehrbuch-covert channel. Unter DSGVO kann undisclosed Nutzerklassifikation ohne Rechtsgrundlage und Transparenz problematisch sein.

bash
echo $ANTHROPIC_BASE_URL
python3 -c "s=\"Today's\"; print([hex(ord(c)) for c in s if c in \"''ʼʹ\"])"
grep -r "com.anthropic.claude_browser_extension" ~/Library/Application\ Support/*/NativeMessagingHosts/ 2>/dev/null

Tipp: U+0027 und U+2019 sehen in den meisten Terminals identisch aus. Hex-Dump oder Python ord() zur Verifikation.

03

Warum hat Anthropic das getan? Ist Claude Code Spyware?

Community-Konsens (gemessen): sehr wahrscheinlich Anti-Distillation und Anti-Unauthorized-Reselling. Anthropic, OpenAI und Google warnen öffentlich vor Konkurrenten, die API-Outputs für kleinere Modelle harvesten. China-Reseller, Proxies und Labs sind Hauptverdächtige. Intent ist vertretbar; Methode nicht. Unsichtbare Interpunktion, obfuskierter Binärcode, bei jedem Request — in einem Developer-Tool auf Vertrauensbasis — überschreitet eine Grenze.

Auf Hacker News spaltete sich der Thread: „vernünftige Anti-Distillation-Defense“ vs. „malware-adjacent für ein Dev-Tool“.

„Spyware“ ist geladen. Präziser: Vorfall A = unautorisierte Manipulation Dritter Software plus vorbereitete Angriffsfläche außerhalb der Browser-Sandbox. Anthropics eigene Zahlen: Claude for Chrome Prompt-Injection 23,6 % unmitigated / 11,2 % mitigated. Vorfall B = undisclosed Telemetrie / covert user classification — DSGVO-relevant, wenn personenbezogene Signale (Zeitzone, Proxy-Routing) ohne Einwilligung übermittelt werden. Kernproblem: keine informierte Einwilligung, absichtlich versteckt.

04

Claude Desktop Native Messaging stoppen: Sechs-Schritte-Runbook

01

Base URL prüfen: echo $ANTHROPIC_BASE_URL. Leer oder offiziell api.anthropic.com → Vorfall B triggert nicht. Proxy/Gateway-Nutzer sind im Klassifikations-Target-Set.

02

Claude Code upgraden: Version ≥ 2.1.197 (1. Juli 2026, Steganographie entfernt). claude --version ausführen.

03

Unicode-Self-Check: Jedes Zeichen in Today's aus erfassten System-Prompts prüfen. U+0027 normal; U+2019/U+02BC/U+02B9 = markiert.

04

Native Messaging auditieren (Vorfall A): macOS: ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json. Löschen; Claude Desktop legt ggf. neu an.

05

Zeitzone auditieren: System-Zeitzone prüfen. Nicht-offizielle Base URL plus Asia/Shanghai oder Asia/Urumqi → Datumsseparator wechselt von - zu /.

06

Enterprise-Härtung: Desktop-Agent in Produktion evaluieren. Least Privilege, explizite Autorisierung, auditierbares Verhalten. Claude Desktop von Browser Native Messaging in sensiblen Umgebungen isolieren — DSGVO-konforme Auftragsverarbeitung prüfen.

05

Zitierbare Hard Data: Claude Code Fingerprint-Parameter

A

Domain-Regel-Anzahl: ca. 147 Patterns, base64 + XOR(91) obfuskiert; Keywords: deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.

B

Betroffene Versionen: 2.1.193 / 2.1.195 / 2.1.196 bestätigt; entfernt in 2.1.197 (2026-07-01).

C

HN-Community-Heat: Frontpage in Stunden — 350+ Punkte, 100+ Kommentare. Claude for Chrome Prompt-Injection: 23,6 % unmitigated / 11,2 % mitigated (Anthropic-disclosed, Vorfall-A-Kontext).

Hinweis: Die Lektion ist nicht „ein Apostroph“. Wenn Modellfähigkeit rasen und Sicherheitsgrenzen hinterherhinken, überschreiten Vendors Vertrauenslinien — im Namen von UX oder Abuse Prevention. Default: Misstrauen; Disclosure statt Concealment; Least Privilege. Für EU-Teams: undisclosed Telemetrie in DPIA und AV-Verträge einbeziehen.

Teams mit Claude Code für iOS CI/CD und AI-Agent-Automation auf lokalen Macs riskieren Permission Sprawl und covert Telemetrie; geteilte VM-Isolation reicht nicht gegen dediziertes Bare Metal. Für stabile, auditierbare 24/7 Apple-Silicon-Produktion ist MESHLAUNCH Mac Mini Cloud-Miete meist die bessere Wahl: dedizierte M4/M4 Pro, flexible Tages-/Wochen-/Monatsabrechnung, physische Isolation von Claude Desktops hochprivilegierten lokalen Kanälen.

Quellen: The Register (Claude Desktop Permissions, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (Original Reverse Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (2.1.197 Fix); Antiy Labs Risikoanalyse.

FAQ

Nicht im klassischen Sinn, aber laut Reverse-Engineering-Bericht steckte es einen undisclosed, obfuskierten Fingerabdruck ein, um China-Proxy-Nutzer zu markieren. Entfernt in 2.1.197. Präziser: undisclosed covert channel.

Es prüfte Asia/Shanghai und Asia/Urumqi nur bei nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkt-Nutzer blieben unberührt.

Today's Apostroph wurde zwischen U+0027, U+2019, U+02BC, U+02B9 getauscht — kodierend Domain-Matches, Lab-Keywords, beides oder keines. Siehe Mapping-Tabelle oben.

Nein. April 2026 Claude Desktop Native Messaging Injection = Vorfall A. 30. Juni Claude Code Prompt-Steganographie = Vorfall B — andere Produkte und Trigger.

Sehr wahrscheinlich Anti-Distillation und Erkennung unautorisierter API-Weiterverkäufe. Kontroverse: versteckte Methode ohne Einwilligung. Isolierte Deployment-Optionen auf der Mietpreisseite.

Vorfall B triggert nur in Claude Code mit nicht-offiziellem ANTHROPIC_BASE_URL. Standard-Web-Nutzer am offiziellen Endpunkt sind unberührt.

com.anthropic.claude_browser_extension.json unter ~/Library/Application Support/<browser>/NativeMessagingHosts/ löschen. Claude Desktop kann es neu anlegen. Siehe Hilfezentrum.

Anthropic bestätigte und entfernte ihn in 2.1.197 am 1. Juli 2026. Changelog ohne Erwähnung. Sofort upgraden und Version verifizieren.