2026 CLAUDE
CODE_
VERSTECKTER_
UNICODE.
TL;DR: Ende Juni 2026 entdeckte ein Entwickler beim Reverse-Engineering von Claude Code (nicht der Claude-Web-App), dass bei Routing über einen Custom-Proxy (ANTHROPIC_BASE_URL ≠ api.anthropic.com) die Zeile Today's date is... im System-Prompt still umgeschrieben wird. Durch Datumsseparator und visuell identische, aber unterschiedliche Unicode-Zeichen im Apostroph codiert der Client, ob Sie in einer China-Zeitzone sind und ob Ihr Endpunkt China-Domains oder KI-Lab-Keywords matcht. Anthropic entfernte den Code in Version 2.1.197. Wahrscheinliches Ziel: Anti-Distillation — das Problem ist die Methode: unsichtbar, verschleiert, nicht offengelegt. Für EU-Teams relevant: DSGVO Art. 5/13 (Transparenz, Rechtsgrundlage). Dieser Beitrag trennt zwei Vorfälle, liefert die Unicode-Mapping-Tabelle, HN-Debatte, 5-Schritte-Checkliste und FAQ.
1. Schmerzpunkte: Zwei getrennte Vorfälle — nicht vermischen
Die Story explodierte als zwei distinkte, aber verwandte Vorfälle. Wer sie vermischt, wird auf HN korrigiert — und verliert E-E-A-T. Trennen Sie vor der Veröffentlichung:
| Dimension | Vorfall A: Stille Browser-Injektion | Vorfall B: System-Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS-Client) | Claude Code (CLI-Coding-Tool) |
| Offenleger | Alexander Hanff (Privacy-Berater, The Register) | Entwickler, Reverse-Engineering, veröffentlicht auf thereallo.dev, Reddit → HN |
| Timeline | April 2026 (~18.4. onward) | 30. Juni 2026 |
| Kernverhalten | Schreibt still com.anthropic.claude_browser_extension.json in Chrome/Edge/Brave/Arc etc.; pre-authorisiert 3 Extension-IDs für chrome-native-host außerhalb der Browser-Sandbox; legt Verzeichnisse auch für nicht installierte Browser an; regeneriert nach Löschung | Bei nicht-offiziellem ANTHROPIC_BASE_URL wird die Zeile Today's date is... per Steganographie umgeschrieben |
| Labels | „Spyware“ / „Backdoor“ | „Prompt-Steganographie“ / „Covert Channel“ |
| Trigger | Installation/Start Claude Desktop | Nur bei nicht-offiziellem Base URL; nicht jede Konversation |
| Anthropic-Reaktion | Keine formelle öffentliche Stellungnahme; später Consent-Toggle | Code bestätigt; entfernt in 2.1.197 am 1.7., Changelog schweigt |
Der unabhängige Berater Noah Kenney (Digital 520) bestätigte Hanffs Reproduzierbarkeit. Antiy Labs veröffentlichte eine dedizierte Risikoanalyse des hochprivilegierten Browser-Kanals von Claude Desktop. Der HN-Thread zu Vorfall B erreichte innerhalb von Stunden die Frontpage — 350+ Punkte, 100+ Kommentare — gespalten zwischen „vertretbare Anti-Distillation“ und „malware-nahes Verhalten für ein Dev-Tool“.
2. Timeline: Was tatsächlich passierte
| Datum | Ereignis | Version / Quelle |
|---|---|---|
| 2026-04-18+ | Hanff legt stille Native-Messaging-Injektion von Claude Desktop offen | The Register, Malwarebytes, gHacks |
| 2026-06-30 | Entwickler reverse-engineert Claude Code, findet Prompt-Steganographie | thereallo.dev → Reddit → HN |
| 2026-06-30 | Verifiziert in Versionen 2.1.193 / 2.1.195 / 2.1.196 | thereallo.dev |
| 2026-07-01 | Anthropic liefert 2.1.197 mit Code-Entfernung | TechTimes, Developers Digest (Changelog ohne Erwähnung) |
3. Funktionsweise: Unicode-Mapping-Tabelle
Voraussetzung: Trigger nur wenn ANTHROPIC_BASE_URL ≠ api.anthropic.com (Proxy, Gateway, Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt = keine Änderung.
Bei Trigger verstecken sich zwei Signale in der harmlosen Zeile Today's date is ...:
- Datumsseparator: bei Zeitzone
Asia/ShanghaioderAsia/Urumqiwird2026-06-30zu2026/06/30. - Apostroph-Tausch: das Apostroph in
Today'swird durch ein optisch gleiches Unicode-Zeichen ersetzt, das den Match kodiert.
| Erkannte Bedingung | Datum | Apostroph | Unicode |
|---|---|---|---|
| Default (kein Match) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-verknüpfte Org/Reseller-Domain | 2026-06-30 | ' Right Single Quote | U+2019 |
| KI-Lab-Keyword (deepseek, moonshot, zhipu…) | 2026-06-30 | ʼ Modifier Letter Apostrophe | U+02BC |
| Domain und Lab | 2026-06-30 | ʹ Modifier Letter Prime | U+02B9 |
| + China-Zeitzone | 2026/06/30 | (wie oben) | — |
Domain-/Keyword-Listen sind mit Base64 + XOR (Key 91) verschleiert — ca. 147 Domain-Muster. Für Menschen wirkt der Prompt normal. Für Anthropics Backend verrät ein Codepoint: „Nutzer hinter VPN, aber China-Zeitzone — möglicherweise chinesisches KI-Lab.“
4. Warum hat Anthropic das getan? Absicht vs. Methode
Community-Konsens ist gemessen: fast sicher Anti-Distillation und Erkennung unautorisierten Weiterverkaufs. Anthropic, OpenAI und Google haben öffentlich vor Wettbewerbern gewarnt, die API-Outputs für kleinere Modelle harvesten. China-verknüpfte Reseller, Proxys und Labs stehen im Verdacht.
Die Absicht ist vertretbar; die Methode nicht. Ein Klassifikationssignal in unsichtbare Interpunktion zu verwandeln, im Binary zu verschleiern und bei jedem Request mitzuschicken — in einem Dev-Tool, das vom Vertrauen lebt — überschreitet eine Grenze. HN spaltete sich:
- Pro: „Vertretbare Anti-Distillation — weniger invasiv als Code-Logging.“
- Contra: „Malware-nahes Verhalten für ein Tool mit Filesystem-, Shell- und nicht offengelegter Telemetrie.“
Formulieren Sie mit „mutmaßlich“ / „laut Reverse-Engineering-Bericht“. Trennen Sie Ziel (Anti-Distillation) von Mittel (Steganographie). Für DSGVO-Verantwortliche: Art. 13 Informationspflicht und Art. 6 Rechtsgrundlage fehlen — das ist kein rein technisches Detail, sondern Compliance-Risiko.
5. Ist es tatsächlich Spyware?
„Spyware“ ist ein Loaded Term. Präziser:
- Vorfall A ist näher an unautorisiertem Eingriff in Drittsoftware + vorbereiteter Angriffsfläche. Anthropics eigene Zahlen: Claude-for-Chrome Prompt-Injection-Erfolg 23,6 % (unmitigiert) / 11,2 % (mitigiert).
- Vorfall B ist näher an nicht offengelegter Telemetrie / verdeckter Nutzerklassifizierung.
Kernproblem in beiden Fällen: keine informierte Einwilligung, absichtlich verborgen. Legitime LiteLLM-Gateways und Unternehmens-Proxys triggern Vorfall B — der Klassifizierer unterscheidet nicht zuverlässig zwischen Reseller und internem Dev-Tool allein am Hostnamen.
6. Fünf-Schritte-Checkliste: Prüfen und schützen
- ANTHROPIC_BASE_URL prüfen: unset oder offizieller Endpunkt → Vorfall B triggert nicht. LiteLLM/OpenRouter/Unternehmens-Gateways wurden klassifiziert (pre-2.1.197).
- Claude Code auf 2.1.197+ upgraden: Steganographie entfernt, Changelog schweigt — Upgrade-Protokoll führen.
- macOS: Native-Messaging-Manifeste unter
~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.jsonprüfen. Bei Bedarf löschen; Claude Desktop legt sie ggf. neu an. - Zeitzone prüfen:
Asia/Shanghai/Asia/Urumqiaddiert Datumsseparator-Signal (Vorfall B + Proxy only). - Enterprise / DSGVO-Umgebungen: Desktop-Agents als hochprivilegierte Programme behandeln — Least Privilege, explizite Autorisierung, auditierbares Verhalten, DPIA dokumentieren.
7. Deep Dive: Desktop-AI-Agents wiederholen frühe PC/Smartphone-Sicherheitsfehler
Die Lektion ist nicht „ein Apostroph“. Wenn Modellfähigkeit vor Sicherheitsgrenzen, Consent und Auditierbarkeit rennt, überschreiten Anbieter die Vertrauensgrenze im Namen von „UX“ oder „Missbrauchsprävention“.
Wir kennen das — vorinstallierte PC-Bloatware, frühe Smartphone-Permission-Missbräuche — und es wiederholt sich bei Desktop-AI-Agents. Claude Desktop mit Native-Messaging-Kanälen + Claude Code mit steganographischen Fingerabdrücken: hochprivilegierte lokale Programme + nicht offengelegte Klassifikation als Default, nicht als Opt-in.
Was wir tun können:
- Default: Misstrauen; Beweise verlangen. Reproduzierbar, auditierbar, abschaltbar — das ist die Vertrauenslatte.
- Offenlegung statt Verbergung. Distillation offen bekämpfen — dokumentieren, Toggle liefern — nicht in Interpunktion vergraben.
- Least Privilege + Isolation. Claude Code auf isoliertem Remote-Mac-Node ist eine tragfähige Architektur.
- Abwanderung + Regulierung. DSGVO und Marktwahl sind der ultimative Check — Art. 25 Privacy by Design gilt auch für KI-Dev-Tools.
Technologie kann neutral sein; ein Unternehmen nicht. Je fähiger das Modell, desto stärker muss sich der Anbieter selbst begrenzen — und das darf kein Geheimnis sein, das man nur per Binary-Reverse-Engineering findet.
8. FAQ
F: Ist Claude Code Spyware?
A: Nicht klassisch, aber ein nicht offengelegter, verschleierter Fingerabdruck in System-Prompts. Entfernt in 2.1.197. Am ehesten: nicht offengelegter Covert Channel.
F: Trackt Claude Code meine Zeitzone?
A: Prüfte Asia/Shanghai / Asia/Urumqi — nur mit nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkt-Nutzer unberührt.
F: Was ist der Apostroph-/Unicode-Trick?
A: Das Apostroph in „Today's“ wechselte zwischen U+0027, U+2019, U+02BC und U+02B9 — Domain-Match, KI-Lab-Match, beides oder keines.
F: Warum hat Anthropic das eingebaut?
A: Mutmaßlich Anti-Distillation und unautorisierten Weiterverkauf — legitimes Ziel, illegitime Umsetzung.
F: Ist das dasselbe wie Claude Desktop Spyware?
A: Nein. Vorfall A (April): Desktop schrieb still Browser-Native-Messaging-Manifeste. Vorfall B (30.6.): Code-Prompt-Steganographie — andere Produkte.
F: Sind normale Claude-Web-Nutzer betroffen?
A: Vorfall B nur bei Claude Code mit Custom-Proxy. Offizielle Endpunkt-Nutzer unberührt.
F: Wie entferne ich Claude-Desktop-Browser-Injektionsdateien?
A: com.anthropic.claude_browser_extension.json unter NativeMessagingHosts jedes Browsers löschen. Neustart kann Datei neu anlegen.
F: Was ist ANTHROPIC_BASE_URL-Fingerprinting?
A: Hostname ≠ api.anthropic.com → ca. 147 verschleierte Domain-Regeln + KI-Lab-Keywords, Ergebnis in Datumszeile kodiert.
9. Quellen
- The Register: Claude Desktop changes software permissions without consent (April 2026)
- Malwarebytes / gHacks / YOOTA: Claude Desktop Native Messaging
- thereallo.dev: Claude Code Prompt-Steganographie (Original-Reverse-Engineering)
- Tech Startups / TMC Insight / Developers Digest / TechTimes: Vorfall B und Fix 2.1.197
- Antiy Labs: Risikoanalyse hochprivilegierter Browser-Kanal Claude Desktop
10. Fazit: Hochprivilegierte AI-Agents verdienen isolierte Mac-Nodes
Die Claude-Code- und Claude-Desktop-Vorfälle zeigen: Desktop-AI-Agents sind bereits hochprivilegierte Programme — Filesystem, Shell und Browser-Kanäle außerhalb der Sandbox, wenn sie bare-metal auf dem Laptop laufen. Windows/Linux-Cloud-VMs können Claude-APIs aufrufen, scheitern aber bei Terminal-Toolchain, Xcode/Cursor-Synergie und Native-Messaging-Audit-Trails im Vergleich zu Apple-Silicon-Macs. Wer einen isolierten Claude-Code-Runtime mit Snapshot-Rollback und Least-Privilege-Audit braucht, sollte einen MACGPU Remote-Mac-Node prüfen: Claude Code / OpenClaw auf dediziertem Miet-Mac, Tunnel vom Laptop per SSH — aus „einem geheimen Apostroph“ wird eine steuerbare Architekturentscheidung statt passiver Vendor-Overreach.