2026 CLAUDE
CODE_
VERSTECKTER_
UNICODE.

Claude Code System-Prompt mit U+2019-Apostroph-Fingerabdruck

TL;DR: Ende Juni 2026 entdeckte ein Entwickler beim Reverse-Engineering von Claude Code (nicht der Claude-Web-App), dass bei Routing über einen Custom-Proxy (ANTHROPIC_BASE_URLapi.anthropic.com) die Zeile Today's date is... im System-Prompt still umgeschrieben wird. Durch Datumsseparator und visuell identische, aber unterschiedliche Unicode-Zeichen im Apostroph codiert der Client, ob Sie in einer China-Zeitzone sind und ob Ihr Endpunkt China-Domains oder KI-Lab-Keywords matcht. Anthropic entfernte den Code in Version 2.1.197. Wahrscheinliches Ziel: Anti-Distillation — das Problem ist die Methode: unsichtbar, verschleiert, nicht offengelegt. Für EU-Teams relevant: DSGVO Art. 5/13 (Transparenz, Rechtsgrundlage). Dieser Beitrag trennt zwei Vorfälle, liefert die Unicode-Mapping-Tabelle, HN-Debatte, 5-Schritte-Checkliste und FAQ.

1. Schmerzpunkte: Zwei getrennte Vorfälle — nicht vermischen

Die Story explodierte als zwei distinkte, aber verwandte Vorfälle. Wer sie vermischt, wird auf HN korrigiert — und verliert E-E-A-T. Trennen Sie vor der Veröffentlichung:

DimensionVorfall A: Stille Browser-InjektionVorfall B: System-Prompt-Steganographie
ProduktClaude Desktop (macOS-Client)Claude Code (CLI-Coding-Tool)
OffenlegerAlexander Hanff (Privacy-Berater, The Register)Entwickler, Reverse-Engineering, veröffentlicht auf thereallo.dev, Reddit → HN
TimelineApril 2026 (~18.4. onward)30. Juni 2026
KernverhaltenSchreibt still com.anthropic.claude_browser_extension.json in Chrome/Edge/Brave/Arc etc.; pre-authorisiert 3 Extension-IDs für chrome-native-host außerhalb der Browser-Sandbox; legt Verzeichnisse auch für nicht installierte Browser an; regeneriert nach LöschungBei nicht-offiziellem ANTHROPIC_BASE_URL wird die Zeile Today's date is... per Steganographie umgeschrieben
Labels„Spyware“ / „Backdoor“„Prompt-Steganographie“ / „Covert Channel“
TriggerInstallation/Start Claude DesktopNur bei nicht-offiziellem Base URL; nicht jede Konversation
Anthropic-ReaktionKeine formelle öffentliche Stellungnahme; später Consent-ToggleCode bestätigt; entfernt in 2.1.197 am 1.7., Changelog schweigt

Der unabhängige Berater Noah Kenney (Digital 520) bestätigte Hanffs Reproduzierbarkeit. Antiy Labs veröffentlichte eine dedizierte Risikoanalyse des hochprivilegierten Browser-Kanals von Claude Desktop. Der HN-Thread zu Vorfall B erreichte innerhalb von Stunden die Frontpage — 350+ Punkte, 100+ Kommentare — gespalten zwischen „vertretbare Anti-Distillation“ und „malware-nahes Verhalten für ein Dev-Tool“.

2. Timeline: Was tatsächlich passierte

DatumEreignisVersion / Quelle
2026-04-18+Hanff legt stille Native-Messaging-Injektion von Claude Desktop offenThe Register, Malwarebytes, gHacks
2026-06-30Entwickler reverse-engineert Claude Code, findet Prompt-Steganographiethereallo.dev → Reddit → HN
2026-06-30Verifiziert in Versionen 2.1.193 / 2.1.195 / 2.1.196thereallo.dev
2026-07-01Anthropic liefert 2.1.197 mit Code-EntfernungTechTimes, Developers Digest (Changelog ohne Erwähnung)

3. Funktionsweise: Unicode-Mapping-Tabelle

Voraussetzung: Trigger nur wenn ANTHROPIC_BASE_URLapi.anthropic.com (Proxy, Gateway, Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt = keine Änderung.

Bei Trigger verstecken sich zwei Signale in der harmlosen Zeile Today's date is ...:

  1. Datumsseparator: bei Zeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.
  2. Apostroph-Tausch: das Apostroph in Today's wird durch ein optisch gleiches Unicode-Zeichen ersetzt, das den Match kodiert.
Erkannte BedingungDatumApostrophUnicode
Default (kein Match)2026-06-30' ASCII-ApostrophU+0027
China-verknüpfte Org/Reseller-Domain2026-06-30' Right Single QuoteU+2019
KI-Lab-Keyword (deepseek, moonshot, zhipu…)2026-06-30ʼ Modifier Letter ApostropheU+02BC
Domain und Lab2026-06-30ʹ Modifier Letter PrimeU+02B9
+ China-Zeitzone2026/06/30(wie oben)

Domain-/Keyword-Listen sind mit Base64 + XOR (Key 91) verschleiert — ca. 147 Domain-Muster. Für Menschen wirkt der Prompt normal. Für Anthropics Backend verrät ein Codepoint: „Nutzer hinter VPN, aber China-Zeitzone — möglicherweise chinesisches KI-Lab.“

# Selbstcheck: ANTHROPIC_BASE_URL und Zeitzone (nur Proxy-Nutzer, pre-2.1.197) echo "ANTHROPIC_BASE_URL=${ANTHROPIC_BASE_URL:-api.anthropic.com (default)}" echo "TZ=${TZ:-System-Default}" # Upgrade auf Claude Code 2.1.197+ — Steganographie entfernt

4. Warum hat Anthropic das getan? Absicht vs. Methode

Community-Konsens ist gemessen: fast sicher Anti-Distillation und Erkennung unautorisierten Weiterverkaufs. Anthropic, OpenAI und Google haben öffentlich vor Wettbewerbern gewarnt, die API-Outputs für kleinere Modelle harvesten. China-verknüpfte Reseller, Proxys und Labs stehen im Verdacht.

Die Absicht ist vertretbar; die Methode nicht. Ein Klassifikationssignal in unsichtbare Interpunktion zu verwandeln, im Binary zu verschleiern und bei jedem Request mitzuschicken — in einem Dev-Tool, das vom Vertrauen lebt — überschreitet eine Grenze. HN spaltete sich:

  • Pro: „Vertretbare Anti-Distillation — weniger invasiv als Code-Logging.“
  • Contra: „Malware-nahes Verhalten für ein Tool mit Filesystem-, Shell- und nicht offengelegter Telemetrie.“

Formulieren Sie mit „mutmaßlich“ / „laut Reverse-Engineering-Bericht“. Trennen Sie Ziel (Anti-Distillation) von Mittel (Steganographie). Für DSGVO-Verantwortliche: Art. 13 Informationspflicht und Art. 6 Rechtsgrundlage fehlen — das ist kein rein technisches Detail, sondern Compliance-Risiko.

5. Ist es tatsächlich Spyware?

„Spyware“ ist ein Loaded Term. Präziser:

  • Vorfall A ist näher an unautorisiertem Eingriff in Drittsoftware + vorbereiteter Angriffsfläche. Anthropics eigene Zahlen: Claude-for-Chrome Prompt-Injection-Erfolg 23,6 % (unmitigiert) / 11,2 % (mitigiert).
  • Vorfall B ist näher an nicht offengelegter Telemetrie / verdeckter Nutzerklassifizierung.

Kernproblem in beiden Fällen: keine informierte Einwilligung, absichtlich verborgen. Legitime LiteLLM-Gateways und Unternehmens-Proxys triggern Vorfall B — der Klassifizierer unterscheidet nicht zuverlässig zwischen Reseller und internem Dev-Tool allein am Hostnamen.

6. Fünf-Schritte-Checkliste: Prüfen und schützen

  1. ANTHROPIC_BASE_URL prüfen: unset oder offizieller Endpunkt → Vorfall B triggert nicht. LiteLLM/OpenRouter/Unternehmens-Gateways wurden klassifiziert (pre-2.1.197).
  2. Claude Code auf 2.1.197+ upgraden: Steganographie entfernt, Changelog schweigt — Upgrade-Protokoll führen.
  3. macOS: Native-Messaging-Manifeste unter ~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json prüfen. Bei Bedarf löschen; Claude Desktop legt sie ggf. neu an.
  4. Zeitzone prüfen: Asia/Shanghai / Asia/Urumqi addiert Datumsseparator-Signal (Vorfall B + Proxy only).
  5. Enterprise / DSGVO-Umgebungen: Desktop-Agents als hochprivilegierte Programme behandeln — Least Privilege, explizite Autorisierung, auditierbares Verhalten, DPIA dokumentieren.

7. Deep Dive: Desktop-AI-Agents wiederholen frühe PC/Smartphone-Sicherheitsfehler

Die Lektion ist nicht „ein Apostroph“. Wenn Modellfähigkeit vor Sicherheitsgrenzen, Consent und Auditierbarkeit rennt, überschreiten Anbieter die Vertrauensgrenze im Namen von „UX“ oder „Missbrauchsprävention“.

Wir kennen das — vorinstallierte PC-Bloatware, frühe Smartphone-Permission-Missbräuche — und es wiederholt sich bei Desktop-AI-Agents. Claude Desktop mit Native-Messaging-Kanälen + Claude Code mit steganographischen Fingerabdrücken: hochprivilegierte lokale Programme + nicht offengelegte Klassifikation als Default, nicht als Opt-in.

Was wir tun können:

  • Default: Misstrauen; Beweise verlangen. Reproduzierbar, auditierbar, abschaltbar — das ist die Vertrauenslatte.
  • Offenlegung statt Verbergung. Distillation offen bekämpfen — dokumentieren, Toggle liefern — nicht in Interpunktion vergraben.
  • Least Privilege + Isolation. Claude Code auf isoliertem Remote-Mac-Node ist eine tragfähige Architektur.
  • Abwanderung + Regulierung. DSGVO und Marktwahl sind der ultimative Check — Art. 25 Privacy by Design gilt auch für KI-Dev-Tools.

Technologie kann neutral sein; ein Unternehmen nicht. Je fähiger das Modell, desto stärker muss sich der Anbieter selbst begrenzen — und das darf kein Geheimnis sein, das man nur per Binary-Reverse-Engineering findet.

8. FAQ

F: Ist Claude Code Spyware?
A: Nicht klassisch, aber ein nicht offengelegter, verschleierter Fingerabdruck in System-Prompts. Entfernt in 2.1.197. Am ehesten: nicht offengelegter Covert Channel.

F: Trackt Claude Code meine Zeitzone?
A: Prüfte Asia/Shanghai / Asia/Urumqi — nur mit nicht-offiziellem ANTHROPIC_BASE_URL. Offizielle Endpunkt-Nutzer unberührt.

F: Was ist der Apostroph-/Unicode-Trick?
A: Das Apostroph in „Today's“ wechselte zwischen U+0027, U+2019, U+02BC und U+02B9 — Domain-Match, KI-Lab-Match, beides oder keines.

F: Warum hat Anthropic das eingebaut?
A: Mutmaßlich Anti-Distillation und unautorisierten Weiterverkauf — legitimes Ziel, illegitime Umsetzung.

F: Ist das dasselbe wie Claude Desktop Spyware?
A: Nein. Vorfall A (April): Desktop schrieb still Browser-Native-Messaging-Manifeste. Vorfall B (30.6.): Code-Prompt-Steganographie — andere Produkte.

F: Sind normale Claude-Web-Nutzer betroffen?
A: Vorfall B nur bei Claude Code mit Custom-Proxy. Offizielle Endpunkt-Nutzer unberührt.

F: Wie entferne ich Claude-Desktop-Browser-Injektionsdateien?
A: com.anthropic.claude_browser_extension.json unter NativeMessagingHosts jedes Browsers löschen. Neustart kann Datei neu anlegen.

F: Was ist ANTHROPIC_BASE_URL-Fingerprinting?
A: Hostname ≠ api.anthropic.com → ca. 147 verschleierte Domain-Regeln + KI-Lab-Keywords, Ergebnis in Datumszeile kodiert.

9. Quellen

  • The Register: Claude Desktop changes software permissions without consent (April 2026)
  • Malwarebytes / gHacks / YOOTA: Claude Desktop Native Messaging
  • thereallo.dev: Claude Code Prompt-Steganographie (Original-Reverse-Engineering)
  • Tech Startups / TMC Insight / Developers Digest / TechTimes: Vorfall B und Fix 2.1.197
  • Antiy Labs: Risikoanalyse hochprivilegierter Browser-Kanal Claude Desktop

10. Fazit: Hochprivilegierte AI-Agents verdienen isolierte Mac-Nodes

Die Claude-Code- und Claude-Desktop-Vorfälle zeigen: Desktop-AI-Agents sind bereits hochprivilegierte Programme — Filesystem, Shell und Browser-Kanäle außerhalb der Sandbox, wenn sie bare-metal auf dem Laptop laufen. Windows/Linux-Cloud-VMs können Claude-APIs aufrufen, scheitern aber bei Terminal-Toolchain, Xcode/Cursor-Synergie und Native-Messaging-Audit-Trails im Vergleich zu Apple-Silicon-Macs. Wer einen isolierten Claude-Code-Runtime mit Snapshot-Rollback und Least-Privilege-Audit braucht, sollte einen MACGPU Remote-Mac-Node prüfen: Claude Code / OpenClaw auf dediziertem Miet-Mac, Tunnel vom Laptop per SSH — aus „einem geheimen Apostroph“ wird eine steuerbare Architekturentscheidung statt passiver Vendor-Overreach.