2026 CLAUDE
CODE_
HIDDEN_
UNICODE.
TL;DR:2026年6月末、開発者が Claude Code(Claude Web アプリではありません)を逆解析したところ、カスタムプロキシ(ANTHROPIC_BASE_URL ≠ api.anthropic.com)経由の利用時に、システムプロンプトの Today's date is... 行をテキストステガノグラフィで書き換えていることが判明しました。日付区切り文字の切り替えと、見た目は同じ Unicode アポストロフィの差し替えにより、「中国タイムゾーンか」「中国関連ドメインや AI ラボキーワードに一致したか」という数ビットの情報をサーバーへ静かに送り返していました。Anthropic はバージョン 2.1.197 で関連コードを削除しました。目的はおそらく反蒸留・未許可転売対策ですが、問題は手法——目に見えず、難読化され、未開示だった点です。本記事では2つの独立事件を分離し、Unicode 対応表、HN 論争、5段階チェックリスト、FAQ を解説します。
1. 痛点整理:2つの事件を混同しないでください
今回の騒動は、関連はあるが独立した2つのストーリーが重なって拡散しました。混同すると HN やセキュリティコミュニティから指摘を受け、E-E-A-T を損ないます。公開前に必ず分けてください:
| 観点 | 事件 A:静かなブラウザ注入 | 事件 B:システムプロンプト隠し書き |
|---|---|---|
| 製品 | Claude Desktop(macOS クライアント) | Claude Code(CLI コーディングツール) |
| 告発者 | Alexander Hanff(プライバシー顾问、The Register 寄稿者) | 開発者によるバイナリ逆解析、thereallo.dev 公開、Reddit → HN で拡散 |
| 時期 | 2026年4月(4/18頃〜) | 2026年6月30日 |
| 核心行為 | Chrome/Edge/Brave/Arc 等へ com.anthropic.claude_browser_extension.json を静かに書き込み、3つの拡張機能 ID にサンドボックス外 chrome-native-host 呼び出しを事前許可;未インストールのブラウザ用ディレクトリも作成、削除後再起動で復活 | ANTHROPIC_BASE_URL が非公式の場合、Today's date is... 行をステガノグラフィで書き換え |
| 付けられたラベル | 「spyware / backdoor」 | 「prompt steganography / covert channel」 |
| トリガー | Claude Desktop のインストール/起動 | 非公式 Base URL 設定時のみ;毎回の会話ではない |
| Anthropic の対応 | 正式な公開声明なし;後続版で同意トグル追加 | コード存在を認め、7/1 に 2.1.197 で削除、changelog には未記載 |
独立コンサルタント Noah Kenney(Digital 520)は Hanff の主張が再現可能であることを確認しました。Antiy Labs(安天)は Claude Desktop の高権限ブラウザチャネルに関するリスク分析レポートを公開しています。事件 B の HN スレッドは数時間でフロントページに到達し、350+ points、100+ コメント——コミュニティは「合理的な反蒸留防御」vs「開発者ツールとしては悪意に近い」と分裂しました。
2. タイムライン:何が起きたか
| 日付 | 出来事 | バージョン/ソース |
|---|---|---|
| 2026-04-18〜 | Hanff が Claude Desktop の静かな Native Messaging 注入を告発 | The Register、Malwarebytes、gHacks |
| 2026-06-30 | 開発者が Claude Code を逆解析、プロンプト隠し書きを発見 | thereallo.dev → Reddit → HN |
| 2026-06-30 | 2.1.193 / 2.1.195 / 2.1.196 の3バージョンで存在を確認 | thereallo.dev |
| 2026-07-01 | Anthropic が 2.1.197 をリリース、関連コードを削除 | TechTimes、Developers Digest(changelog 未言及) |
3. 指紋の仕組み:Unicode 対応表(核心証拠)
重要な前提:ANTHROPIC_BASE_URL が api.anthropic.com 以外(プロキシ、ゲートウェイ、転売業者、OpenAI 互換レイヤー)を指す場合のみ発動します。公式エンドポイントでは改変されません。
発動時、無害に見える Today's date is ... 行の中に2つのシグナルが隠れます:
- 日付区切り:タイムゾーンが
Asia/ShanghaiまたはAsia/Urumqiの場合、2026-06-30が2026/06/30に変わります。 - アポストロフィ差し替え:
Today's内のアポストロフィを、見た目は同じ Unicode 別文字に置き換え、一致内容をエンコードします。
| 検出条件 | 日付 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト(一致なし) | 2026-06-30 | ' ASCII アポストロフィ | U+0027 |
| 中国関連組織/転売ドメイン | 2026-06-30 | ' 右シングルクォート | U+2019 |
| AI ラボキーワード(deepseek、moonshot、zhipu 等) | 2026-06-30 | ʼ 修飾レターアポストロフィ | U+02BC |
| ドメイン + ラボ両方 | 2026-06-30 | ʹ 修飾レタープライム | U+02B9 |
| + 中国タイムゾーン | 2026/06/30 | (上記と同様) | — |
ドメインとキーワードリストは base64 + XOR(キー 91) で軽度に難読化され、約 147 件のドメインパターンが含まれます。人間には普通のプロンプトに見えますが、Anthropic のバックエンドはアポストロフィ1文字のコードポイントから「VPN 越しだが実際は中国タイムゾーン——おそらく中国 AI ラボ」と判断できました。これが典型的な隠れチャネル(covert channel)です。
4. Anthropic はなぜこれを行ったのか:目的 vs 手段
コミュニティの主流見解は慎重ですが、これはほぼ確実に反蒸留・未許可転売対策でした。Anthropic、OpenAI、Google はすべて、競合が API 出力を大量収集して小モデルを訓練する「蒸留」を懸念しています。中国関連の転売業者、プロキシ、ラボが主要な疑いの対象でした。
目的は理解できますが、手段が問題です。分類シグナルを目に見えない句読点にし、バイナリ内で難読化し、すべてのリクエストに同梱する——信頼で成り立つ開発者ツールにとっては一線を越えています。HN では激しく対立しました:
- 防御派:「合理的な反蒸留——コードをログするよりマシ。」
- 反対派:「ファイルシステム + shell 権限 + 未開示テレメトリ——開発者ツールとしては悪意に近い。」
記事では「報告によると」「逆解析報告によれば」「alleged(申し立てられた)」等の表現を用います。目的(反蒸留)と手段(隠し書き)は分けて評価してください。
5. 本当にスパイウェアなのか?
「スパイウェア」は感情的なラベルです。より正確には:
- 事件 A は第三者ソフトウェアの無許可改変 + 休眠中の攻撃面の事前配置に近い。Claude for Chrome のプロンプトインジェクション成功率は、緩和なし 23.6%、緩和あり 11.2%(Anthropic 自社数値)。
- 事件 B は未開示テレメトリ / 隠れたユーザー分類に近い。
ラベルが何であれ、核心は同じです:知情同意なし、意図的に隠蔽。 LiteLLM ゲートウェイや企業内プロキシなど正当な用途でも事件 B は発動します——分類器は hostname だけでは「怪しい転売業者」と「内部 dev tool」を区別できません。
6. 5段階チェックリスト:確認と保護
- ANTHROPIC_BASE_URL を確認:未設定または公式エンドポイントなら事件 B は発動しません。LiteLLM/OpenRouter/企業ゲートウェイは分類対象でした(2.1.197 以前)。
- Claude Code を 2.1.197+ にアップグレード:Anthropic は隠し書きを削除しましたが、changelog には記載なし——アップグレード記録を残してください。
- macOS:Native Messaging マニフェストを確認——
~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json。必要に応じて削除;Claude Desktop が再生成する場合があります。 - タイムゾーンを確認:
Asia/Shanghai/Asia/Urumqiは日付区切りシグナルを追加(事件 B + プロキシ時のみ)。 - 企業/機密環境:デスクトップ Agent を本番で使い続けるか評価;最小権限、明示的同意、監査可能性が最低ラインです。
7. 深掘り:デスクトップ AI Agent は PC/スマホ初期のセキュリティ過ちを繰り返している
教訓は「アポストロフィ1文字」ではありません。モデル能力が急加速する一方でセキュリティ境界、同意、監査が遅れているとき、ベンダーは「UX」「乱用防止」を口実に、ユーザーと他社ソフトウェア間の信頼境界を一方的に越えがちです。
PC 時代のプリインストール bloatware、スマートフォン初期の権限乱用——これらがデスクトップ AI Agentで再演されています。Claude Desktop の Native Messaging 事前配置 + Claude Code の隠し指紋は、高権限ローカルプログラム + 未開示分類シグナルがデフォルトという姿を描いています。
Mac 開発者にとって意味すること:
- デフォルトは不信、証拠を要求。再現可能、監査可能、オフにできる——これが信頼の基準です。
- 隠蔽より開示。反蒸留は公然と行い、ドキュメント化し、トグルを提供——句読点に埋め込むべきではありません。
- 最小権限 + 分離。すべてのデスクトップ Agent を高権限プログラムとして扱い、隔離されたリモート Mac ノードで Claude Code を実行するのは有効なアーキテクチャ選択です。
- 足で投票 + 規制。GDPR 型の法規制と市場選択が、技術の無制限化を抑える最終手段です。
技術は中立でも、企業は中立ではありません。能力が大きいほど、ベンダー自身が制約すべき——それはバイナリを逆解析して初めて分かる秘密であるべきではありません。
8. FAQ
Q:Claude Code はスパイウェアですか?
A:従来型のスパイウェアではありませんが、未開示・難読化された指紋をシステムプロンプトに埋め込んでいました。2.1.197 で削除済み。「未開示の隠れチャネル」と表現するのがより正確です。
Q:Claude Code はタイムゾーンを検出しますか?
A:逆解析報告によると Asia/Shanghai / Asia/Urumqi を確認——非公式 ANTHROPIC_BASE_URL 時のみ。公式エンドポイントは影響なし。
Q:Today's date のアポストロフィ Unicode トリックとは?
A:Today's 内で U+0027 / U+2019 / U+02BC / U+02B9 を切り替え、ドメイン一致、AI ラボ一致、両方、いずれもなしをエンコード。
Q:Anthropic はなぜこれを追加したのですか?
A:おそらくモデル蒸留と未許可転売の検出——正当な目的、不適切な実装。
Q:Claude Desktop スパイウェア事件と同じですか?
A:いいえ。事件 A(4月)は Desktop のブラウザ Native Messaging 静かな書き込み。事件 B(6月30日)は Code プロンプト隠し書き——製品が異なります。
Q:通常の Claude Web ユーザーは影響を受けますか?
A:事件 B は Claude Code でプロキシ経由の場合のみ。公式エンドポイント利用者は影響なし。
Q:Claude Desktop のブラウザ注入ファイルを削除するには?
A:各ブラウザの NativeMessagingHosts フォルダから com.anthropic.claude_browser_extension.json を削除。再起動で再生成される場合あり。
Q:ANTHROPIC_BASE_URL 指紋の仕組みは?
A:ホスト名 ≠ api.anthropic.com の場合、約147件の難読化ドメインルールと AI ラボキーワードを照合し、結果を日付行にエンコード。
9. 参考ソース
- The Register:Claude Desktop changes software permissions without consent(2026年4月)
- Malwarebytes / gHacks / YOOTA:Claude Desktop native messaging 報道
- thereallo.dev:Claude Code prompt steganography(原典の逆解析)
- Tech Startups / TMC Insight / Developers Digest / TechTimes:事件 B 報道と 2.1.197 修正
- Antiy Labs(安天):Claude Desktop 高権限ブラウザチャネルリスク分析
10. まとめ:高権限 AI Agent には隔離 Mac ノードが適切
Claude Code と Claude Desktop の事件は、デスクトップ AI Agent はすでに高権限プログラムであることを示しています——ノート PC 上で裸で実行すると、ファイルシステム、shell、サンドボックス外ブラウザチャネルがすべて露出します。Windows/Linux クラウド VM でも Claude API は呼べますが、ターミナルツールチェーン、Xcode/Cursor 連携、Native Messaging 監査では Apple Silicon Mac に及びません。Claude Code 実行環境の隔離、スナップショットロールバック、最小権限監査が必要なら、MACGPU リモート Mac ノードをご検討ください——専用レンタル Mac で Claude Code / OpenClaw を実行し、ローカルは SSH トンネルのみ。「秘密のアポストロフィ」を、ベンダーの越権を受動的に受け入れるのではなく、管理可能なアーキテクチャ判断に変えられます。