2026 CLAUDE
CODE_
HIDDEN_
UNICODE.

Claude Code system prompt showing U+2019 apostrophe fingerprint

TL;DR: 2026년 6월 말, 개발자가 Claude Code(Claude 웹 앱 아님)를 역공학한 결과, 커스텀 프록시(ANTHROPIC_BASE_URLapi.anthropic.com) 경로 사용 시 시스템 프롬프트의 Today's date is... 줄을 텍스트 스테가노그래피로 조용히 바꾸고 있었습니다. 날짜 구분자 전환과 눈에 보이기엔 같지만 다른 Unicode 아포스트로피 교체로 「중국 타임존 여부」「중국 관련 도메인·AI 랩 키워드 일치 여부」 몇 비트 정보를 서버로 몰래 실어 보냅니다. Anthropic은 버전 2.1.197에서 관련 코드를 제거했습니다. 목적은 아마 반증류·무단 재판매 대응이지만, 문제는 방법——눈에 안 보이고, 난독화되고, 미공개였다는 점입니다. 본문은 두 독립 사건을 분리하고, Unicode 매핑 표, HN 논쟁, 5단계 보호 체크리스트, FAQ를 제공합니다.

1. 핵심 정리: 두 사건을 혼동하지 마세요

이번 논란은 관련은 있지만 별개의 두 이야기가 겹쳐 확산된 것입니다. 혼동하면 HN·보안 커뮤니티에서 지적받고 E-E-A-T가 손상됩니다. 게시 전 반드시 구분하세요:

차원사건 A: 조용한 브라우저 주입사건 B: 시스템 프롬프트 스테가노그래피
제품Claude Desktop (macOS 클라이언트)Claude Code (CLI 코딩 도구)
폭로자Alexander Hanff (프라이버시 컨설턴트, The Register 기고자)개발자 바이너리 역공학, thereallo.dev 공개, Reddit → HN 확산
시기2026년 4월 (~4/18~)2026년 6월 30일
핵심 행위Chrome/Edge/Brave/Arc 등에 com.anthropic.claude_browser_extension.json을 조용히 기록, 3개 확장 ID에 샌드박스 밖 chrome-native-host 호출 사전 승인; 미설치 브라우저용 디렉터리도 생성, 삭제 후 재시작 시 복구ANTHROPIC_BASE_URL이 비공식일 때 Today's date is... 줄을 스테가노그래피로 재작성
붙은 라벨"spyware" / "backdoor""prompt steganography" / "covert channel"
트리거Claude Desktop 설치/시작비공식 Base URL 설정 시에만; 매 대화마다는 아님
Anthropic 대응공식 공개 성명 없음; 후속 버전에 동의 토글 추가코드 존재 인정, 7/1 2.1.197에서 제거, changelog 미언급

독립 컨설턴트 Noah Kenney(Digital 520)는 Hanff 주장이 재현 가능함을 확인했습니다. Antiy Labs(安天)는 Claude Desktop 고권한 브라우저 채널 위험 분석 보고서를 발표했습니다. 사건 B HN 스레드는 수 시간 내 프론트 페이지에 올라 350+ points, 100+ 댓글——커뮤니티는 「합리적 반증류 방어」vs 「개발자 도구로는 악의에 가깝다」로 분열했습니다.

2. 타임라인: 실제로 무슨 일이 있었나

날짜사건버전/출처
2026-04-18+Hanff, Claude Desktop 조용한 Native Messaging 주입 폭로The Register, Malwarebytes, gHacks
2026-06-30개발자 Claude Code 역공학, 프롬프트 스테가노그래피 발견thereallo.dev → Reddit → HN
2026-06-302.1.193 / 2.1.195 / 2.1.196 세 버전에서 존재 확인thereallo.dev
2026-07-01Anthropic 2.1.197 배포, 관련 코드 제거TechTimes, Developers Digest (changelog 미언급)

3. 지문 작동 방식: Unicode 매핑 표 (핵심 증거)

핵심 전제: ANTHROPIC_BASE_URLapi.anthropic.com이 아닌 곳(프록시, 게이트웨이, 재판매업체, OpenAI 호환 레이어)을 가리킬 때만 발동합니다. 공식 엔드포인트는 변경 없음.

발동 시, 무해해 보이는 Today's date is ... 줄 안에 두 신호가 숨겨집니다:

  1. 날짜 구분자: 타임존이 Asia/Shanghai 또는 Asia/Urumqi이면 2026-06-302026/06/30으로 바뀝니다.
  2. 아포스트로피 교체: Today's의 아포스트로피를 겉보기 같지만 다른 Unicode 문자로 바꿔 일치 내용을 인코딩합니다.
탐지 조건날짜아포스트로피Unicode
기본(일치 없음)2026-06-30' ASCII 아포스트로피U+0027
중국 관련 기관/재판매 도메인2026-06-30' 오른쪽 작은따옴표U+2019
AI 랩 키워드(deepseek, moonshot, zhipu 등)2026-06-30ʼ 수식 문자 아포스트로피U+02BC
도메인 + 랩 둘 다2026-06-30ʹ 수식 문자 프라임U+02B9
+ 중국 타임존2026/06/30(위와 동일)

도메인·키워드 목록은 base64 + XOR(키 91)로 경미하게 난독화되어 약 147개 도메인 패턴을 포함합니다. 사람에게는 평범한 프롬프트로 보이지만, Anthropic 백엔드는 아포스트로피 한 글자의 코드 포인트로 「VPN 뒤지만 실제 중국 타임존——아마 중국 AI 랩」을 판별할 수 있었습니다. 전형적인 은밀 채널(covert channel)입니다.

# 자가 점검: ANTHROPIC_BASE_URL 및 타임존 (프록시 사용자, 2.1.197 이전) echo "ANTHROPIC_BASE_URL=${ANTHROPIC_BASE_URL:-api.anthropic.com (default)}" echo "TZ=${TZ:-system default}" # Claude Code 2.1.197+ 업그레이드 — 스테가노그래피 제거됨

4. Anthropic은 왜 이랬나: 목적 vs 수단

커뮤니티 주류 견해는 신중하지만, 이는 거의 확실히 반증류·무단 재판매 대응이었습니다. Anthropic, OpenAI, Google 모두 경쟁사가 API 출력을 대량 수집해 소형 모델을 훈련하는 「증류」를 우려해 왔습니다. 중국 관련 재판매업체, 프록시, 랩이 주요 의심 대상이었습니다.

목적은 이해할 수 있지만, 수단이 문제입니다. 분류 신호를 눈에 안 보이는 구두점으로 만들고, 바이너리에서 난독화하고, 모든 요청에 실어 보내는 것——신뢰로 성장하는 개발자 도구에겐 선을 넘은 행위입니다. HN에서 격렬히 대립했습니다:

  • 방어파: 「합리적 반증류——코드 로깅보다 낫다.」
  • 반대파: 「파일시스템 + shell 권한 + 미공개 원격 측정——개발자 도구로는 악의에 가깝다.」

본문은 「보도에 따르면」「역공학 보고에 따르면」「alleged(주장된)」 등 표현을 사용합니다. 목적(반증류)과 수단(스테가노그래피)을 분리해 평가하세요.

5. 정말 스파이웨어인가?

「스파이웨어」는 감정적 라벨입니다. 더 정확히는:

  • 사건 A제3자 소프트웨어 무단 변조 + 휴면 공격면 사전 배치에 가깝습니다. Claude for Chrome 프롬프트 인젝션 성공률은 완화 없음 23.6%, 완화 있음 11.2%(Anthropic 자체 수치).
  • 사건 B미공개 원격 측정 / 은밀 사용자 분류에 가깝습니다.

라벨이 무엇이든 핵심은 같습니다: 사전 동의 없음, 의도적 은폐. LiteLLM 게이트웨이, 기업 내부 프록시 등 합법 시나리오도 사건 B를 트리거합니다——분류기는 hostname만으로 「수상한 재판매업체」와 「내부 dev tool」을 구분 못 합니다.

6. 5단계 체크리스트: 점검과 보호

  1. ANTHROPIC_BASE_URL 확인: 미설정 또는 공식 엔드포인트면 사건 B 미발동. LiteLLM/OpenRouter/기업 게이트웨이는 분류 대상이었음(2.1.197 이전).
  2. Claude Code 2.1.197+ 업그레이드: Anthropic이 스테가노그래피를 제거했지만 changelog 미언급——업그레이드 기록 보관.
  3. macOS: Native Messaging 매니페스트 점검——~/Library/Application Support/<브라우저>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json. 필요 시 삭제; Claude Desktop이 재생성할 수 있음.
  4. 타임존 확인: Asia/Shanghai / Asia/Urumqi는 날짜 구분자 신호 추가(사건 B + 프록시 시에만).
  5. 기업/민감 환경: 데스크톱 Agent를 프로덕션에 계속 쓸지 평가; 최소 권한, 명시적 승인, 감사 가능성이 최소 기준.

7. 심층: 데스크톱 AI Agent가 PC/스마트폰 초기 보안 실수를 반복하고 있다

교훈은 「아포스트로피 한 글자」가 아닙니다. 모델 역량이 급속히 오르는데 보안 경계, 동의, 감사가 뒤처지면, 벤더는 「UX」「남용 방지」를 명목으로 사용자·타사 소프트웨어 간 신뢰 경계를 일방적으로 넘깁니다.

PC 시대 사전 설치 bloatware, 초기 스마트폰 권한 남용——데스크톱 AI Agent에서 재연되고 있습니다. Claude Desktop Native Messaging 사전 배치 + Claude Code 스테가노그래피 지문은 고권한 로컬 프로그램 + 미공개 분류 신호가 기본값이라는 그림을 그립니다.

Mac 개발자에게 의미하는 바:

  • 기본은 불신, 증거를 요구. 재현 가능, 감사 가능, 끌 수 있음——이게 신뢰 기준.
  • 은폐보다 공개. 반증류는 공개적으로——문서화하고 토글 제공——구두점에 묻히면 안 됨.
  • 최소 권한 + 격리. 모든 데스크톱 Agent를 고권한 프로그램으로 취급; 격리된 원격 Mac 노드에서 Claude Code 실행은 타당한 아키텍처 선택.
  • 발로 투표 + 규제. GDPR형 법규와 시장 선택이 기술 무제한화를 막는 최종 수단.

기술은 중립적일 수 있지만 회사는 아닙니다. 역량이 클수록 벤더가 스스로 제약해야——바이너리 역공학으로만 알게 되는 비밀이어선 안 됩니다.

8. FAQ

Q: Claude Code는 스파이웨어인가요?
A: 전통적 스파이웨어는 아니지만, 미공개·난독화 지문을 시스템 프롬프트에 숨겼습니다. 2.1.197에서 제거. 「미공개 은밀 채널」이 더 정확.

Q: Claude Code가 타임존을 추적하나요?
A: 역공학 보고에 따르면 Asia/Shanghai / Asia/Urumqi 확인——비공식 ANTHROPIC_BASE_URL 시에만. 공식 엔드포인트 영향 없음.

Q: Today's date 아포스트로피 Unicode 트릭이란?
A: Today's에서 U+0027 / U+2019 / U+02BC / U+02B9 전환으로 도메인·AI 랩 일치, 둘 다, 둘 다 아님 인코딩.

Q: Anthropic은 왜 추가했나요?
A: 아마 모델 증류·무단 재판매 탐지——정당한 목표, 부적절한 구현.

Q: Claude Desktop 스파이웨어와 같나요?
A: 아닙니다. 사건 A(4월)는 Desktop 브라우저 Native Messaging 조용한 기록. 사건 B(6/30)는 Code 프롬프트 스테가노그래피——제품 다름.

Q: 일반 Claude 웹 사용자 영향?
A: 사건 B는 Claude Code + 프록시 경로만. 공식 엔드포인트 사용자 영향 없음.

Q: Claude Desktop 브라우저 주입 파일 삭제?
A: 각 브라우저 NativeMessagingHosts에서 com.anthropic.claude_browser_extension.json 삭제. 재시작 시 재생성 가능.

Q: ANTHROPIC_BASE_URL 지문 원리?
A: 호스트명 ≠ api.anthropic.com일 때 ~147개 난독화 도메인 규칙·AI 랩 키워드 대조 후 날짜 줄에 인코딩.

9. 출처

  • The Register: Claude Desktop changes software permissions without consent (2026년 4월)
  • Malwarebytes / gHacks / YOOTA: Claude Desktop native messaging 보도
  • thereallo.dev: Claude Code prompt steganography (원본 역공학)
  • Tech Startups / TMC Insight / Developers Digest / TechTimes: 사건 B 보도 및 2.1.197 수정
  • Antiy Labs(安天): Claude Desktop 고권한 브라우저 채널 위험 분석

10. 마무리: 고권한 AI Agent에는 격리 Mac 노드가 적합

Claude Code·Claude Desktop 사건은 데스크톱 AI Agent가 이미 고권한 프로그램임을 보여줍니다——노트북에 맨 실행하면 파일시스템, shell, 샌드박스 밖 브라우저 채널이 모두 노출됩니다. Windows/Linux 클라우드 VM도 Claude API는 호출 가능하지만, 터미널 툴체인, Xcode/Cursor 연동, Native Messaging 감사에서는 Apple Silicon Mac에 못 미칩니다. Claude Code 실행 환경 격리, 스냅샷 롤백, 최소 권한 감사가 필요하면 MACGPU 원격 Mac 노드를 고려하세요——전용 임대 Mac에서 Claude Code / OpenClaw 실행, 로컬은 SSH 터널만. 「비밀 아포스트로피」를 벤더 과잉을 수동 수용하는 대신 관리 가능한 아키텍처 결정으로 바꿀 수 있습니다.