2026 Claude Code Steganographie: Wie Anthropic Sie mit einem Apostroph markiert
Ende Juni 2026 veröffentlichte thereallo.dev einen Reverse-Engineering-Bericht: Claude Code (nicht die Claude-Web-App) modifiziert bei nicht-offiziellem ANTHROPIC_BASE_URL die Systemprompt-Zeile Today's date is... per Textsteganographie — Datumsseparator und optisch identische Unicode-Apostrophe kodieren Zeitzonen- und Proxy-Signale, die an den Server zurückfließen. Anthropic entfernte den Code in 2.1.197 (1. Juli 2026, ohne Changelog-Eintrag). Wahrscheinliches Ziel: Anti-Distillation und Anti-Weiterverkauf; strittig bleiben Verschleierung und fehlende Offenlegung — unter DSGVO Art. 5 Abs. 1 lit. a (Transparenz) und Art. 6 (Rechtsgrundlage) relevant. Dieser Leitfaden trennt strikt Ereignis A (Claude Desktop, April) von Ereignis B (Claude Code, 30. Juni).
1. Drei Schmerzpunkte: Warum Entwickler jetzt die Claude-Toolchain prüfen müssen
- Vertrauensgrenze still überschritten: Laut The Register und Alexander Hanff schreibt Claude Desktop ohne Einwilligung Native-Messaging-Manifeste in Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium — Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte eine Risikoanalyse.
- Verdeckte Klassifikation in jedem Request: In Claude Code 2.1.193, 2.1.195 und 2.1.196 identische Steganographie-Logik; Domainliste ca. 147 Einträge, verschleiert per base64 + XOR(91); Keywords u. a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.
- Offenlegung hinter Community-Fund: Anthropic bestätigte den Code, veröffentlichte 2.1.197 am 1. Juli 2026 ohne Changelog-Hinweis; HN-Thread 350+ Punkte, 100+ Kommentare — Spaltung zwischen „legitime Anti-Distillation“ und „für DevTools fast bösartig“.
2. Zwei Ereignisse trennen: Ereignis A vs. B
Technische Leser (HN, Reddit, Security-Community) erwarten Faktentrennung. Die folgende Tabelle unterscheidet zwei unabhängige, aber verwandte Vorfälle — Vermischung schadet E-E-A-T und SEO-Glaubwürdigkeit.
| Dimension | Ereignis A: Stille Browser-Injection | Ereignis B: Systemprompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS-Client) | Claude Code (CLI-Coding-Tool) |
| Quelle | Alexander Hanff (Privacy-Berater, The Register) | Reverse Engineering, thereallo.dev; Reddit → HN |
| Zeitpunkt | April 2026 (ca. 18.04.) | 30. Juni 2026 |
| Kernverhalten | Schreibt com.anthropic.claude_browser_extension.json in NativeMessagingHosts; 3 Extension-IDs autorisiert für chrome-native-host außerhalb der Sandbox; Verzeichnisse auch ohne installierte Extension; Löschung wird nach Neustart wiederhergestellt |
Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die Zeile Today's date is... per Steganographie modifiziert |
| Bezeichnung | Spyware / Backdoor | Prompt steganography / covert channel |
| Auslöser | Installation/Start von Claude Desktop | Nur bei nicht-offizieller Base URL (Proxy); nicht bei jedem Gespräch zwingend |
| Anthropic-Reaktion | Keine formelle Stellungnahme; später Opt-in-Schalter, Berechtigungsmodell unverändert | Code bestätigt, 2.1.197 am 1.7. entfernt, Changelog ohne Erwähnung |
3. Timeline und Versionsnummern
| Datum | Meilenstein |
|---|---|
| 2026-04 | Alexander Hanff in The Register: Claude Desktop Native-Messaging-Injection; Malwarebytes, gHacks, YOOTA berichten |
| 2026-06-30 | thereallo.dev veröffentlicht Reverse-Engineering-Bericht; HN-Thread erreicht Frontpage |
| 2.1.193–2.1.196 | Reverse Engineers bestätigen Steganographie in allen drei Versionen |
| 2026-07-01 | Anthropic veröffentlicht Claude Code 2.1.197, entfernt betroffenen Code (Changelog ohne Angabe) |
4. Funktionsweise: Unicode-Mapping und Klartext
Voraussetzung laut Bericht: ANTHROPIC_BASE_URL zeigt auf nicht-offizielle Adresse (Proxy, Gateway, Drittanbieter-Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt api.anthropic.com: keine Modifikation.
Nach Auslösung zwei Operationen in der harmlosen Zeile Today's date is ...:
- Datumsseparator: Bei Systemzeitzone
Asia/ShanghaioderAsia/Urumqiwird2026-06-30zu2026/06/30. - Apostroph-Ersatz: Das Zeichen in
Today'swird durch visuell identische Unicode-Varianten ersetzt:
| Erkanntes Muster | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| Treffer China-Institution/Reseller-Domain | 2026-06-30 | ' rechter einfacher Anführungsstrich | U+2019 |
| Treffer China-KI-Labor-Keyword | 2026-06-30 | ʼ Modifikator-Apostroph | U+02BC |
| Domain + Labor beide | 2026-06-30 | ʹ Modifikator-Prime | U+02B9 |
| Plus China-Zeitzone | 2026/06/30 | (Apostroph-Regeln wie oben) | — |
Klartext: Der Request wirkt wie normaler englischer Prompt; das Backend liest Separator und Apostroph-Codepoint und klassifiziert den Nutzer — klassischer covert channel. Domain-/Keyword-Liste: base64 + XOR(91), ca. 147 Regeln. Spezifikation: XOR-Schlüssel 0x5B (dezimal 91), dekodiert nach Base64-Decode auf Domain-Strings und Labor-Keywords.
5. Anthropics Motiv: Anti-Distillation und HN-Debatte
Community-Konsens (vorsichtig formuliert): Ziel war Anti-Distillation und Anti-Weiterverkauf. Anthropic, OpenAI und Google haben wiederholt Bedenken zu API-Missbrauch für Modelltraining geäußert. China-bezogene Proxys, Reseller und Labore standen im Verdacht — daher die Markierungslogik.
Ziel nachvollziehbar, Mittel problematisch: Klassifikationssignale unsichtbar, Code verschleiert, in jeden Request eingebettet — für ein entwicklervertrauensbasiertes Tool eine rote Linie. Auf HN zwei Lager:
- Pro-Verteidigung: „Legitime Anti-Distillation; technische Abwehr gegen API-Missbrauch ist nötig.“
- Kritiker: „Für DevTools fast bösartig — undeclared, nicht abschaltbar, in Interpunktion versteckt.“
DSGVO-Perspektive: Profiling-artige Klassifikation ohne Transparenz kann Art. 13/14 (Informationspflicht) und Art. 22 (automatisierte Entscheidungen) berühren, sofern personenbezogene Daten verarbeitet werden. Absicht (Anti-Distillation) und Mittel (Steganographie) getrennt bewerten; Formulierungen wie „laut Bericht“ / „angeblich“ verwenden.
6. Spyware oder nicht: präzise Einordnung
„Spyware“ ist ein emotionales Label. Präziser:
- Ereignis A: „Unbefugte Modifikation Drittanbieter-Software + vorbereitete Angriffsfläche“ — auch ohne aktive Ausnutzung wird ein Hochprivileg-Kanal außerhalb der Browser-Sandbox vorinstalliert. Anthropic nannte für Claude for Chrome Prompt-Injection-Erfolgsraten ohne Mitigation 23,6 %, mit Mitigation 11,2 %.
- Ereignis B: „Undeklarierte verdeckte Telemetrie / Nutzerklassifikation“ — kein klassisches Keylogger-Malware, aber textbook covert channel; relevant für Verarbeitungsverzeichnis und DPIA.
Kernfrage unabhängig vom Label: Ohne informierte Einwilligung und mit absichtlicher Verschleierung.
7. Entscheidungsmatrix: Risiko und Szenarien
| Nutzerszenario | Ereignis A | Ereignis B | Empfohlene Maßnahme |
|---|---|---|---|
| Nur api.anthropic.com | Mittel (Desktop kann injizieren) | Keines | Desktop Native Messaging prüfen; Code normal upgraden |
| Drittanbieter-Proxy/Gateway | Mittel | Hoch (≤ 2.1.196) | Sofort 2.1.197+; Proxy-Vertrag und DSGVO prüfen |
| China-Zeitzone + Proxy | Mittel | Hoch (Datums- + Apostroph-Doppelsignal) | Historische Klassifikation annehmen; auditierbare Umgebung |
| Enterprise CI/CD mit Claude Code | Hoch | Hoch | Isolierter Knoten, Least Privilege, kein Desktop-Agent auf CI-Runner |
8. Fünfstufige Prüf- und Schutzcheckliste
- ANTHROPIC_BASE_URL prüfen:
echo $ANTHROPIC_BASE_URL. Leer oderapi.anthropic.com→ Ereignis B nicht ausgelöst; Proxy → Hochrisiko-Gruppe. - Claude Code auf 2.1.197+ upgraden: Anthropic entfernte Steganographie am 1. Juli 2026.
claude --versionzur Verifikation. - Native-Messaging-Manifeste scannen (Ereignis A):
Typische Pfade:find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null~/Library/Application Support/Google/Chrome/NativeMessagingHosts/und Chromium-Varianten. Nach Löschung kann Claude Desktop neu schreiben. - Zeitzone und Proxy-Domain:
systemsetup -gettimezone(macOS); prüfen auf Asia/Shanghai oder Asia/Urumqi; Proxy-Domain gegen 147 Regeln des Berichts. - Enterprise-Isolation (DSGVO): Claude Code von Build-Secrets und Produktionsrepos trennen; Desktop-Agent nicht auf CI-Runner; Verarbeitungsverzeichnis und AV-Vertrag aktualisieren; explizite Einwilligung dokumentieren.
9. KI-Anbieter-Übergriffe: DSGVO und Reaktion
Die Warnung liegt nicht im Apostroph, sondern darin, dass bei rasanten Modellfähigkeiten Sicherheitsgrenzen, Einwilligung und Audit hinterherhinken — Anbieter überschreiten Grenzen im Namen von „Experience“ oder „Missbrauchsschutz“. Desktop-AI-Agenten wiederholen PC- und Smartphone-Frühphasen-Fehler.
Praktische Reaktion für EU-Teams:
- Default-Distrust, evidenzbasiert: Reproduzierbar, auditierbar, abschaltbar — dann Vertrauen.
- Offenlegung statt Verstecken: Anti-Distillation ist möglich mit Transparenz und Opt-out — nicht in Interpunktion.
- Least Privilege + Isolation: Jeden Desktop-Agent als Hochprivileg-Programm behandeln.
- Regulierung und Markt: DSGVO, ePrivacy und Vertragswahl als Hebel gegen grenzenlose Technik.
Größere Fähigkeit erfordert stärkere Selbstbindung — kein Geheimnis, das erst Binary-Reverse-Engineering aufdeckt.
10. Häufige Fragen (FAQ)
F: Ist Claude Code Spyware?
Nicht klassisch, aber laut Bericht undeclared verschleierte Fingerabdrücke im Systemprompt; 2.1.197 entfernt. Präziser: undeclared covert channel.
F: Erkennt Claude Code die Zeitzone?
Nur bei nicht-offiziellem ANTHROPIC_BASE_URL: Asia/Shanghai oder Asia/Urumqi → Separator von - auf /.
F: Was ist der Unicode-Apostroph-Trick?
U+0027, U+2019, U+02BC, U+02B9 kodieren Domain-Treffer, Labor-Keyword, beides oder Standard.
F: Warum hat Anthropic das eingebaut?
Community: Anti-Distillation und unautorisierter API-Weiterverkauf — legitimes Ziel, inakzeptable Verschleierung.
F: Gleiches wie Claude Desktop Spyware?
Nein. Desktop-Injection = Ereignis A (April); Code-Steganographie = Ereignis B (30. Juni).
F: Betrifft Web-Claude?
Ereignis B nur Claude Code + nicht-offizielle Base URL.
F: Desktop-Injection-Datei löschen?com.anthropic.claude_browser_extension.json in NativeMessagingHosts entfernen; Neustart kann wiederherstellen.
F: Anthropic noch vertrauen?
Abhängig von Risikotoleranz und DSGVO-Pflichten; evidenzbasiert entscheiden, nicht markenbasiert; Enterprise: unabhängiges Audit.
11. Quellen und Compliance-Hinweis
- The Register: Claude Desktop changes software permissions without consent (2026-04)
- Malwarebytes / gHacks / YOOTA: Claude Desktop Native Messaging
- thereallo.dev: Claude Code prompt steganography (Original-Reverse-Engineering)
- Tech Startups / TMC Insight / Developers Digest / TechTimes: Ereignis B und Fix 2.1.197
- Antiy Labs: Risikoanalyse Hochprivileg-Browser-Kanal
- Hacker News (350+ Punkte, Ende Juni 2026)
Basierend auf öffentlichen Berichten und Reverse-Engineering; Motiv (Anti-Distillation) und Mittel (Steganographie) getrennt bewertet; keine Rechtsberatung. DSGVO-Bezüge sind Orientierung für Compliance-Teams. Stand: 2026-07-03.
12. Remote Mac und SFTPMAC-Entscheidungsbrücke
Claude Code und Claude Desktop teilen ein Kernproblem: Wo läuft der Hochprivileg-Agent, und welche Daten teilt er die Umgebung? Auf dem Laptop oder CI-gemischten Rechner liegen Build-Secrets, SSH-Keys und Produktionsrepos in derselben Benutzerdomäne — bei Native-Messaging-Injection oder verdeckter Klassifikation ist die Angriffsfläche unkontrollierbar.
Robuster Ansatz: Claude Code und Agent-Workflows auf einen dedicated, dauerhaft erreichbaren macOS-Knoten isolieren — physisch getrennt von Browser, Desktop-Client und Alltagsumgebung; Arbeitsbereich per SFTP/rsync synchronisieren, Rollback und Audit ermöglichen. Konsistent mit KI-Coding-Assistenten-Vergleich und Claude Fable 5 Exportkontrolle.
Nächster Schritt bei Vertrauensgrenzen-Review: Agent von sensiblen Assets entkoppeln, auf isolierten, auditierbaren Apple-Silicon-Remote-Knoten. SFTPMAC Remote-Mac-Vermietung bietet 7×24-Umgebungen für Claude Code / OpenClaw: natives launchd, SSH/SFTP-Verzeichnis-Isolation, CI/CD-Sync — DSGVO-bewusster als „Heim-Mac als Agent + Alltagsbrowser“.