Claude Code Systemprompt Unicode-Apostroph-Fingerprint und KI-Sicherheitsaudit

2026 Claude Code Steganographie: Wie Anthropic Sie mit einem Apostroph markiert

Ende Juni 2026 veröffentlichte thereallo.dev einen Reverse-Engineering-Bericht: Claude Code (nicht die Claude-Web-App) modifiziert bei nicht-offiziellem ANTHROPIC_BASE_URL die Systemprompt-Zeile Today's date is... per Textsteganographie — Datumsseparator und optisch identische Unicode-Apostrophe kodieren Zeitzonen- und Proxy-Signale, die an den Server zurückfließen. Anthropic entfernte den Code in 2.1.197 (1. Juli 2026, ohne Changelog-Eintrag). Wahrscheinliches Ziel: Anti-Distillation und Anti-Weiterverkauf; strittig bleiben Verschleierung und fehlende Offenlegung — unter DSGVO Art. 5 Abs. 1 lit. a (Transparenz) und Art. 6 (Rechtsgrundlage) relevant. Dieser Leitfaden trennt strikt Ereignis A (Claude Desktop, April) von Ereignis B (Claude Code, 30. Juni).

1. Drei Schmerzpunkte: Warum Entwickler jetzt die Claude-Toolchain prüfen müssen

  1. Vertrauensgrenze still überschritten: Laut The Register und Alexander Hanff schreibt Claude Desktop ohne Einwilligung Native-Messaging-Manifeste in Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium — Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte eine Risikoanalyse.
  2. Verdeckte Klassifikation in jedem Request: In Claude Code 2.1.193, 2.1.195 und 2.1.196 identische Steganographie-Logik; Domainliste ca. 147 Einträge, verschleiert per base64 + XOR(91); Keywords u. a. deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai.
  3. Offenlegung hinter Community-Fund: Anthropic bestätigte den Code, veröffentlichte 2.1.197 am 1. Juli 2026 ohne Changelog-Hinweis; HN-Thread 350+ Punkte, 100+ Kommentare — Spaltung zwischen „legitime Anti-Distillation“ und „für DevTools fast bösartig“.

2. Zwei Ereignisse trennen: Ereignis A vs. B

Technische Leser (HN, Reddit, Security-Community) erwarten Faktentrennung. Die folgende Tabelle unterscheidet zwei unabhängige, aber verwandte Vorfälle — Vermischung schadet E-E-A-T und SEO-Glaubwürdigkeit.

Dimension Ereignis A: Stille Browser-Injection Ereignis B: Systemprompt-Steganographie
Produkt Claude Desktop (macOS-Client) Claude Code (CLI-Coding-Tool)
Quelle Alexander Hanff (Privacy-Berater, The Register) Reverse Engineering, thereallo.dev; Reddit → HN
Zeitpunkt April 2026 (ca. 18.04.) 30. Juni 2026
Kernverhalten Schreibt com.anthropic.claude_browser_extension.json in NativeMessagingHosts; 3 Extension-IDs autorisiert für chrome-native-host außerhalb der Sandbox; Verzeichnisse auch ohne installierte Extension; Löschung wird nach Neustart wiederhergestellt Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die Zeile Today's date is... per Steganographie modifiziert
Bezeichnung Spyware / Backdoor Prompt steganography / covert channel
Auslöser Installation/Start von Claude Desktop Nur bei nicht-offizieller Base URL (Proxy); nicht bei jedem Gespräch zwingend
Anthropic-Reaktion Keine formelle Stellungnahme; später Opt-in-Schalter, Berechtigungsmodell unverändert Code bestätigt, 2.1.197 am 1.7. entfernt, Changelog ohne Erwähnung

3. Timeline und Versionsnummern

Datum Meilenstein
2026-04 Alexander Hanff in The Register: Claude Desktop Native-Messaging-Injection; Malwarebytes, gHacks, YOOTA berichten
2026-06-30 thereallo.dev veröffentlicht Reverse-Engineering-Bericht; HN-Thread erreicht Frontpage
2.1.193–2.1.196 Reverse Engineers bestätigen Steganographie in allen drei Versionen
2026-07-01 Anthropic veröffentlicht Claude Code 2.1.197, entfernt betroffenen Code (Changelog ohne Angabe)

4. Funktionsweise: Unicode-Mapping und Klartext

Voraussetzung laut Bericht: ANTHROPIC_BASE_URL zeigt auf nicht-offizielle Adresse (Proxy, Gateway, Drittanbieter-Reseller, OpenAI-kompatible Schicht). Offizieller Endpunkt api.anthropic.com: keine Modifikation.

Nach Auslösung zwei Operationen in der harmlosen Zeile Today's date is ...:

  1. Datumsseparator: Bei Systemzeitzone Asia/Shanghai oder Asia/Urumqi wird 2026-06-30 zu 2026/06/30.
  2. Apostroph-Ersatz: Das Zeichen in Today's wird durch visuell identische Unicode-Varianten ersetzt:
Erkanntes Muster Datumsformat Apostroph Unicode
Standard (kein Treffer) 2026-06-30 ' ASCII-Apostroph U+0027
Treffer China-Institution/Reseller-Domain 2026-06-30 ' rechter einfacher Anführungsstrich U+2019
Treffer China-KI-Labor-Keyword 2026-06-30 ʼ Modifikator-Apostroph U+02BC
Domain + Labor beide 2026-06-30 ʹ Modifikator-Prime U+02B9
Plus China-Zeitzone 2026/06/30 (Apostroph-Regeln wie oben)

Klartext: Der Request wirkt wie normaler englischer Prompt; das Backend liest Separator und Apostroph-Codepoint und klassifiziert den Nutzer — klassischer covert channel. Domain-/Keyword-Liste: base64 + XOR(91), ca. 147 Regeln. Spezifikation: XOR-Schlüssel 0x5B (dezimal 91), dekodiert nach Base64-Decode auf Domain-Strings und Labor-Keywords.

5. Anthropics Motiv: Anti-Distillation und HN-Debatte

Community-Konsens (vorsichtig formuliert): Ziel war Anti-Distillation und Anti-Weiterverkauf. Anthropic, OpenAI und Google haben wiederholt Bedenken zu API-Missbrauch für Modelltraining geäußert. China-bezogene Proxys, Reseller und Labore standen im Verdacht — daher die Markierungslogik.

Ziel nachvollziehbar, Mittel problematisch: Klassifikationssignale unsichtbar, Code verschleiert, in jeden Request eingebettet — für ein entwicklervertrauensbasiertes Tool eine rote Linie. Auf HN zwei Lager:

  • Pro-Verteidigung: „Legitime Anti-Distillation; technische Abwehr gegen API-Missbrauch ist nötig.“
  • Kritiker: „Für DevTools fast bösartig — undeclared, nicht abschaltbar, in Interpunktion versteckt.“

DSGVO-Perspektive: Profiling-artige Klassifikation ohne Transparenz kann Art. 13/14 (Informationspflicht) und Art. 22 (automatisierte Entscheidungen) berühren, sofern personenbezogene Daten verarbeitet werden. Absicht (Anti-Distillation) und Mittel (Steganographie) getrennt bewerten; Formulierungen wie „laut Bericht“ / „angeblich“ verwenden.

6. Spyware oder nicht: präzise Einordnung

„Spyware“ ist ein emotionales Label. Präziser:

  • Ereignis A: „Unbefugte Modifikation Drittanbieter-Software + vorbereitete Angriffsfläche“ — auch ohne aktive Ausnutzung wird ein Hochprivileg-Kanal außerhalb der Browser-Sandbox vorinstalliert. Anthropic nannte für Claude for Chrome Prompt-Injection-Erfolgsraten ohne Mitigation 23,6 %, mit Mitigation 11,2 %.
  • Ereignis B: „Undeklarierte verdeckte Telemetrie / Nutzerklassifikation“ — kein klassisches Keylogger-Malware, aber textbook covert channel; relevant für Verarbeitungsverzeichnis und DPIA.

Kernfrage unabhängig vom Label: Ohne informierte Einwilligung und mit absichtlicher Verschleierung.

7. Entscheidungsmatrix: Risiko und Szenarien

Nutzerszenario Ereignis A Ereignis B Empfohlene Maßnahme
Nur api.anthropic.com Mittel (Desktop kann injizieren) Keines Desktop Native Messaging prüfen; Code normal upgraden
Drittanbieter-Proxy/Gateway Mittel Hoch (≤ 2.1.196) Sofort 2.1.197+; Proxy-Vertrag und DSGVO prüfen
China-Zeitzone + Proxy Mittel Hoch (Datums- + Apostroph-Doppelsignal) Historische Klassifikation annehmen; auditierbare Umgebung
Enterprise CI/CD mit Claude Code Hoch Hoch Isolierter Knoten, Least Privilege, kein Desktop-Agent auf CI-Runner

8. Fünfstufige Prüf- und Schutzcheckliste

  1. ANTHROPIC_BASE_URL prüfen: echo $ANTHROPIC_BASE_URL. Leer oder api.anthropic.com → Ereignis B nicht ausgelöst; Proxy → Hochrisiko-Gruppe.
  2. Claude Code auf 2.1.197+ upgraden: Anthropic entfernte Steganographie am 1. Juli 2026. claude --version zur Verifikation.
  3. Native-Messaging-Manifeste scannen (Ereignis A):
    find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null
    Typische Pfade: ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ und Chromium-Varianten. Nach Löschung kann Claude Desktop neu schreiben.
  4. Zeitzone und Proxy-Domain: systemsetup -gettimezone (macOS); prüfen auf Asia/Shanghai oder Asia/Urumqi; Proxy-Domain gegen 147 Regeln des Berichts.
  5. Enterprise-Isolation (DSGVO): Claude Code von Build-Secrets und Produktionsrepos trennen; Desktop-Agent nicht auf CI-Runner; Verarbeitungsverzeichnis und AV-Vertrag aktualisieren; explizite Einwilligung dokumentieren.

9. KI-Anbieter-Übergriffe: DSGVO und Reaktion

Die Warnung liegt nicht im Apostroph, sondern darin, dass bei rasanten Modellfähigkeiten Sicherheitsgrenzen, Einwilligung und Audit hinterherhinken — Anbieter überschreiten Grenzen im Namen von „Experience“ oder „Missbrauchsschutz“. Desktop-AI-Agenten wiederholen PC- und Smartphone-Frühphasen-Fehler.

Praktische Reaktion für EU-Teams:

  1. Default-Distrust, evidenzbasiert: Reproduzierbar, auditierbar, abschaltbar — dann Vertrauen.
  2. Offenlegung statt Verstecken: Anti-Distillation ist möglich mit Transparenz und Opt-out — nicht in Interpunktion.
  3. Least Privilege + Isolation: Jeden Desktop-Agent als Hochprivileg-Programm behandeln.
  4. Regulierung und Markt: DSGVO, ePrivacy und Vertragswahl als Hebel gegen grenzenlose Technik.

Größere Fähigkeit erfordert stärkere Selbstbindung — kein Geheimnis, das erst Binary-Reverse-Engineering aufdeckt.

10. Häufige Fragen (FAQ)

F: Ist Claude Code Spyware?
Nicht klassisch, aber laut Bericht undeclared verschleierte Fingerabdrücke im Systemprompt; 2.1.197 entfernt. Präziser: undeclared covert channel.

F: Erkennt Claude Code die Zeitzone?
Nur bei nicht-offiziellem ANTHROPIC_BASE_URL: Asia/Shanghai oder Asia/Urumqi → Separator von - auf /.

F: Was ist der Unicode-Apostroph-Trick?
U+0027, U+2019, U+02BC, U+02B9 kodieren Domain-Treffer, Labor-Keyword, beides oder Standard.

F: Warum hat Anthropic das eingebaut?
Community: Anti-Distillation und unautorisierter API-Weiterverkauf — legitimes Ziel, inakzeptable Verschleierung.

F: Gleiches wie Claude Desktop Spyware?
Nein. Desktop-Injection = Ereignis A (April); Code-Steganographie = Ereignis B (30. Juni).

F: Betrifft Web-Claude?
Ereignis B nur Claude Code + nicht-offizielle Base URL.

F: Desktop-Injection-Datei löschen?
com.anthropic.claude_browser_extension.json in NativeMessagingHosts entfernen; Neustart kann wiederherstellen.

F: Anthropic noch vertrauen?
Abhängig von Risikotoleranz und DSGVO-Pflichten; evidenzbasiert entscheiden, nicht markenbasiert; Enterprise: unabhängiges Audit.

11. Quellen und Compliance-Hinweis

  • The Register: Claude Desktop changes software permissions without consent (2026-04)
  • Malwarebytes / gHacks / YOOTA: Claude Desktop Native Messaging
  • thereallo.dev: Claude Code prompt steganography (Original-Reverse-Engineering)
  • Tech Startups / TMC Insight / Developers Digest / TechTimes: Ereignis B und Fix 2.1.197
  • Antiy Labs: Risikoanalyse Hochprivileg-Browser-Kanal
  • Hacker News (350+ Punkte, Ende Juni 2026)

Basierend auf öffentlichen Berichten und Reverse-Engineering; Motiv (Anti-Distillation) und Mittel (Steganographie) getrennt bewertet; keine Rechtsberatung. DSGVO-Bezüge sind Orientierung für Compliance-Teams. Stand: 2026-07-03.

12. Remote Mac und SFTPMAC-Entscheidungsbrücke

Claude Code und Claude Desktop teilen ein Kernproblem: Wo läuft der Hochprivileg-Agent, und welche Daten teilt er die Umgebung? Auf dem Laptop oder CI-gemischten Rechner liegen Build-Secrets, SSH-Keys und Produktionsrepos in derselben Benutzerdomäne — bei Native-Messaging-Injection oder verdeckter Klassifikation ist die Angriffsfläche unkontrollierbar.

Robuster Ansatz: Claude Code und Agent-Workflows auf einen dedicated, dauerhaft erreichbaren macOS-Knoten isolieren — physisch getrennt von Browser, Desktop-Client und Alltagsumgebung; Arbeitsbereich per SFTP/rsync synchronisieren, Rollback und Audit ermöglichen. Konsistent mit KI-Coding-Assistenten-Vergleich und Claude Fable 5 Exportkontrolle.

Nächster Schritt bei Vertrauensgrenzen-Review: Agent von sensiblen Assets entkoppeln, auf isolierten, auditierbaren Apple-Silicon-Remote-Knoten. SFTPMAC Remote-Mac-Vermietung bietet 7×24-Umgebungen für Claude Code / OpenClaw: natives launchd, SSH/SFTP-Verzeichnis-Isolation, CI/CD-Sync — DSGVO-bewusster als „Heim-Mac als Agent + Alltagsbrowser“.