Claude Code システムプロンプト Unicode 単一引用符指紋と AI セキュリティ監査のイメージ

2026 Claude Code 隠し文字事件:Anthropic が単一引用符で付ける指紋タグの全解説

2026 年 6 月末、thereallo.dev の逆アセンブル報告により、開発者は Claude Code(Claude Web 版ではありません)が ANTHROPIC_BASE_URL を非公式プロキシに向けた際、テキスト隠し文字(ステガノグラフィ)でシステムプロンプトの Today's date is... 行を書き換え、日付区切り文字と肉眼では判別困難な Unicode 単一引用符を使い、「中国タイムゾーンか」「中国ドメイン/AI ラボに該当するか」といったビット情報をサーバーへ密かに送り返していたことを突き止めました。Anthropic は 2.1.197 で関連コードを削除済みです(changelog 未記載)。主目的は反モデル蒸留/反転売と見られますが、手法が極めて隠蔽的で意図的に難読化されていた点が論争の核心です。2026 年 4 月の Claude Desktop 静かなブラウザ注入事件と混同されがちですが、本稿では厳密に区別します。

1. 三大痛点:なぜ今 Claude ツールチェーンを監査すべきか

  1. 信頼境界の静かな越境:The Register と Hanff 氏の報告によれば、Claude Desktop はユーザー無知のまま複数ブラウザに Native Messaging マニフェストを書き込み、サンドボックス外の高権限チャネルを事前承認します。独立コンサルタント Noah Kenney(Digital 520)が技術的主張の再現性を確認し、Antiy Labs も専門リスク分析を公開しました。
  2. 隠蔽分類信号が毎リクエストに埋め込まれる:逆アセンブル報告によれば、Claude Code 2.1.193/2.1.195/2.1.196 の三バージョンすべてに隠し文字ロジックが存在します。ドメインリストは約 147 件base64 + XOR(91) で軽度難読化され、deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai などのキーワードを含みます。
  3. 開示がコミュニティ発見に後れを取る:Anthropic はコード存在を認め 7/1 に 2.1.197 を公開して削除しましたが、changelog には言及がありません。HN スレッドは数時間でトップ入りし、350+ points、100+ コメント。コミュニティは「合理的な反蒸留防御」と「開発者ツールとしては悪意に近い」の二派に分裂しました。

2. 混同厳禁:事件 A vs 事件 B 対照表

英語圏の技術読者(HN/Reddit/セキュリティ界)は事実精度を重視します。以下の対照表は、関連はあるが独立した二事件を区別するためのものです。混同した叙述は E-E-A-T と SEO 信頼性を損ないます。

次元 事件 A:静かなブラウザ注入 事件 B:システムプロンプト隠し文字
対象製品 Claude Desktop(macOS クライアント) Claude Code(CLI コーディングツール)
情報源 Alexander Hanff(プライバシーコンサルタント、The Register 寄稿者) 開発者によるバイナリ逆アセンブル、thereallo.dev 公開、Reddit → HN 拡散
時期 2026 年 4 月(約 4/18 以降) 2026 年 6 月 30 日
核心行為 Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium へ com.anthropic.claude_browser_extension.json を静かに書き込み、3 つの拡張 ID にサンドボックス外 chrome-native-host 呼び出しを事前承認。ブラウザ未インストールでもディレクトリを事前作成し、削除後再起動で復活 ANTHROPIC_BASE_URL ≠ api.anthropic.com のとき、システムプロンプトの Today's date is... 行を隠し文字で書き換え
呼ばれる名称 spyware/backdoor(スパイウェア/バックドア) prompt steganography/covert channel(プロンプト隠し文字/隠蔽チャネル)
発動条件 Claude Desktop のインストール/起動で即発動 非公式 Base URL(プロキシ)設定時のみ。毎会話必ずではない
Anthropic の対応 公式声明なし。後続版で承認スイッチ追加も、根底の権限モデルは未解消 コード存在を認め、7/1 に 2.1.197 で削除。changelog 未記載

3. タイムラインと主要バージョン

日付 マイルストーン
2026-04 Alexander Hanff が The Register で Claude Desktop Native Messaging 静かな注入を暴露。Malwarebytes、gHacks、YOOTA などが続報
2026-06-30 thereallo.dev が Claude Code プロンプト隠し文字の逆アセンブル報告を公開。HN スレッドが急上昇
2.1.193–2.1.196 逆アセンブル担当者が三バージョンすべてに隠し文字ロジック存在を確認
2026-07-01 Anthropic が Claude Code 2.1.197 を公開し関連コードを削除(changelog 非公表)

4. 隠し文字の仕組み:Unicode マッピング表と平易解説

重要な前提(逆アセンブル報告に基づく):ANTHROPIC_BASE_URL を非公式アドレス(プロキシ、ゲートウェイ、第三者転売、OpenAI 互換レイヤー)に向けた場合のみ発動します。公式 api.anthropic.com では手を加えません。

発動後、プログラムは次の二つの操作を、無害に見える Today's date is ... 一行に隠します。

  1. 日付区切りの変更:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、2026-06-302026/06/30 になります。
  2. 引用符の置換Today's 内のアポストロフィを、見た目は同じだが Unicode が異なる文字に差し替え、「何に該当したか」をエンコードします。
検出状況 日付形式 引用符文字 Unicode
デフォルト(該当なし) 2026-06-30 ' 標準 ASCII アポストロフィ U+0027
中国機関/販売代理ドメイン命中 2026-06-30 ' 右シングルクォート U+2019
中国 AI ラボキーワード命中 2026-06-30 ʼ 修飾レターアポストロフィ U+02BC
ドメイン + ラボ両方命中 2026-06-30 ʹ 修飾レタープライム U+02B9
中国タイムゾーン重ね合わせ 2026/06/30 (引用符ルールは上記と同じ)

平易に言えば:リクエストは普通の英語プロンプトに見えますが、サーバー側は日付区切りと引用符の Unicode コードポイントを見るだけで、「海外 VPN 利用だが実際は中国 TZ、しかも某 AI ラボ疑い」といったタグ付けが可能です。これが典型的な隠蔽チャネル(covert channel)です。ドメイン・キーワードリストは base64 + XOR(91) で難読化され、約 147 件のルールがあります。

5. Anthropic の動機:反蒸留と HN 二派論争

コミュニティの主流見解(比較的穏当)では、目的は反蒸留 + 未許可転売対策です。Anthropic、OpenAI、Google はいずれも、競合が API 出力を大量取得して小モデルを蒸留(distillation)することを懸念してきました。中国関連のプロキシ、転売、ラボが重点監視対象となり、この「タグ付け」ロジックが追加されたと見られます。

目的は理解できるが、手段が問題:分類信号を肉眼不可視にし、意図的に難読化して毎リクエストに埋め込む行為は、開発者の信頼に依存するツールとしては信頼の赤線を踏みます。HN では二派が激しく議論しました。

  • 防御派:「正当な反蒸留防御であり、API 乱用は技術的手段で抑止すべき。」
  • 批判派:「開発者ツールとしては悪意に近い——未開示、オフ不可、句読点に隠蔽。」

主流解釈では、Anthropic の意図は未許可転売 + モデル蒸留の検出であり、個人監視ではないとされます。論点は手段(隠蔽、難読化、不開示)にあります。本稿は「報告によれば/逆アセンブル報告によれば/alleged」等の表現で、意図を確定事実として扱いません。

6. スパイウェアと呼べるか:陣営別の精確な位置づけ

「スパイウェア」は感情的なラベルです。より正確には次のとおりです。

  • 事件 A は「無許可の第三者ソフト改変 + 休眠攻撃面の予約」に近い——現時点で悪用されていなくても、ブラウザサンドボックス外の高権限チャネルを事前に敷いています。Anthropic 自ら公表した Claude for Chrome のプロンプト注入成功率(緩和なし 23.6%、緩和あり 11.2%)を加味すると、リスクは現実的です。
  • 事件 B は「未開示の隠蔽テレメトリ/ユーザー分類」に近い——従来型のファイル窃取やキーロガーではありませんが、教科書的 covert channel です。

spyware という語を使うかどうかに関わらず、核心は一つです:ユーザー知情同意なく、かつ意図的に隠蔽されている。

7. 意思決定マトリクス:リスクレベルと適用シナリオ

ユーザーシナリオ 事件 A リスク 事件 B リスク 推奨アクション
公式 api.anthropic.com のみ 中(Desktop は注入の可能性) なし Desktop Native Messaging を監査。Code は通常アップグレード可
第三者プロキシ/ゲートウェイ経由 高(2.1.196 以下) 直ちに 2.1.197+ へ。プロキシのコンプライアンス評価
中国 TZ + プロキシ 高(日付/区切り二重信号) 過去リクエストは分類済みと仮定。監査可能環境へ移行
企業 CI/CD に Claude Code 統合 ノード隔離、最小権限、Desktop Agent 混在禁止

8. 五手順セルフチェックと防御リスト

以下は macOS 開発環境を想定した、再現可能な手順です。各ステップ完了後、結果を記録しておくことをお勧めします。

  1. ANTHROPIC_BASE_URL の確認:ターミナルで echo $ANTHROPIC_BASE_URL を実行します。空、または api.anthropic.com を指す場合、事件 B は発動しません。プロキシ URL の場合、高リスク分類対象となります。シェル設定ファイル(~/.zshrc 等)も併せて確認してください。
  2. Claude Code を 2.1.197 以上にアップグレード:2026 年 7 月 1 日リリース版で隠し文字コードが削除されています。claude --version でバージョンを確認し、古い場合は公式インストーラまたはパッケージマネージャで更新します。更新後、再度バージョン表示で反映を確認してください。
  3. Native Messaging マニフェストのスキャン(事件 A):次のコマンドで注入ファイルを検索します。
    find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null
    典型的なパスは ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ および各 Chromium 系ブラウザの同名ディレクトリです。見つかった場合は内容をバックアップのうえ削除できますが、Claude Desktop 再起動で再生成される点にご注意ください。
  4. タイムゾーンとプロキシドメインの照合systemsetup -gettimezone(macOS)で Asia/Shanghai または Asia/Urumqi か確認します。使用中のプロキシドメインが逆アセンブル報告の 147 ルールに該当するか、thereallo.dev の公開情報と照合してください。
  5. 企業/機密環境の隔離:Claude Code をビルド秘密鍵・本番リポジトリから専用ノードに分離します。Desktop Agent と CI Runner の同一ユーザー権限共有を禁止し、明示的承認と監査ログを必須化します。必要に応じてリモート Mac ノードへの移行を検討してください。

9. AI ベンダーの越境:私たちの対応策

本件の本質的警告は「一つの引用符」ではなく、モデル能力の急拡大に対しセキュリティ境界・承認・監査が大幅に遅れている点にあります。ベンダーは「体験/乱用防止」を名目に、ユーザーと他ソフトウェアベンダー間の信頼境界を一方的に越境しやすくなります。PC やスマートフォン黎明期のセキュリティ問題が、デスクトップ AI Agent で再演されています。

ユーザーおよび実務者として取れる対応は次のとおりです。

  1. デフォルト不信、証拠で判断:再現可能・監査可能・オフ可能なものだけが信頼に値します。
  2. 「開示こそ正義」を要求:反蒸留は公然と説明しスイッチを提供すべきで、句読点に隠すべきではありません。
  3. 最小権限 + 境界隔離:あらゆるデスクトップ Agent を高権限プログラムとして扱います。
  4. 足で投票 + 制度拘束:GDPR 等の規制と市場選択が、「技術無制限」を抑える最終力です。

技術に立場はなくとも、企業には立場が必要です。能力が大きいほど自己規律が求められる——それはユーザーがバイナリを逆アセンブルして初めて知る秘密であるべきではありません。

10. よくある質問 FAQ

Q:Claude Code はスパイウェアですか?
従来型のスパイウェアではありませんが、逆アセンブル報告によれば未開示・難読化された指紋をシステムプロンプトに埋め込んでいました。Anthropic は 2.1.197 で削除済みです。より正確には「未開示の隠蔽チャネル」です。

Q:Claude Code はタイムゾーンを検出しますか?
報告によれば、非公式 ANTHROPIC_BASE_URL 時のみ Asia/Shanghai または Asia/Urumqi を確認し、日付区切りを - から / に変更します。

Q:単一引用符 Unicode trick の具体的内容は?
Today's のアポストロフィが U+0027、U+2019、U+02BC、U+02B9 間で切り替わり、ドメイン命中、ラボキーワード、両方、デフォルトをエンコードします。

Q:Anthropic が追加した理由は?
主流見解はモデル蒸留と未許可 API 転売の検出です。合法的な目的だが、隠蔽実装が問題です。

Q:Claude Desktop スパイウェア事件と同じですか?
いいえ。Desktop 静かな注入は 2026 年 4 月の独立事件 A。Code 隠し文字は 6 月 30 日の事件 B です。

Q:通常の Claude Web ユーザーは影響を受けますか?
事件 B は Claude Code で非公式 Base URL 使用時のみ。公式エンドポイントユーザーは影響なしです。

Q:Desktop 注入ファイルの削除方法は?
NativeMessagingHosts から com.anthropic.claude_browser_extension.json を削除。Desktop 再起動で再生成の可能性あり。

Q:Anthropic を信頼すべきですか?
リスク許容度とコンプライアンス要件次第です。ブランド信頼ではなく再現可能な証拠に基づき判断し、企業環境では独立監査を推奨します。

11. 参考ソースとコンプライアンス注記

  • The Register:Claude Desktop changes software permissions without consent(2026-04)
  • Malwarebytes/gHacks/YOOTA:Claude Desktop native messaging 報道
  • thereallo.dev:Claude Code prompt steganography(原典逆アセンブル)
  • Tech Startups/TMC Insight/Developers Digest/TechTimes:事件 B 報道と Anthropic 2.1.197 修正
  • Antiy Labs:Claude Desktop 高権限ブラウザチャネルリスク分析
  • Hacker News 議論スレッド(350+ points、2026-06-30 前後)

本稿は公開報道と逆アセンブル報告に基づき整理しました。動機(反蒸留)と手段(隠し文字)は分けて評価し、Anthropic の意図は「コミュニティ見解/逆アセンブル報告」と明記し、法的結論ではありません。最終更新:2026-07-03。

12. リモート Mac と SFTPMAC 意思決定ブリッジ

Claude Code と Claude Desktop の権限問題は、本質的に「高権限 Agent をどこで動かし、何と共存させるか」です。ノート PC や CI 混在のローカルで Claude Code を走らせると、Native Messaging 注入や隠蔽分類が発生した際、ビルド秘密鍵・SSH 鍵・本番リポジトリが同一ユーザー権限下にあり、リスク面が制御不能になります。

より堅実なパスは、Claude Code と Agent ワークフローを専用の常時オンライン macOS ノードに隔離し、ローカル日常環境・ブラウザ設定・Desktop クライアントと物理分離することです。SFTP/rsync でワークスペースと設定スナップショットを同期し、ロールバックと監査を確保します。これは当サイト《AI コーディングアシスタント比較》《Claude Fable 5 輸出規制》の「リモート Mac 7×24 Agent ノード」提言と一貫しています。

Claude ツールチェーンの信頼境界を評価中であれば、次の一手は通常Agent と機密資産の分離、隔離・監査可能な Apple Silicon リモートノードへの配置です。SFTPMAC リモート Mac レンタルは Claude Code/OpenClaw 向け常時オンライン環境を提供します:launchd 常駐、SSH/SFTP ディレクトリ隔離、CI/CD 成果物同期の運用基線——「家庭用 Mac を Agent + 日常ブラウザ兼用」より、最小権限とコンプライアンス記録が必要なチームに適しています。