ANTHROPIC_BASE_URL ≠ api.anthropic.com) die Zeile Today's date is... im Systemprompt still umgeschrieben wird. Durch Wechsel des Datumstrennzeichens und Austausch des Apostrophs gegen visuell identische, aber unterschiedliche Unicode-Zeichen wird kodiert, ob Sie in einer China-Zeitzone sind und ob Ihr Endpunkt China-verknüpfte Domains oder AI-Lab-Keywords trifft. Anthropic entfernte den Code in Version 2.1.197. Dieser Artikel trennt strikt Vorfall A (stille Browser-Injection durch Claude Desktop) von Vorfall B (Prompt-Steganografie in Claude Code), erklärt die Unicode-Mapping-Tabelle, Anti-Destillation-Motiv, HN-Debatte, Sechs-Schritte-Schutz und den Umgang mit AI-Anbieter-Übergriffen — inklusive DSGVO-relevanter Einordnung. Siehe auch unseren AI-Coding-Assistenten-Vergleich und MCP-Protokoll-Leitfaden.Was geschah bei der Claude-Code-Steganografie? Zwei getrennte Vorfälle — nicht verwechseln
Kurz gesagt: Diese Kontroverse ist eigentlich zwei voneinander unabhängige Geschichten, die sich überlagern. Wer sie vermischt, wird von englischsprachigen Tech-Lesern auf HN, Reddit und in Security-Kreisen sofort korrigiert — und schadet E-E-A-T. Immer getrennt halten:
| Dimension | Vorfall A: Stille Browser-Injection | Vorfall B: Systemprompt-Steganografie |
|---|---|---|
| Produkt | Claude Desktop (macOS-Client) | Claude Code (CLI-Coding-Tool) |
| Enthüller | Alexander Hanff (Privacy-Berater, The Register-Autor) | Entwickler reverse-engineerte Binary, veröffentlicht auf thereallo.dev, verstärkt via Reddit → Hacker News |
| Zeitachse | April 2026 (ab ca. 18.4.) | 30. Juni 2026 |
| Kernverhalten | Schreibt still Native-Messaging-Manifest com.anthropic.claude_browser_extension.json in Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium, autorisiert 3 Extension-IDs für sandbox-externen chrome-native-host; legt Verzeichnisse auch für nicht installierte Browser an; Datei wird nach Löschung beim Neustart neu erzeugt | Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com (Proxy/Gateway) wird die Zeile Today's date is... per Steganografie umgeschrieben |
| Bezeichnungen | „Spyware“ / „Backdoor“ | „Prompt-Steganografie“ / „verdeckter Kanal“ |
| Auslöser | Installation/Start von Claude Desktop | Nur bei nicht offiziellem Base-URL; nicht jede Konversation |
| Anthropic-Reaktion | Keine formelle öffentliche Stellungnahme; spätere Versionen mit Autorisierungs-Toggle, aber zugrunde liegendes Berechtigungsmodell laut Analyse nicht vollständig entfernt | Existenz des Codes bestätigt; Entfernung in 2.1.197 am 1.7., nicht im Changelog erwähnt |
Vorfall A (laut Hanffs Offenlegung und unabhängiger Reproduktion): Nach Installation von Claude Desktop schreibt es still Native-Messaging-Konfigurationen in mehrere Browser-Verzeichnisse und autorisiert Extensions, ein lokales Binary außerhalb der Browser-Sandbox mit vollen Benutzerrechten aufzurufen. Es legt sogar Verzeichnisse für nicht installierte Browser an. Manuelles Löschen — Neustart erzeugt die Datei neu. Unabhängiger Berater Noah Kenney (Digital 520) bestätigte die Reproduzierbarkeit; Antiy Labs veröffentlichte eine dedizierte Risikoanalyse.
Vorfall B (laut thereallo.dev Reverse Engineering): Ein Entwickler fand Prompt-Steganografie in Claude Code — Fokus dieses Beitrags. Der HN-Thread erreichte innerhalb weniger Stunden die Frontseite: 350+ Punkte, 100+ Kommentare, Community gespalten zwischen „vernünftige Anti-Destillation“ und „malware-nahes Verhalten für ein Dev-Tool“.
Zwei Produkte vermischen: Claude-Desktop-Browser-Injection und Claude-Code-Prompt-Steganografie sind völlig verschiedene Mechanismen mit unterschiedlichen Auslösern.
Offizielle Endpunkte als betroffen annehmen: Vorfall B greift nur, wenn ANTHROPIC_BASE_URL woanders als api.anthropic.com zeigt.
Absicht als bewiesene Tatsache behandeln: Anti-Destillation ist Community-Konsens, aber Anthropic hat es nicht öffentlich bestätigt. „angeblich“, „laut Reverse Engineering“, „berichtet“ verwenden.
Persistenz von Vorfall A ignorieren: Native-Messaging-Manifeste werden nach Löschung beim Neustart von Claude Desktop neu erzeugt — laufende Überwachung nötig.
Desktop-Agent-Privilegien unterschätzen: Anthropics eigene Zahlen: Claude-for-Chrome-Prompt-Injection-Erfolg 23,6 % (unmitigiert) / 11,2 % (mitigiert) — echtes Risiko kombiniert mit Hochprivileg-Kanälen.
Wie funktioniert der Claude-Code-Fingerabdruck? Unicode-Apostroph-Mapping erklärt
Voraussetzung: Dies greift nur, wenn ANTHROPIC_BASE_URL woanders als der offizielle Endpunkt zeigt (Proxy, Gateway, Reseller, OpenAI-kompatible Schicht). Bei api.anthropic.com wird nichts verändert.
Bei Auslösung verstecken sich zwei Signale in der harmlos wirkenden Zeile Today's date is ...:
| Erkannte Bedingung | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-verknüpfte Org/Reseller-Domain | 2026-06-30 | ' rechtes einfaches Anführungszeichen | U+2019 |
| AI-Lab-Keyword (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai …) | 2026-06-30 | ʼ Modifikatorbuchstabe Apostroph | U+02BC |
| Domain und Lab beide getroffen | 2026-06-30 | ʹ Modifikatorbuchstabe Prime | U+02B9 |
| + China-Zeitzone (Asia/Shanghai / Asia/Urumqi) | 2026/06/30 | (gleiche Regeln oben) | — |
Domain- und Keyword-Listen sind leicht verschleiert mit base64 + XOR (Schlüssel 91) — rund 147 Domain-Muster. Keywords umfassen deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai und weitere. Der Reverse Engineer bestätigte Versionen 2.1.193 / 2.1.195 / 2.1.196 mit der Logik.
echo $ANTHROPIC_BASE_URL timedatectl | grep "Time zone" find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null
Für Menschen sieht der Prompt völlig normal aus. Anthropics Backend liest aus einem Apostroph-Unicode-Codepoint: „Dieser Nutzer steht hinter einem VPN, ist aber tatsächlich in einer China-Zeitzone — möglicherweise ein chinesisches AI-Lab.“ Ein Lehrbuch-verdeckter Kanal.
Zeitzone und Unicode-Apostroph-Details sind vollständig verifiziert, basierend auf dem thereallo.dev-Reverse-Engineering-Bericht und konsistent mit öffentlicher Community-Diskussion.
Warum hat Anthropic das getan? Ist Claude Code wirklich Spyware?
Der gemäßigte Community-Konsens: Dies war fast sicher Anti-Destillation und Anti-unautorisiertes-Reselling. Anthropic, OpenAI und Google haben alle öffentlich Sorge vor Wettbewerbern geäußert, die API-Ausgaben für kleinere Modelle ernten. China-verknüpfte Reseller, Proxies und Labs sind Hauptverdächtige — daher der Klassifikator.
Die Absicht ist vertretbar; die Methode nicht. Ein Klassifikationssignal in unsichtbare Interpunktion zu verwandeln, im Binary zu verschleiern und bei jeder Anfrage mitzusenden — in einem Entwickler-Tool, das vom Vertrauen lebt — überschreitet eine Grenze. Auf Hacker News spaltete sich der Thread hart:
| Lager | Sicht |
|---|---|
| Anti-Destillation-Lager | „Vernünftige Anti-Destillation“ — Schutz des Modells vor Wettbewerber-Output-Harvesting |
| Entwickler-Vertrauen-Lager | „Malware-nahes Verhalten für ein Dev-Tool“ — nicht offengelegt, verschleiert, in Interpunktion vergraben ist inakzeptabel |
„Spyware“ ist ein aufgeladenes Wort. Präziser:
Vorfall A liegt näher an unbefugter Manipulation fremder Software plus einer schlafenden, vorpositionierten Angriffsfläche — auch ungenutzt installiert es einen Hochprivileg-Kanal außerhalb der Browser-Sandbox.
Vorfall B liegt näher an nicht offengelegter Telemetrie / verdeckter Nutzerklassifikation — kein klassisches datenstehlendes Malware, aber ohne informierte Einwilligung — relevant auch unter DSGVO-Transparenzanforderungen.
Welches Label auch immer: Das Kernproblem bleibt keine informierte Einwilligung, absichtlich versteckt. Die Mainstream-Lesart: Anthropic wollte unautorisiertes Reselling und Modell-Destillation erkennen, nicht Einzelpersonen überwachen; die Kontroverse betrifft die Methode (verdeckt, verschleiert, nicht offengelegt), nicht das Ziel.
Compliance-Hinweis: „angeblich“, „laut Reverse Engineering“ und „berichtet“ durchgängig verwenden. Absicht nicht als bewiesene Tatsache darstellen. Zweck (Anti-Destillation) und Methode (Steganografie) getrennt bewerten — unter EU-Recht (DSGVO) ist verdeckte Profilbildung ohne Transparenz problematisch.
Selbstprüfung und Schutz: Sechs-Schritte-Leitfaden für Claude-Code-Nutzer
Ob Sie Claude Code über einen Proxy routen oder Claude Desktop auf macOS betreiben — diese Schritte sind reproduzierbar und auditierbar:
ANTHROPIC_BASE_URL prüfen: echo $ANTHROPIC_BASE_URL ausführen. Leer oder api.anthropic.com — Vorfall B greift nicht. Drittanbieter-Gateways/Reseller sind betroffen.
Claude Code aktualisieren: CLI-Version ≥ 2.1.197 (1. Juli 2026, Steganografie entfernt). claude --version zur Prüfung.
Zeitzonen-Umgebung prüfen: timedatectl oder date +%Z. Systemzeitzone Asia/Shanghai oder Asia/Urumqi plus Proxy — Datumstrennzeichen-Signal wurde historisch überlagert.
Native-Messaging-Manifeste auditieren (Vorfall A): Unter ~/Library/Application Support/<Browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json suchen. Bei Bedarf löschen — Claude Desktop kann beim Neustart neu anlegen.
Claude-Desktop-Autorisierungs-Toggles prüfen: Spätere Versionen mit Toggle, aber laut Security-Community-Analyse Berechtigungsmodell nicht vollständig entfernt. Unternehmen sollten Desktop-Agenten in Produktion evaluieren.
In Enterprise-/sensiblen Umgebungen isolieren: Jeden Desktop-AI-Agenten als Hochprivileg-Programm behandeln — Least Privilege, explizite Autorisierung, auditierbares Verhalten. Agent-Hosting: Hilfezentrum.
claude --version find ~/Library/Application\ Support -path "*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.zprofile 2>/dev/null
Was das bedeutet: AI-Anbieter-Übergriffe und wie wir reagieren sollten
Die eigentliche Lektion ist nicht „ein Apostroph“. Es ist: Wenn Modellfähigkeit rasant wächst, während Sicherheitsgrenzen, Einwilligung und Auditierbarkeit hinterherhinken, werden Anbieter weiter die Vertrauensgrenze zu Nutzern (und anderen Software-Herstellern) im Namen von „UX“ oder „Missbrauchsprävention“ überschreiten.
147 Regeln: Domain/Keyword-Listen verschleiert via base64 + XOR(91); bestätigt in Versionen 2.1.193–2.1.196 (thereallo.dev).
HN-Reichweite: Thread innerhalb weniger Stunden auf der Frontseite — 350+ Punkte, 100+ Kommentare, Community tief gespalten (Hacker News, 30.6.2026).
Claude-for-Chrome-Injection-Raten: Laut Anthropics eigener Offenlegung — 23,6 % unmitigiert, 11,2 % mitigiert — echtes Risiko kombiniert mit Vorfall As Hochprivileg-Kanal.
| Prinzip | Maßnahme |
|---|---|
| Standardmäßig misstrauen; Beweise verlangen | Reproduzierbar, auditierbar und abschaltbar ist die Vertrauenslatte |
| Offenlegung statt Verbergung | Destillation offen bekämpfen — dokumentieren, Toggle liefern, nicht in Interpunktion vergraben |
| Least Privilege + Isolation | Jeden Desktop-Agenten als Hochprivileg-Programm behandeln |
| Mit den Füßen abstimmen + Regulierung | DSGVO und Marktwahl sind die ultimative Kontrolle über „Technologie ohne Grenzen“ — verdeckte Nutzerklassifikation ohne Rechtsgrundlage ist in der EU nicht haltbar |
Quellen: The Register (Claude-Desktop-Berechtigungsänderungen, 2026-04); Malwarebytes / gHacks / YOOTA (Native-Messaging-Berichte); thereallo.dev (originales Claude-Code-Reverse-Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (2.1.197-Fix); Antiy-Labs-Risikoanalyse.
Alternativen betrachten: Claude Desktop nackt auf einem privaten Mac mit Multi-Browser-Native-Messaging lässt Hochprivileg-Kanäle und Injection-Flächen schwer auditierbar; vollständige Abhängigkeit von Drittanbieter-Claude-Resellern exponiert langfristig gegen nicht offengelegte Fingerabdrücke; virtualisiertes macOS für Agenten verletzt Apples EULA und bricht Xcode-Signing. Für produktive AI-Agent-Umgebungen mit iOS-CI/CD, vollem Root und 7×24-Stabilität ist KVMNODE dedizierte Mac-Mini-M4-Cloud-Miete meist der bessere Weg: 100 % physische Hardware, offenes sudo, flexible Tages-/Wochen-/Monats-Tarife, Claude Code in isoliertem, auditierbarem Host. Technologie kann neutral sein; ein Unternehmen nicht. Je fähiger das Modell, desto mehr muss sich der Anbieter selbst begrenzen — und das darf kein Geheimnis sein, das man erst per Binary-Reverse-Engineering findet.