ANTHROPIC_BASE_URL ≠ api.anthropic.com)の利用時に、システムプロンプトの Today's date is... 行が静かに書き換えられることを発見しました。日付区切りの切り替えと、肉眼では区別しにくい Unicode アポストロフィの入れ替えにより、中国タイムゾーンかどうか、エンドポイントが中国関連ドメインや AI ラボキーワードに一致するかがエンコードされていました。Anthropic は 2.1.197 で当該コードを削除しています。本文では事件A(Claude Desktop 静かなブラウザ注入)と事件B(Claude Code プロンプト・ステガノグラフィ)を厳密に区別し、Unicode マッピング表、反蒸留動機、HN 論争、六ステップ防御、AI ベンダー越境への対応を解説します。AI コーディングアシスタント比較、MCP プロトコルガイドも併読をおすすめします。Claude Code ステガノグラフィで何が起きたか?混同してはいけない二つの事件
結論から:今回の論争は実は二つの独立した出来事が重なったものです。混同すると HN・Reddit・セキュリティ界の英語圏読者に即座に指摘され、E-E-A-T を損ないます。必ず分けて整理してください:
| 観点 | 事件A:静かなブラウザ注入 | 事件B:システムプロンプト・ステガノグラフィ |
|---|---|---|
| 製品 | Claude Desktop(macOS クライアント) | Claude Code(CLI コーディングツール) |
| 暴露者 | Alexander Hanff(プライバシー顧問、The Register 寄稿者) | 開発者がバイナリを逆向き解析、thereallo.dev で公開、Reddit → Hacker News で拡散 |
| 時系列 | 2026年4月(4/18 頃以降) | 2026年6月30日 |
| 核心行為 | Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium に Native Messaging マニフェスト com.anthropic.claude_browser_extension.json を静かに書き込み、3 つの拡張 ID がサンドボックス外の chrome-native-host を呼び出せるよう事前承認;未インストールのブラウザ用ディレクトリも作成;削除後も再起動で復活 | ANTHROPIC_BASE_URL ≠ api.anthropic.com(プロキシ/ゲートウェイ)のとき、Today's date is... 行をステガノグラフィで書き換え |
| 付けられたレッテル | 「spyware」/「backdoor」 | 「prompt steganography」/「covert channel」 |
| トリガー | Claude Desktop のインストール/起動 | 非公式 Base URL 設定時のみ;全会話ではない |
| Anthropic の対応 | 公式声明なし;後期バージョンで承認トグル追加も、根底の権限モデルは完全撤去されていないとの分析 | コード存在を認め、7/1 の 2.1.197 で削除;changelog には未記載 |
事件A(Hanff の暴露と独立再現に基づく):Claude Desktop インストール後、複数ブラウザのディレクトリに Native Messaging 設定を静かに書き込み、拡張機能がブラウザサンドボックス外・フルユーザー権限で動作するローカルバイナリを呼び出せるよう事前承認します。未インストールのブラウザ用ディレクトリも作成されます。手動削除しても再起動で復活。独立コンサルタント Noah Kenney(Digital 520)が Hanff の技術的主張の再現性を確認;Antiy Labs が専用リスク分析を公開しています。
事件B(thereallo.dev の逆向き解析に基づく):開発者が Claude Code 内のプロンプト・ステガノグラフィを発見——本稿の焦点です。HN スレッドは数時間でフロントページ入り:350 点超、コメント 100 件超。コミュニティは「合理的な反蒸留防御」と「開発ツールとしてはマルウェア隣接の振る舞い」に真っ二つに割れました。
二製品の混同:Claude Desktop のブラウザ注入と Claude Code のプロンプト・ステガノグラフィは、トリガーも仕組みもまったく異なります。
公式エンドポイントも影響を受けると誤解:事件Bは ANTHROPIC_BASE_URL が api.anthropic.com 以外を指すときのみ発動します。
意図を確定事実として扱う:反蒸留がコミュニティの主流見解ですが、Anthropic は公式確認していません。「報告による」「逆向き解析によれば」を使い分けてください。
事件A の持続性を軽視:Native Messaging マニフェストは Claude Desktop 再起動後に再生成——継続監視が必要です。
デスクトップ Agent の権限を過小評価:Anthropic 自社データでは Claude for Chrome のプロンプトインジェクション成功率は 23.6%(未緩和)/ 11.2%(緩和あり)——高権限チャネルと組み合わせると実リスクです。
Claude Code フィンガープリントの仕組み:Unicode アポストロフィ・マッピング解説
前提条件:これは ANTHROPIC_BASE_URL が公式エンドポイント以外(プロキシ、ゲートウェイ、転売、OpenAI 互換レイヤー)を指すときのみ発動します。api.anthropic.com なら一切改変されません。
発動時、無害に見える Today's date is ... 行の中に二つのシグナルが隠れます:
| 検出条件 | 日付形式 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト(不一致) | 2026-06-30 | ' ASCII アポストロフィ | U+0027 |
| 中国関連機関/転売ドメイン | 2026-06-30 | ' 右シングルクォート | U+2019 |
| AI ラボキーワード(deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai 等) | 2026-06-30 | ʼ 修飾文字アポストロフィ | U+02BC |
| ドメインとラボの両方一致 | 2026-06-30 | ʹ 修飾文字プライム | U+02B9 |
| +中国タイムゾーン(Asia/Shanghai / Asia/Urumqi) | 2026/06/30 | (上記ルールと同じ) | — |
ドメインとキーワードリストは base64 + XOR(キー 91)で軽く難読化——おおよそ 147 件のドメインパターン。キーワードには deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai などが含まれます。逆向き解析者はバージョン 2.1.193 / 2.1.195 / 2.1.196 すべてに当該ロジックがあることを確認しています。
echo $ANTHROPIC_BASE_URL timedatectl | grep "Time zone" find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null
人間の目にはまったく普通のプロンプトに見えます。Anthropic のバックエンドはアポストロフィ一文字の Unicode コードポイントをスキャンするだけで、「このユーザーは VPN 越しだが実際は中国タイムゾーン——中国の AI ラボの可能性」と読み取れます。これは教科書的な 隠蔽チャネル(covert channel)です。
タイムゾーンと Unicode アポストロフィの詳細は thereallo.dev の逆向き解析レポートに基づき完全に検証済みで、公開コミュニティ議論とも整合しています。
Anthropic はなぜこうしたのか?Claude Code は本当にスパイウェアか?
冷静なコミュニティの見解:これはほぼ確実に 反蒸留と未承認転売対策でした。Anthropic、OpenAI、Google はいずれも競合が API 出力を収穫して小型モデルを訓練することを公に懸念しています。中国関連の転売・プロキシ・ラボが主要な疑いの対象——だから分類器が入った、という読みです。
意図は擁護可能でも、手段は擁護できない。分類シグナルを見えない句読点に変換し、バイナリ内で難読化し、毎リクエストに同梱する——信頼が生命線の開発者ツールでは一線を越えます。Hacker News では議論が真っ二つに割れました:
| 陣営 | 見解 |
|---|---|
| 反蒸留派 | 「合理的な反蒸留防御」——モデル出力の競合収穫から守る |
| 開発者信頼派 | 「開発ツールとしてはマルウェア隣接」——未開示・難読化・句読点への埋め込みは許容できない |
「スパイウェア」は強い言葉です。より正確には:
事件Aは第三者ソフトへの無断改変と、休眠中の事前配置された攻撃面に近い——未悪用でも、ブラウザサンドボックス外の高権限チャネルを事前インストールします。
事件Bは未開示テレメトリ/隠蔽ユーザー分類に近い——古典的なデータ窃取マルウェアではないが、インフォームド・コンセントが欠如しています。
どのラベルを使っても、核心は同じです:インフォームド・コンセントなし、意図的に隠蔽。主流の読みは、Anthropic が個人監視ではなく未承認転売とモデル蒸留の検知を狙ったとするもの——論争の焦点は目的ではなく手段(隠蔽・難読化・未開示)にあります。
コンプライアンス上の注意:「報告による」「逆向き解析によれば」を徹底し、意図を確定事実として述べないでください。目的(反蒸留)と手段(ステガノグラフィ)を分けて評価してください。
自己確認と防御:Claude Code ユーザー向け六ステップガイド
Claude Code をプロキシ経由で使っている方も、macOS で Claude Desktop を動かしている方も、以下の手順は再現可能かつ監査可能です:
ANTHROPIC_BASE_URL を確認:echo $ANTHROPIC_BASE_URL を実行。空または api.anthropic.com なら事件Bは発動しません。第三者ゲートウェイ/転売は対象です。
Claude Code をアップグレード:CLI バージョン ≥ 2.1.197(2026年7月1日リリース、ステガノグラフィ削除)を確認。claude --version で検証。
タイムゾーン環境を確認:timedatectl または date +%Z を実行。システムタイムゾーンが Asia/Shanghai または Asia/Urumqi かつプロキシ利用時、日付区切りシグナルが歴史的に重ねられていました。
Native Messaging マニフェストを監査(事件A):~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/ で com.anthropic.claude_browser_extension.json を検索。必要に応じ削除——Claude Desktop 再起動で再生成の可能性あり。
Claude Desktop 承認トグルを確認:後期バージョンでトグル追加も、セキュリティコミュニティ分析では根底の権限モデルは完全撤去されていません。企業環境ではデスクトップ Agent の本番継続利用を評価してください。
企業/機密環境では隔離:すべてのデスクトップ AI Agent を高権限プログラムとして扱う——最小権限、明示的承認、監査可能性が基準。Agent ホスティングは ヘルプセンターをご参照ください。
claude --version find ~/Library/Application\ Support -path "*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.zprofile 2>/dev/null
何を意味するか:AI ベンダー越境と私たちの対応
本当の教訓は「アポストロフィ一文字」ではありません。モデル能力が急拡大する一方でセキュリティ境界・同意・監査可能性が遅れているとき、ベンダーは「UX」や「悪用防止」の名のもとに、ユーザー(と他ソフトメーカー)との信頼境界を越え続けます。
147 ルール:ドメイン/キーワードリストは base64 + XOR(91) で難読化;バージョン 2.1.193–2.1.196 で確認(thereallo.dev)。
HN の拡散:スレッドは数時間でフロントページ——350 点超、コメント 100 件超、コミュニティは深刻に分裂(Hacker News, 2026-06-30)。
Claude for Chrome 注入成功率:Anthropic 自社開示——未緩和 23.6%、緩和あり 11.2%——事件A の高権限チャネルと組み合わせると実リスク。
| 原則 | 具体策 |
|---|---|
| デフォルト不信、証拠で判断 | 再現可能・監査可能・オフにできることが信頼の基準 |
| 隠蔽より開示 | 反蒸留はオープンに——文書化しトグルを提供、句読点に埋め込まない |
| 最小権限+隔離 | すべてのデスクトップ Agent を高権限プログラムとして扱う |
| 足で投票+制度 | GDPR 型の法規制と市場選択が「技術無制限」の最終チェック |
出典:The Register(Claude Desktop 権限変更、2026-04);Malwarebytes / gHacks / YOOTA(Native Messaging 報道);thereallo.dev(Claude Code 原典の逆向き解析);Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 修正);Antiy Labs リスク分析。
代替案を整理すると:個人 Mac で Claude Desktop を裸で動かし多ブラウザ Native Messaging を抱えると高権限チャネルと注入面の監査が困難;第三者 Claude 転売に全面依存すると未開示フィンガープリントに長期暴露;仮想化 macOS で Agent を動かすと Apple EULA 違反で Xcode 署名も制限されます。iOS CI/CD、完全 root、7×24 安定性が必要な AI Agent 本番環境では、KVMNODE 専用 Mac Mini M4 クラウドレンタルが通常はより良い選択です:100% 物理実機、sudo 開放、日/週/月の柔軟契約、Claude Code を隔離・監査可能なホストで稼働。技術は中立でも、企業は中立ではありません。能力が大きいほどベンダーは自らを制約すべき——それがバイナリ逆向き解析で初めて分かる秘密であるべきではない。