ANTHROPIC_BASE_URL ≠ api.anthropic.com) 사용 시 시스템 프롬프트의 Today's date is... 행이 조용히 다시 쓰여진다는 사실을 발견했습니다. 날짜 구분자 전환과 육안으로 구별하기 어려운 Unicode 아포스트로피 교체를 통해 중국 타임존 여부와 엔드포인트가 중국 관련 도메인·AI 랩 키워드와 일치하는지가 인코딩되었습니다. Anthropic은 2.1.197에서 해당 코드를 제거했습니다. 본문은 사건 A(Claude Desktop 무음 브라우저 주입)와 사건 B(Claude Code 프롬프트 스테가노그래피)를 엄격히 구분하고, Unicode 매핑 표, 반증류 동기, HN 논쟁, 6단계 방어, AI 벤더 초과 대응을 다룹니다. AI 코딩 어시스턴트 비교, MCP 프로토콜 가이드도 함께 읽어보시기 바랍니다.Claude Code 스테가노그래피에서 무슨 일이 있었나? 혼동하면 안 되는 두 가지 사건
결론부터 말씀드리면, 이번 논란은 실제로 두 개의 독립된 이야기가 겹쳐진 것입니다. 혼동하면 HN·Reddit·보안 커뮤니티의 영어권 독자에게 즉시 지적받으며 E-E-A-T를 해칩니다. 반드시 분리하세요:
| 관점 | 사건 A: 무음 브라우저 주입 | 사건 B: 시스템 프롬프트 스테가노그래피 |
|---|---|---|
| 제품 | Claude Desktop(macOS 클라이언트) | Claude Code(CLI 코딩 도구) |
| 폭로자 | Alexander Hanff(프라이버시 컨설턴트, The Register 기고자) | 개발자가 바이너리 역공학, thereallo.dev에 공개, Reddit → Hacker News로 확산 |
| 시간선 | 2026년 4월(4/18 전후) | 2026년 6월 30일 |
| 핵심 행위 | Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium에 Native Messaging 매니페스트 com.anthropic.claude_browser_extension.json을 무음으로 기록, 3개 확장 ID가 샌드박스 밖 chrome-native-host 호출 사전 승인; 미설치 브라우저용 디렉터리도 생성; 삭제 후 재시작 시 복구 | ANTHROPIC_BASE_URL ≠ api.anthropic.com(프록시/게이트웨이)일 때 Today's date is... 행을 스테가노그래피로 재작성 |
| 붙은 꼬리표 | 「spyware」/「backdoor」 | 「prompt steganography」/「covert channel」 |
| 트리거 | Claude Desktop 설치/실행 | 비공식 Base URL 설정 시에만; 모든 대화가 아님 |
| Anthropic 대응 | 공식 성명 없음; 후기 버전에 승인 토글 추가했으나 근본 권한 모델은 완전 제거되지 않았다는 분석 | 코드 존재 인정, 7/1 2.1.197에서 제거; changelog 미기재 |
사건 A(Hanff 폭로 및 독립 재현 기준): Claude Desktop 설치 후 여러 브라우저 디렉터리에 Native Messaging 설정을 무음으로 기록하여, 확장이 브라우저 샌드박스 밖·전체 사용자 권한으로 동작하는 로컬 바이너리를 호출할 수 있게 사전 승인합니다. 미설치 브라우저용 디렉터리도 생성됩니다. 수동 삭제 후 재시작 시 복구. 독립 컨설턴트 Noah Kenney(Digital 520)가 Hanff의 기술 주장 재현성 확인; Antiy Labs가 전용 위험 분석을 발표했습니다.
사건 B(thereallo.dev 역공학 기준): 개발자가 Claude Code 내 프롬프트 스테가노그래피를 발견——본문의 초점입니다. HN 스레드는 수 시간 내 프론트 페이지 진입: 350점 이상, 댓글 100개 이상. 커뮤니티는 「합리적인 반증류 방어」와 「개발 도구로서는 맬웨어 인접 행위」로 양분되었습니다.
두 제품 혼동: Claude Desktop 브라우저 주입과 Claude Code 프롬프트 스테가노그래피는 트리거와 메커니즘이 완전히 다릅니다.
공식 엔드포인트도 영향받는다고 오해: 사건 B는 ANTHROPIC_BASE_URL이 api.anthropic.com 이외를 가리킬 때만 작동합니다.
의도를 확정 사실로 취급: 반증류가 커뮤니티 주류 견해이나 Anthropic은 공식 확인하지 않았습니다. 「보고에 따르면」「역공학에 따르면」을 사용하세요.
사건 A 지속성 간과: Native Messaging 매니페스트는 Claude Desktop 재시작 후 재생성——지속 모니터링이 필요합니다.
데스크톱 Agent 권한 과소평가: Anthropic 자체 수치에 따르면 Claude for Chrome 프롬프트 인젝션 성공률 23.6%(완화 없음)/11.2%(완화 있음)——고권한 채널과 결합 시 실질적 위험입니다.
Claude Code 지문은 어떻게 작동하나? Unicode 아포스트로피 매핑 설명
전제 조건: ANTHROPIC_BASE_URL이 공식 엔드포인트 이외(프록시, 게이트웨이, 재판매, OpenAI 호환 레이어)를 가리킬 때만 작동합니다. api.anthropic.com이면 아무것도 변경되지 않습니다.
작동 시 무해해 보이는 Today's date is ... 행 안에 두 가지 신호가 숨겨집니다:
| 감지 조건 | 날짜 형식 | 아포스트로피 | Unicode |
|---|---|---|---|
| 기본(불일치 없음) | 2026-06-30 | ' ASCII 아포스트로피 | U+0027 |
| 중국 관련 기관/재판매 도메인 | 2026-06-30 | ' 오른쪽 작은따옴표 | U+2019 |
| AI 랩 키워드(deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai 등) | 2026-06-30 | ʼ 수식 문자 아포스트로피 | U+02BC |
| 도메인과 랩 모두 일치 | 2026-06-30 | ʹ 수식 문자 프라임 | U+02B9 |
| + 중국 타임존(Asia/Shanghai / Asia/Urumqi) | 2026/06/30 | (위 규칙과 동일) | — |
도메인과 키워드 목록은 base64 + XOR(키 91)로 가볍게 난독화——약 147개의 도메인 패턴. 키워드에는 deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai 등이 포함됩니다. 역공학자는 버전 2.1.193 / 2.1.195 / 2.1.196 모두에 해당 로직이 있음을 확인했습니다.
echo $ANTHROPIC_BASE_URL timedatectl | grep "Time zone" find ~/Library/Application\ Support -name "com.anthropic.claude_browser_extension.json" 2>/dev/null
사람 눈에는 완전히 평범한 프롬프트로 보입니다. Anthropic 백엔드는 아포스트로피 한 글자의 Unicode 코드 포인트만 스캔해 「이 사용자는 VPN 뒤에 있지만 실제로는 중국 타임존——중국 AI 랩일 가능성」을 읽어냅니다. 이것이 교과서적인 은밀 채널(covert channel)입니다.
타임존과 Unicode 아포스트로피 세부 사항은 thereallo.dev 역공학 보고서에 기반해 완전히 검증되었으며, 공개 커뮤니티 논의와도 일치합니다.
Anthropic은 왜 이렇게 했나? Claude Code는 정말 스파이웨어인가?
냉정한 커뮤니티 견해: 이것은 거의 확실히 반증류 및 무단 재판매 대응이었습니다. Anthropic, OpenAI, Google 모두 경쟁사가 API 출력을 수확해 소형 모델을 학습하는 것을 공개적으로 우려해 왔습니다. 중국 관련 재판매·프록시·랩이 주요 의심 대상——그래서 분류기가 들어갔다는 해석입니다.
의도는 옹호할 수 있어도, 수단은 옹호할 수 없습니다. 분류 신호를 보이지 않는 구두점으로 바꾸고, 바이너리에서 난독화하며, 매 요청에 실어 보내는 것——신뢰가 생명선인 개발자 도구에서는 선을 넘습니다. Hacker News에서 논쟁은 양분되었습니다:
| 진영 | 견해 |
|---|---|
| 반증류 진영 | 「합리적인 반증류 방어」——모델 출력의 경쟁사 수확으로부터 보호 |
| 개발자 신뢰 진영 | 「개발 도구로서는 맬웨어 인접」——미공개·난독화·구두점 삽입은 용납 불가 |
「스파이웨어」는 강한 표현입니다. 더 정확히는:
사건 A는 제3자 소프트웨어 무단 변조와 휴면 상태의 사전 배치된 공격면에 가깝습니다——악용되지 않아도 브라우저 샌드박스 밖 고권한 채널을 사전 설치합니다.
사건 B는 미공개 텔레메트리/은밀 사용자 분류에 가깝습니다——고전적 데이터 탈취 맬웨어는 아니지만 사전 동의가 부족합니다.
어떤 라벨을 쓰든 핵심은 같습니다: 사전 동의 없이, 의도적으로 은닉. 주류 해석은 Anthropic이 개인 감시가 아닌 무단 재판매와 모델 증류 탐지를 노렸다는 것——논쟁의 초점은 목적이 아니라 수단(은닉·난독화·미공개)에 있습니다.
컴플라이언스 참고: 「보고에 따르면」「역공학에 따르면」을 일관되게 사용하고, 의도를 확정 사실로 서술하지 마세요. 목적(반증류)과 수단(스테가노그래피)을 분리해 평가하세요.
자가 점검과 방어: Claude Code 사용자를 위한 6단계 가이드
Claude Code를 프록시로 라우팅하든 macOS에서 Claude Desktop을 실행하든, 다음 단계는 재현 가능하고 감사 가능합니다:
ANTHROPIC_BASE_URL 확인: echo $ANTHROPIC_BASE_URL 실행. 비어 있거나 api.anthropic.com이면 사건 B는 작동하지 않습니다. 제3자 게이트웨이/재판매는 대상입니다.
Claude Code 업그레이드: CLI 버전 ≥ 2.1.197(2026년 7월 1일 출시, 스테가노그래피 제거) 확인. claude --version으로 검증.
타임존 환경 확인: timedatectl 또는 date +%Z 실행. 시스템 타임존이 Asia/Shanghai 또는 Asia/Urumqi이고 프록시 사용 시 날짜 구분자 신호가 역사적으로 중첩되었습니다.
Native Messaging 매니페스트 감사(사건 A): ~/Library/Application Support/<브라우저>/NativeMessagingHosts/에서 com.anthropic.claude_browser_extension.json 검색. 필요 시 삭제——Claude Desktop 재시작 시 재생성 가능.
Claude Desktop 승인 토글 검토: 후기 버전에 토글 추가되었으나 보안 커뮤니티 분석에 따르면 근본 권한 모델은 완전 제거되지 않았습니다. 기업 환경에서는 데스크톱 Agent의 프로덕션 지속 사용을 평가하세요.
기업/민감 환경 격리: 모든 데스크톱 AI Agent를 고권한 프로그램으로 취급——최소 권한, 명시적 승인, 감사 가능성이 기준. Agent 호스팅은 고객 센터를 참고하세요.
claude --version find ~/Library/Application\ Support -path "*/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" grep -r "ANTHROPIC_BASE_URL" ~/.zshrc ~/.bashrc ~/.zprofile 2>/dev/null
이것이 의미하는 바: AI 벤더 초과와 우리의 대응
진짜 교훈은 「아포스트로피 한 글자」가 아닙니다. 모델 역량이 급속히 앞서가는 동안 보안 경계·동의·감사 가능성이 뒤처지면, 벤더는 「UX」나 「남용 방지」의 이름으로 사용자(와 다른 소프트웨어 제작자)와의 신뢰 경계를 계속 넘습니다.
147개 규칙: 도메인/키워드 목록은 base64 + XOR(91)로 난독화; 버전 2.1.193–2.1.196에서 확인(thereallo.dev).
HN 확산: 스레드가 수 시간 내 프론트 페이지——350점 이상, 댓글 100개 이상, 커뮤니티 심각한 분열(Hacker News, 2026-06-30).
Claude for Chrome 주입 성공률: Anthropic 자체 공개——완화 없음 23.6%, 완화 있음 11.2%——사건 A 고권한 채널과 결합 시 실질적 위험.
| 원칙 | 구체적 조치 |
|---|---|
| 기본 불신, 증거로 판단 | 재현 가능·감사 가능·끌 수 있어야 신뢰의 기준 |
| 은닉보다 공개 | 반증류는 공개적으로——문서화하고 토글 제공, 구두점에 묻지 말 것 |
| 최소 권한 + 격리 | 모든 데스크톱 Agent를 고권한 프로그램으로 취급 |
| 발로 투표 + 제도 | GDPR형 규제와 시장 선택이 「기술 무제한」의 최종 견제 |
출처: The Register(Claude Desktop 권한 변경, 2026-04); Malwarebytes / gHacks / YOOTA(Native Messaging 보도); thereallo.dev(Claude Code 원본 역공학); Tech Startups / TMC Insight / Developers Digest / TechTimes(2.1.197 수정); Antiy Labs 위험 분석.
대안을 펼쳐 보면: 개인 Mac에서 Claude Desktop을 그대로 돌리며 다중 브라우저 Native Messaging을 유지하면 고권한 채널과 주입면 감사가 어렵습니다; 제3자 Claude 재판매에 전적으로 의존하면 미공개 지문 로직에 장기 노출됩니다; 가상화 macOS에서 Agent 실행은 Apple EULA 위반이며 Xcode 서명도 제한됩니다. iOS CI/CD, 완전 root, 7×24 안정성이 필요한 AI Agent 프로덕션 환경에서는 KVMNODE 전용 Mac Mini M4 클라우드 대여가 보통 더 나은 선택입니다: 100% 물리 실기, sudo 개방, 일/주/월 유연 계약, Claude Code를 격리·감사 가능한 호스트에서 운영. 기술은 중립적일 수 있어도 기업은 중립적일 수 없습니다. 역량이 클수록 벤더는 스스로를 제약해야 하며——그것이 바이너리 역공학으로서야 알 수 있는 비밀이어서는 안 됩니다.