Stille Browser-Injektion · Prompt-Steganographie · Anti-Destillation · Sechs-Schritte-Schutz-Runbook
Wer Claude Code oder Claude Desktop einsetzt, sollte zwei Vorfälle aus 2026 kennen. Laut Reverse-Engineering-Berichten schreibt Claude Code die Zeile Today's date is... still um, sobald ANTHROPIC_BASE_URL vom offiziellen Endpoint abweicht — und kodiert China-Zeitzonen- und Proxy-Signale über visuell identische Unicode-Apostrophe. Parallel dazu soll Claude Desktop Native-Messaging-Manifeste in mehrere Browser injiziert haben. Dieser Beitrag trennt beide Fälle, dokumentiert die Unicode-Mapping-Tabelle, erläutert Anti-Destillation und die Hacker-News-Debatte und liefert ein Sechs-Schritte-Runbook plus acht FAQs — inklusive DSGVO-relevanter Einordnung.
Kurzantwort: keine klassische Spyware, aber Anthropic soll in einem Entwickler-Tool eine nicht offengelegte, absichtlich versteckte Nutzerklassifikation betrieben haben. Absicht (Anti-Destillation) und Methode (Steganographie) sind getrennt zu bewerten. Beide verwandten, aber unterschiedlichen Geschichten nicht vermischen — HN und Security-Leser erkennen sachliche Fehler sofort.
Vorfall A · Stille Browser-Injektion durch Claude Desktop (April 2026): Der Datenschutzberater Alexander Hanff (The Register) behauptete, dass die Installation von Claude Desktop unter macOS still com.anthropic.claude_browser_extension.json in Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium schreibt — drei Extension-IDs werden vorab autorisiert, chrome-native-host außerhalb der Browser-Sandbox mit vollen Nutzerrechten aufzurufen. Verzeichnisse entstehen auch für nicht installierte Browser; gelöschte Dateien können beim Neustart zurückkehren. Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte eine Risikoanalyse. Anthropic reagierte öffentlich nicht formal; spätere Builds erhielten einen Autorisierungs-Toggle, das Berechtigungsmodell bleibt umstritten.
Vorfall B · Prompt-Steganographie in Claude Code (30. Juni 2026): Ein Entwickler reverse-engineerte Claude-Code-Binaries, veröffentlichte auf thereallo.dev, Verbreitung über Reddit und Hacker News. Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die Datumszeile im System-Prompt verändert — nicht standardmäßig in jedem Gespräch. Der HN-Thread erreichte binnen Stunden die Frontpage: 350+ Punkte, 100+ Kommentare.
Etiketten unterscheiden sich: Vorfall A erhielt Tags wie „Spyware“ / „Backdoor“; Vorfall B „Prompt-Steganographie“ / „Covert Channel“.
Reaktion von Anthropic: Zu A keine formelle öffentliche Stellungnahme; zu B berichten mehrere Medien, Anthropic habe den Code bestätigt und in Claude Code 2.1.197 (1. Juli 2026) entfernt — ohne Changelog-Eintrag.
Versionsaudit: Reverse Engineers verifizierten 2.1.193, 2.1.195 und 2.1.196. Domain-/Keyword-Listen nutzen Base64 + XOR(91)-Verschleierung — rund 147 Regeln.
Formulierungshinweis: Dieser Artikel verwendet durchgängig „laut Berichten“, „behauptet“ und „Reverse-Engineering-Befunde“. Anbieterabsicht nicht als bewiesene Tatsache darstellen.
Voraussetzung: Auslösung nur, wenn ANTHROPIC_BASE_URL auf Proxy, Gateway, Reseller oder OpenAI-kompatible Schicht zeigt. Offizielles api.anthropic.com lässt den Prompt unverändert.
| Dimension | Vorfall A: Browser-Injektion | Vorfall B: Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop (macOS) | Claude Code (CLI) |
| Quelle | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| Zeitachse | April 2026 (ab ~18.4.) | 30. Juni 2026 |
| Auslöser | Installation/Start Claude Desktop | Nur nicht-offizielle Base-URL |
| Verhalten | Native-Messaging-Manifest + chrome-native-host | Datums-Trennzeichen + Unicode-Apostroph-Tausch |
| Erkannte Bedingung | Datum | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| China-verknüpfte Org-/Reseller-Domain | 2026-06-30 | ' typografischer Apostroph | U+2019 |
| KI-Lab-Keyword | 2026-06-30 | ʼ Modifier Letter Apostrophe | U+02BC |
| Domain und Lab | 2026-06-30 | ʹ Modifier Letter Prime | U+02B9 |
| + China-Zeitzone | 2026/06/30 | (wie oben) | Asia/Shanghai · Asia/Urumqi |
Keywords umfassen deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai — gespeichert mit Base64 + XOR(91). Für Menschen wirkt der Prompt normal; für Anthropics Backend verrät ein Apostroph-Codepoint: VPN-Nutzer, China-Zeitzone, möglicherweise chinesisches KI-Lab. Lehrbuch-Covert Channel.
Je leistungsfähiger das Modell, desto stärker muss sich der Anbieter selbst begrenzen — und das darf kein Geheimnis sein, das nur durch Binary-Reverse-Engineering auffliegt.
ANTHROPIC_BASE_URL auditieren: Shell-Konfigurationen und CI-Secrets auf nicht-offizielle Endpoints durchsuchen. Vorfall B triggert nur bei Proxy-Routen.
Claude Code aktualisieren: Version 2.1.197+ nutzen (Release 1. Juli 2026 laut Berichten).
System-Zeitzone prüfen: Klären, ob Asia/Shanghai oder Asia/Urumqi beabsichtigt ist; Datums-Trennzeichen / vs. - kodiert Zeitzonen-Signal.
Native-Messaging-Manifeste scannen (Vorfall A): Unter macOS ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json prüfen.
Löschen und Neuanlage beobachten: JSON entfernen, Claude Desktop neu starten, dokumentieren ob es respawnt — relevant für Enterprise-Audit-Trails und DSGVO-Nachweispflichten.
Enterprise Least Privilege: Desktop-Agenten als hochprivilegierte Programme behandeln; Produktions-API-Keys von Privat-Browsern trennen; dedizierte Mac-Knoten für sensible CI-Ketten bevorzugen.
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
[ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
Community-Konsens ist zurückhaltend: höchstwahrscheinlich Anti-Destillation und Schutz vor unautorisiertem Reselling. Anthropic, OpenAI und Google haben öffentlich vor Wettbewerbern gewarnt, die API-Ausgaben abschöpfen. China-verknüpfte Reseller, Proxys und Labs stehen im Verdacht. HN spaltete sich: vertretbare Anti-Destillation vs. malware-nahes Verhalten für ein Dev-Tool.
Absicht ist vertretbar; Methode nicht. Unsichtbare Interpunktion, verschleierte Binary-Logik, null Offenlegung — in einem Tool, das auf Entwickler-Vertrauen lebt.
Kernproblem: Keine informierte Einwilligung, absichtlich versteckt — unabhängig vom „Spyware“-Label. Für EU-Unternehmen: DPIA und Verarbeitungsverzeichnis prüfen.
Praktische Reaktion: Misstrauen als Default und Evidenz einfordern; Distillation offen bekämpfen mit Toggles und Docs; Least Privilege durchsetzen; mit Füßen und Regulierung (DSGVO, AI Act) abstimmen.
Claude Desktop, Privat-Browser und Produktions-API-Keys auf einem Laptop verwischen Grenzen — gelöschte Manifeste können respawnen. Für produktionsreife iOS-CI/CD und KI-Agenten-Automatisierung bietet die VpsMesh Mac Mini Cloud-Miete isolierte macOS-Knoten, Root-Level-Kontrolle und 7×24-Uptime — stabiler als die Vermischung von Privat-Desktop-Agenten mit Produktions-Secrets.
The Register; Malwarebytes; gHacks; YOOTA; thereallo.dev; Tech Startups; TMC Insight; Developers Digest; TechTimes (2.1.197-Fix); Antiy Labs Risikoanalyse.
Keine klassische Spyware, aber nicht offengelegtes Prompt-Fingerprinting für China-Proxy-Nutzer wurde in 2.1.197 entfernt. Am besten als nicht offengelegter Covert Channel einordnen.
Nur bei nicht-standardmäßigem ANTHROPIC_BASE_URL — es prüfte Asia/Shanghai und Asia/Urumqi und tauschte Datums-Trennzeichen. Offizielle Endpoint-Nutzer nicht betroffen.
Nein. April-2026-Desktop-Native-Messaging-Injektion (Hanff) ist separates Produkt und Trigger gegenüber Juni-Code-Steganographie (thereallo.dev).
U+0027, U+2019, U+02BC, U+02B9 kodieren Standard, China-Domain-Treffer, KI-Lab-Keyword-Treffer oder beides — für Menschen visuell identisch.
Wahrscheinlich Anti-Destillation und Anti-Reselling. Legitimes Ziel, illegitime Verheimlichung.
Vorfall B betrifft nur Claude Code mit custom Base URL — nicht Standard-Web-Claude-Nutzer.
com.anthropic.claude_browser_extension.json unter NativeMessagingHosts löschen; Desktop kann es neu anlegen. Für isoliertes Agent-Hosting siehe Mac Mini M4 Mietpreise.
Nicht zwingend, aber 7×24 Claude Code, OpenClaw oder MCP-Agenten profitieren von launchd-gestützter Mac Mini M4 Miete mit Keychain-Isolation. Siehe unser Hilfezentrum.