Ist Claude Code Spyware? Anthropics versteckter Unicode-Fingerabdruck

Stille Browser-Injektion · Prompt-Steganographie · Anti-Destillation · Sechs-Schritte-Schutz-Runbook

Claude-Code-System-Prompt mit U+2019-Apostroph-Steganographie

Wer Claude Code oder Claude Desktop einsetzt, sollte zwei Vorfälle aus 2026 kennen. Laut Reverse-Engineering-Berichten schreibt Claude Code die Zeile Today's date is... still um, sobald ANTHROPIC_BASE_URL vom offiziellen Endpoint abweicht — und kodiert China-Zeitzonen- und Proxy-Signale über visuell identische Unicode-Apostrophe. Parallel dazu soll Claude Desktop Native-Messaging-Manifeste in mehrere Browser injiziert haben. Dieser Beitrag trennt beide Fälle, dokumentiert die Unicode-Mapping-Tabelle, erläutert Anti-Destillation und die Hacker-News-Debatte und liefert ein Sechs-Schritte-Runbook plus acht FAQs — inklusive DSGVO-relevanter Einordnung.

01

Ist Claude Code Spyware? Zwei getrennte Vorfälle

Kurzantwort: keine klassische Spyware, aber Anthropic soll in einem Entwickler-Tool eine nicht offengelegte, absichtlich versteckte Nutzerklassifikation betrieben haben. Absicht (Anti-Destillation) und Methode (Steganographie) sind getrennt zu bewerten. Beide verwandten, aber unterschiedlichen Geschichten nicht vermischen — HN und Security-Leser erkennen sachliche Fehler sofort.

  1. A

    Vorfall A · Stille Browser-Injektion durch Claude Desktop (April 2026): Der Datenschutzberater Alexander Hanff (The Register) behauptete, dass die Installation von Claude Desktop unter macOS still com.anthropic.claude_browser_extension.json in Chrome, Edge, Brave, Arc, Vivaldi, Opera und Chromium schreibt — drei Extension-IDs werden vorab autorisiert, chrome-native-host außerhalb der Browser-Sandbox mit vollen Nutzerrechten aufzurufen. Verzeichnisse entstehen auch für nicht installierte Browser; gelöschte Dateien können beim Neustart zurückkehren. Noah Kenney (Digital 520) bestätigte Reproduzierbarkeit; Antiy Labs veröffentlichte eine Risikoanalyse. Anthropic reagierte öffentlich nicht formal; spätere Builds erhielten einen Autorisierungs-Toggle, das Berechtigungsmodell bleibt umstritten.

  2. B

    Vorfall B · Prompt-Steganographie in Claude Code (30. Juni 2026): Ein Entwickler reverse-engineerte Claude-Code-Binaries, veröffentlichte auf thereallo.dev, Verbreitung über Reddit und Hacker News. Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird die Datumszeile im System-Prompt verändert — nicht standardmäßig in jedem Gespräch. Der HN-Thread erreichte binnen Stunden die Frontpage: 350+ Punkte, 100+ Kommentare.

  3. 03

    Etiketten unterscheiden sich: Vorfall A erhielt Tags wie „Spyware“ / „Backdoor“; Vorfall B „Prompt-Steganographie“ / „Covert Channel“.

  4. 04

    Reaktion von Anthropic: Zu A keine formelle öffentliche Stellungnahme; zu B berichten mehrere Medien, Anthropic habe den Code bestätigt und in Claude Code 2.1.197 (1. Juli 2026) entfernt — ohne Changelog-Eintrag.

  5. 05

    Versionsaudit: Reverse Engineers verifizierten 2.1.193, 2.1.195 und 2.1.196. Domain-/Keyword-Listen nutzen Base64 + XOR(91)-Verschleierung — rund 147 Regeln.

Formulierungshinweis: Dieser Artikel verwendet durchgängig „laut Berichten“, „behauptet“ und „Reverse-Engineering-Befunde“. Anbieterabsicht nicht als bewiesene Tatsache darstellen.

02

Wie funktioniert der Claude-Code-Fingerabdruck?

Voraussetzung: Auslösung nur, wenn ANTHROPIC_BASE_URL auf Proxy, Gateway, Reseller oder OpenAI-kompatible Schicht zeigt. Offizielles api.anthropic.com lässt den Prompt unverändert.

Vergleich Vorfall A vs. B

DimensionVorfall A: Browser-InjektionVorfall B: Prompt-Steganographie
ProduktClaude Desktop (macOS)Claude Code (CLI)
QuelleAlexander Hanff / The Registerthereallo.dev → Reddit → HN
ZeitachseApril 2026 (ab ~18.4.)30. Juni 2026
AuslöserInstallation/Start Claude DesktopNur nicht-offizielle Base-URL
VerhaltenNative-Messaging-Manifest + chrome-native-hostDatums-Trennzeichen + Unicode-Apostroph-Tausch

Unicode-Apostroph-Mapping (Vorfall B)

Erkannte BedingungDatumApostrophUnicode
Standard (kein Treffer)2026-06-30' ASCII-ApostrophU+0027
China-verknüpfte Org-/Reseller-Domain2026-06-30' typografischer ApostrophU+2019
KI-Lab-Keyword2026-06-30ʼ Modifier Letter ApostropheU+02BC
Domain und Lab2026-06-30ʹ Modifier Letter PrimeU+02B9
+ China-Zeitzone2026/06/30(wie oben)Asia/Shanghai · Asia/Urumqi

Keywords umfassen deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai — gespeichert mit Base64 + XOR(91). Für Menschen wirkt der Prompt normal; für Anthropics Backend verrät ein Apostroph-Codepoint: VPN-Nutzer, China-Zeitzone, möglicherweise chinesisches KI-Lab. Lehrbuch-Covert Channel.

Je leistungsfähiger das Modell, desto stärker muss sich der Anbieter selbst begrenzen — und das darf kein Geheimnis sein, das nur durch Binary-Reverse-Engineering auffliegt.

03

Prüfen und schützen: Sechs-Schritte-Runbook

  1. 01

    ANTHROPIC_BASE_URL auditieren: Shell-Konfigurationen und CI-Secrets auf nicht-offizielle Endpoints durchsuchen. Vorfall B triggert nur bei Proxy-Routen.

  2. 02

    Claude Code aktualisieren: Version 2.1.197+ nutzen (Release 1. Juli 2026 laut Berichten).

  3. 03

    System-Zeitzone prüfen: Klären, ob Asia/Shanghai oder Asia/Urumqi beabsichtigt ist; Datums-Trennzeichen / vs. - kodiert Zeitzonen-Signal.

  4. 04

    Native-Messaging-Manifeste scannen (Vorfall A): Unter macOS ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json prüfen.

  5. 05

    Löschen und Neuanlage beobachten: JSON entfernen, Claude Desktop neu starten, dokumentieren ob es respawnt — relevant für Enterprise-Audit-Trails und DSGVO-Nachweispflichten.

  6. 06

    Enterprise Least Privilege: Desktop-Agenten als hochprivilegierte Programme behandeln; Produktions-API-Keys von Privat-Browsern trennen; dedizierte Mac-Knoten für sensible CI-Ketten bevorzugen.

bash
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
  f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
04

Warum hat Anthropic das getan? Ist es wirklich Spyware?

Community-Konsens ist zurückhaltend: höchstwahrscheinlich Anti-Destillation und Schutz vor unautorisiertem Reselling. Anthropic, OpenAI und Google haben öffentlich vor Wettbewerbern gewarnt, die API-Ausgaben abschöpfen. China-verknüpfte Reseller, Proxys und Labs stehen im Verdacht. HN spaltete sich: vertretbare Anti-Destillation vs. malware-nahes Verhalten für ein Dev-Tool.

Absicht ist vertretbar; Methode nicht. Unsichtbare Interpunktion, verschleierte Binary-Logik, null Offenlegung — in einem Tool, das auf Entwickler-Vertrauen lebt.

  • Vorfall A: Unautorisierte Manipulation fremder Software plus schlafende, vorbereitete Angriffsfläche. Anthropics eigene Claude-for-Chrome-Zahlen: 23,6 % Prompt-Injection-Erfolg unmitigiert, 11,2 % mitigiert.
  • Vorfall B: Nicht offengelegte Telemetrie / verdeckte Nutzerklassifikation — unter DSGVO Art. 5 (Transparenz) und Art. 6 (Rechtsgrundlage) problematisch, wenn ohne informierte Einwilligung.

Kernproblem: Keine informierte Einwilligung, absichtlich versteckt — unabhängig vom „Spyware“-Label. Für EU-Unternehmen: DPIA und Verarbeitungsverzeichnis prüfen.

05

Was das bedeutet: KI-Anbieter-Vertrauen 2026

  • HN-Signal: thereallo.dev-Befunde erreichten binnen Stunden 350+ Punkte und 100+ Kommentare.
  • Regelsatz-Umfang: ~147 Base64 + XOR(91)-verschleierte Domain-/Keyword-Muster für chinesische KI-Lab-Endpoints.
  • Kombiniertes Risiko: Hochprivilegierter Native-Messaging-Kanal (A) plus nicht offengelegtes Prompt-Fingerprinting (B) erweitert die Vertrauensfläche für Desktop-KI-Agenten.

Praktische Reaktion: Misstrauen als Default und Evidenz einfordern; Distillation offen bekämpfen mit Toggles und Docs; Least Privilege durchsetzen; mit Füßen und Regulierung (DSGVO, AI Act) abstimmen.

Claude Desktop, Privat-Browser und Produktions-API-Keys auf einem Laptop verwischen Grenzen — gelöschte Manifeste können respawnen. Für produktionsreife iOS-CI/CD und KI-Agenten-Automatisierung bietet die VpsMesh Mac Mini Cloud-Miete isolierte macOS-Knoten, Root-Level-Kontrolle und 7×24-Uptime — stabiler als die Vermischung von Privat-Desktop-Agenten mit Produktions-Secrets.

Quellen

The Register; Malwarebytes; gHacks; YOOTA; thereallo.dev; Tech Startups; TMC Insight; Developers Digest; TechTimes (2.1.197-Fix); Antiy Labs Risikoanalyse.

FAQ

Häufig gestellte Fragen

Keine klassische Spyware, aber nicht offengelegtes Prompt-Fingerprinting für China-Proxy-Nutzer wurde in 2.1.197 entfernt. Am besten als nicht offengelegter Covert Channel einordnen.

Nur bei nicht-standardmäßigem ANTHROPIC_BASE_URL — es prüfte Asia/Shanghai und Asia/Urumqi und tauschte Datums-Trennzeichen. Offizielle Endpoint-Nutzer nicht betroffen.

Nein. April-2026-Desktop-Native-Messaging-Injektion (Hanff) ist separates Produkt und Trigger gegenüber Juni-Code-Steganographie (thereallo.dev).

U+0027, U+2019, U+02BC, U+02B9 kodieren Standard, China-Domain-Treffer, KI-Lab-Keyword-Treffer oder beides — für Menschen visuell identisch.

Wahrscheinlich Anti-Destillation und Anti-Reselling. Legitimes Ziel, illegitime Verheimlichung.

Vorfall B betrifft nur Claude Code mit custom Base URL — nicht Standard-Web-Claude-Nutzer.

com.anthropic.claude_browser_extension.json unter NativeMessagingHosts löschen; Desktop kann es neu anlegen. Für isoliertes Agent-Hosting siehe Mac Mini M4 Mietpreise.

Nicht zwingend, aber 7×24 Claude Code, OpenClaw oder MCP-Agenten profitieren von launchd-gestützter Mac Mini M4 Miete mit Keychain-Isolation. Siehe unser Hilfezentrum.