Claude Codeはスパイウェアか?Anthropicの隠されたUnicodeフィンガープリント

サイレントブラウザ注入 · プロンプトステガノグラフィ · 蒸留対策の動機 · 6ステップ保護Runbook

Claude CodeシステムプロンプトのU+2019アポストロフィフィンガープリントステガノグラフィ

Claude CodeClaude Desktopを使っているなら、2026年に起きた2つの事件は見逃せません。リバースエンジニアリング報告によれば、Claude CodeANTHROPIC_BASE_URLが公式エンドポイント以外を指す場合、Today's date is...行を書き換え、見た目は同じUnicodeアポストロフィで中国タイムゾーンとプロキシ信号をエンコードしていました。別件として、Claude Desktopが複数ブラウザへNative Messagingマニフェストを無言で注入したという報告もあります。本記事では両事件を切り分け、Unicodeフィンガープリント対照表、蒸留対策の動機、Hacker News議論、6ステップ保護Runbook、FAQ 8問を解説します。

01

Claude Codeはスパイウェアか?2つの別事件

結論から言えば、従来型のスパイウェアではありません。ただしAnthropicは、開発者向けツール内で未開示かつ意図的に隠されたユーザー分類を行っていたと報告されています。目的(蒸留対策)と手段(ステガノグラフィ)は別々に評価する必要があります。関連はあっても別物の2つの話を混同しないでください。HNやセキュリティ読者は事実誤認をすぐに指摘します。

  1. A

    事件A · Claude Desktopのサイレントブラウザ注入(2026年4月):プライバシーコンサルタントAlexander Hanff氏(The Register)は、macOSにClaude Desktopをインストールすると、Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromiumへcom.anthropic.claude_browser_extension.jsonが無言で書き込まれ、3つの拡張機能IDがブラウザサンドボックス外のchrome-native-hostをフルユーザー権限で呼び出せるよう事前承認されると報告しました。未インストールのブラウザ用ディレクトリも作成され、削除しても再起動で復活する可能性があります。Noah Kenney(Digital 520)が再現を確認し、Antiy Labsが専用リスク分析を公開しました。Anthropicの公式回答は未確認です。後続ビルドでは承認トグルが追加されましたが、権限モデル自体は依然として論争の的です。

  2. B

    事件B · Claude Codeのプロンプトステガノグラフィ(2026年6月30日):開発者がClaude Codeバイナリをリバースエンジニアリングし、thereallo.devで公開。RedditとHacker Newsで拡散しました。ANTHROPIC_BASE_URL ≠ api.anthropic.comのとき、システムプロンプトの日付行が改変されます。デフォルトでは毎会話発動ではありません。HNスレッドは数時間でフロントページに上がり、350点超、100件超のコメントを記録しました。

  3. 03

    呼び方の違い:事件Aは「スパイウェア」「バックドア」、事件Bは「プロンプトステガノグラフィ」「隠れチャネル」と呼ばれました。

  4. 04

    Anthropicの対応:事件Aへの公式回答は未確認です。事件Bについては複数メディアがAnthropicがコードを認め、Claude Code 2.1.197(2026年7月1日)で削除したと報じています。変更履歴への記載はありません。

  5. 05

    バージョン監査:リバースエンジニアは2.1.193、2.1.195、2.1.196でも存在を確認しました。ドメイン・キーワードリストはbase64 + XOR(91)で難読化され、約147ルールあります。

注意

表現上の注意:本記事では「報告によれば」「指摘されている」「リバースエンジニアリング所見」などの表現を用います。ベンダーの意図を確定事実として述べないでください。

02

Claude Codeのフィンガープリントはどう機能するか

前提条件:ANTHROPIC_BASE_URLがプロキシ、ゲートウェイ、再販業者、OpenAI互換レイヤーを指す場合にのみ発動します。公式のapi.anthropic.comではプロンプトは改変されません。

事件AとBの比較

観点事件A:ブラウザ注入事件B:プロンプトステガノグラフィ
製品Claude Desktop(macOS)Claude Code(CLI)
情報源Alexander Hanff / The Registerthereallo.dev → Reddit → HN
時期2026年4月(4/18頃以降)2026年6月30日
トリガーClaude Desktopのインストール/起動非公式Base URLのみ
挙動Native Messagingマニフェスト + chrome-native-host日付区切り + Unicodeアポストロフィ切替

Unicodeアポストロフィ対照表(事件B)

検出条件日付アポストロフィUnicode
デフォルト(不一致)2026-06-30' ASCIIアポストロフィU+0027
中国系組織/再販ドメイン2026-06-30' 右シングルクォートU+2019
AIラボキーワード2026-06-30ʼ 修飾文字アポストロフィU+02BC
ドメインとラボ両方2026-06-30ʹ 修飾文字プライムU+02B9
+ 中国タイムゾーン2026/06/30(上記と同様)Asia/Shanghai · Asia/Urumqi

キーワードにはdeepseek、moonshot、zhipu、minimax、baichuan、stepfun、01aiなどが含まれ、base64 + XOR(91)で保存されています。人間には普通のプロンプトに見えますが、Anthropicのバックエンドには1文字のアポストロフィコードポイントでVPN利用者、中国タイムゾーン、中国系AIラボの可能性が伝わります。教科書的な隠れチャネルです。

モデルが強力になるほどベンダーは自らを制約しなければなりません。それがバイナリのリバースエンジニアリングで初めて判明する秘密であるべきではありません。

03

確認と保護:6ステップRunbook

  1. 01

    ANTHROPIC_BASE_URLを監査:シェル設定とCIシークレットで非公式エンドポイントを検索します。事件Bはプロキシ経路でのみ発動します。

  2. 02

    Claude Codeをアップグレード:報告によれば2.1.197以降(2026年7月1日リリース)を使用してください。

  3. 03

    システムタイムゾーンを確認:Asia/ShanghaiまたはAsia/Urumqiが意図的かどうかを確認します。日付区切りの/-はタイムゾーン信号をエンコードします。

  4. 04

    Native Messagingマニフェストをスキャン(事件A):macOSでは~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.jsonを確認します。

  5. 05

    削除して再生成を観察:JSONを削除し、Claude Desktopを再起動して再生成されるか記録します。エンタープライズ監査証跡に重要です。

  6. 06

    エンタープライズ最小権限:デスクトップエージェントを高権限プログラムとして扱い、本番APIキーを個人ブラウザから分離し、機密CIチェーンには専用Macノードを推奨します。

bash
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
  f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
04

Anthropicはなぜこれを行ったのか?本当にスパイウェアか

コミュニティの見解は慎重です。ほぼ確実に蒸留対策と不正再販防止が動機です。Anthropic、OpenAI、Googleはいずれも競合によるAPI出力の収集を公に懸念しています。中国系再販業者、プロキシ、ラボが主要な疑いの対象です。HNでは合理的な蒸留対策開発者ツールとしてマルウェアに近い挙動で意見が割れました。

意図は擁護可能ですが、手段は擁護できません。見えない句読点、難読化されたバイナリコード、ゼロ開示。開発者の信頼の上に成り立つツールの中にあります。

  • 事件A:第三者ソフトウェアへの無許可改変と、休眠状態の事前配置された攻撃面。Anthropic自身のClaude for Chrome数値:プロンプトインジェクション成功率は対策なし23.6%、対策あり11.2%。
  • 事件B:未開示のテレメトリ / 隠れたユーザー分類。
補足

核心問題:「スパイウェア」というラベルに関わらず、知情同意がなく、意図的に隠されていたことです。

05

2026年のAIベンダー信頼について

  • HNシグナル:thereallo.devの所見は数時間で350点超、100件超のコメントを集めました。
  • ルールセット規模:約147件のbase64 + XOR(91)難読化ドメイン/キーワードパターンが中国系AIラボエンドポイントを標的にしています。
  • 複合リスク:高権限Native Messagingチャネル(A)と未開示プロンプトフィンガープリント(B)が、デスクトップAIエージェントの信頼面を拡大します。

実践的な対応は、デフォルトで不信し証拠を求めること、トグルとドキュメントで蒸留対策を公開すること、最小権限を徹底すること、足で投票し規制(GDPR型の法整備)を求めることです。

Claude Desktop、個人ブラウザ、本番APIキーを1台のノートPCに混在させると境界が曖昧になり、削除したマニフェストも再生成される可能性があります。本番レベルのiOS CI/CDとAIエージェント自動化には、VpsMesh Mac Mini クラウドレンタルが隔離されたmacOSノード、rootレベル制御、24時間稼働を提供し、個人デスクトップエージェントと本番シークレットを混在させるより安定した選択肢となります。

出典

The Register、Malwarebytes、gHacks、YOOTA、thereallo.dev、Tech Startups、TMC Insight、Developers Digest、TechTimes(2.1.197修正)、Antiy Labsリスク分析。

FAQ

よくある質問

従来型のスパイウェアではありませんが、中国系プロキシ利用者向けの未開示プロンプトフィンガープリントは2.1.197で削除されました。未開示の隠れチャネルと表現するのが適切です。

ANTHROPIC_BASE_URLがデフォルト以外の場合に限り、Asia/ShanghaiとAsia/Urumqiを確認し、日付区切りを切り替えていました。公式エンドポイント利用者には影響しません。

いいえ。2026年4月のDesktop Native Messaging注入(Hanff氏)は、2026年6月のCodeステガノグラフィ(thereallo.dev)とは別製品・別トリガーです。

U+0027、U+2019、U+02BC、U+02B9がデフォルト、中国ドメイン一致、AIラボキーワード一致、両方をエンコードします。人間には視覚的に同一に見えます。

蒸留対策と不正再販防止が最も有力です。目的は正当化できますが、隠蔽方法は問題です。

事件BはカスタムBase URLを使うClaude Codeにのみ影響します。通常のWeb版Claudeユーザーには影響しません。

NativeMessagingHosts配下のcom.anthropic.claude_browser_extension.jsonを削除します。Desktop再起動で再生成される可能性があります。隔離エージェントホスティングについてはMac Mini M4 レンタル料金をご覧ください。

必須ではありませんが、24時間Claude Code、OpenClaw、MCPエージェントにはlaunchd常駐のMac Mini M4レンタルとKeychain分離が有効です。ヘルプセンターもご参照ください。