サイレントブラウザ注入 · プロンプトステガノグラフィ · 蒸留対策の動機 · 6ステップ保護Runbook
Claude CodeやClaude Desktopを使っているなら、2026年に起きた2つの事件は見逃せません。リバースエンジニアリング報告によれば、Claude CodeはANTHROPIC_BASE_URLが公式エンドポイント以外を指す場合、Today's date is...行を書き換え、見た目は同じUnicodeアポストロフィで中国タイムゾーンとプロキシ信号をエンコードしていました。別件として、Claude Desktopが複数ブラウザへNative Messagingマニフェストを無言で注入したという報告もあります。本記事では両事件を切り分け、Unicodeフィンガープリント対照表、蒸留対策の動機、Hacker News議論、6ステップ保護Runbook、FAQ 8問を解説します。
結論から言えば、従来型のスパイウェアではありません。ただしAnthropicは、開発者向けツール内で未開示かつ意図的に隠されたユーザー分類を行っていたと報告されています。目的(蒸留対策)と手段(ステガノグラフィ)は別々に評価する必要があります。関連はあっても別物の2つの話を混同しないでください。HNやセキュリティ読者は事実誤認をすぐに指摘します。
事件A · Claude Desktopのサイレントブラウザ注入(2026年4月):プライバシーコンサルタントAlexander Hanff氏(The Register)は、macOSにClaude Desktopをインストールすると、Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromiumへcom.anthropic.claude_browser_extension.jsonが無言で書き込まれ、3つの拡張機能IDがブラウザサンドボックス外のchrome-native-hostをフルユーザー権限で呼び出せるよう事前承認されると報告しました。未インストールのブラウザ用ディレクトリも作成され、削除しても再起動で復活する可能性があります。Noah Kenney(Digital 520)が再現を確認し、Antiy Labsが専用リスク分析を公開しました。Anthropicの公式回答は未確認です。後続ビルドでは承認トグルが追加されましたが、権限モデル自体は依然として論争の的です。
事件B · Claude Codeのプロンプトステガノグラフィ(2026年6月30日):開発者がClaude Codeバイナリをリバースエンジニアリングし、thereallo.devで公開。RedditとHacker Newsで拡散しました。ANTHROPIC_BASE_URL ≠ api.anthropic.comのとき、システムプロンプトの日付行が改変されます。デフォルトでは毎会話発動ではありません。HNスレッドは数時間でフロントページに上がり、350点超、100件超のコメントを記録しました。
呼び方の違い:事件Aは「スパイウェア」「バックドア」、事件Bは「プロンプトステガノグラフィ」「隠れチャネル」と呼ばれました。
Anthropicの対応:事件Aへの公式回答は未確認です。事件Bについては複数メディアがAnthropicがコードを認め、Claude Code 2.1.197(2026年7月1日)で削除したと報じています。変更履歴への記載はありません。
バージョン監査:リバースエンジニアは2.1.193、2.1.195、2.1.196でも存在を確認しました。ドメイン・キーワードリストはbase64 + XOR(91)で難読化され、約147ルールあります。
表現上の注意:本記事では「報告によれば」「指摘されている」「リバースエンジニアリング所見」などの表現を用います。ベンダーの意図を確定事実として述べないでください。
前提条件:ANTHROPIC_BASE_URLがプロキシ、ゲートウェイ、再販業者、OpenAI互換レイヤーを指す場合にのみ発動します。公式のapi.anthropic.comではプロンプトは改変されません。
| 観点 | 事件A:ブラウザ注入 | 事件B:プロンプトステガノグラフィ |
|---|---|---|
| 製品 | Claude Desktop(macOS) | Claude Code(CLI) |
| 情報源 | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| 時期 | 2026年4月(4/18頃以降) | 2026年6月30日 |
| トリガー | Claude Desktopのインストール/起動 | 非公式Base URLのみ |
| 挙動 | Native Messagingマニフェスト + chrome-native-host | 日付区切り + Unicodeアポストロフィ切替 |
| 検出条件 | 日付 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト(不一致) | 2026-06-30 | ' ASCIIアポストロフィ | U+0027 |
| 中国系組織/再販ドメイン | 2026-06-30 | ' 右シングルクォート | U+2019 |
| AIラボキーワード | 2026-06-30 | ʼ 修飾文字アポストロフィ | U+02BC |
| ドメインとラボ両方 | 2026-06-30 | ʹ 修飾文字プライム | U+02B9 |
| + 中国タイムゾーン | 2026/06/30 | (上記と同様) | Asia/Shanghai · Asia/Urumqi |
キーワードにはdeepseek、moonshot、zhipu、minimax、baichuan、stepfun、01aiなどが含まれ、base64 + XOR(91)で保存されています。人間には普通のプロンプトに見えますが、Anthropicのバックエンドには1文字のアポストロフィコードポイントでVPN利用者、中国タイムゾーン、中国系AIラボの可能性が伝わります。教科書的な隠れチャネルです。
モデルが強力になるほどベンダーは自らを制約しなければなりません。それがバイナリのリバースエンジニアリングで初めて判明する秘密であるべきではありません。
ANTHROPIC_BASE_URLを監査:シェル設定とCIシークレットで非公式エンドポイントを検索します。事件Bはプロキシ経路でのみ発動します。
Claude Codeをアップグレード:報告によれば2.1.197以降(2026年7月1日リリース)を使用してください。
システムタイムゾーンを確認:Asia/ShanghaiまたはAsia/Urumqiが意図的かどうかを確認します。日付区切りの/と-はタイムゾーン信号をエンコードします。
Native Messagingマニフェストをスキャン(事件A):macOSでは~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.jsonを確認します。
削除して再生成を観察:JSONを削除し、Claude Desktopを再起動して再生成されるか記録します。エンタープライズ監査証跡に重要です。
エンタープライズ最小権限:デスクトップエージェントを高権限プログラムとして扱い、本番APIキーを個人ブラウザから分離し、機密CIチェーンには専用Macノードを推奨します。
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
[ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
コミュニティの見解は慎重です。ほぼ確実に蒸留対策と不正再販防止が動機です。Anthropic、OpenAI、Googleはいずれも競合によるAPI出力の収集を公に懸念しています。中国系再販業者、プロキシ、ラボが主要な疑いの対象です。HNでは合理的な蒸留対策対開発者ツールとしてマルウェアに近い挙動で意見が割れました。
意図は擁護可能ですが、手段は擁護できません。見えない句読点、難読化されたバイナリコード、ゼロ開示。開発者の信頼の上に成り立つツールの中にあります。
核心問題:「スパイウェア」というラベルに関わらず、知情同意がなく、意図的に隠されていたことです。
実践的な対応は、デフォルトで不信し証拠を求めること、トグルとドキュメントで蒸留対策を公開すること、最小権限を徹底すること、足で投票し規制(GDPR型の法整備)を求めることです。
Claude Desktop、個人ブラウザ、本番APIキーを1台のノートPCに混在させると境界が曖昧になり、削除したマニフェストも再生成される可能性があります。本番レベルのiOS CI/CDとAIエージェント自動化には、VpsMesh Mac Mini クラウドレンタルが隔離されたmacOSノード、rootレベル制御、24時間稼働を提供し、個人デスクトップエージェントと本番シークレットを混在させるより安定した選択肢となります。
The Register、Malwarebytes、gHacks、YOOTA、thereallo.dev、Tech Startups、TMC Insight、Developers Digest、TechTimes(2.1.197修正)、Antiy Labsリスク分析。
従来型のスパイウェアではありませんが、中国系プロキシ利用者向けの未開示プロンプトフィンガープリントは2.1.197で削除されました。未開示の隠れチャネルと表現するのが適切です。
ANTHROPIC_BASE_URLがデフォルト以外の場合に限り、Asia/ShanghaiとAsia/Urumqiを確認し、日付区切りを切り替えていました。公式エンドポイント利用者には影響しません。
いいえ。2026年4月のDesktop Native Messaging注入(Hanff氏)は、2026年6月のCodeステガノグラフィ(thereallo.dev)とは別製品・別トリガーです。
U+0027、U+2019、U+02BC、U+02B9がデフォルト、中国ドメイン一致、AIラボキーワード一致、両方をエンコードします。人間には視覚的に同一に見えます。
蒸留対策と不正再販防止が最も有力です。目的は正当化できますが、隠蔽方法は問題です。
事件BはカスタムBase URLを使うClaude Codeにのみ影響します。通常のWeb版Claudeユーザーには影響しません。
NativeMessagingHosts配下のcom.anthropic.claude_browser_extension.jsonを削除します。Desktop再起動で再生成される可能性があります。隔離エージェントホスティングについてはMac Mini M4 レンタル料金をご覧ください。
必須ではありませんが、24時間Claude Code、OpenClaw、MCPエージェントにはlaunchd常駐のMac Mini M4レンタルとKeychain分離が有効です。ヘルプセンターもご参照ください。