Stille Browser-Injection vs. Unicode-Fingerabdruck im Prompt · Ereignis A/B · Anti-Distillation · Schutz-Checkliste
Kurzfassung: Ende Juni 2026 berichtete thereallo.dev per Reverse Engineering, dass Claude Code (nicht die Web-Version) bei gesetzter nicht offizieller ANTHROPIC_BASE_URL die Zeile Today's date is... im System-Prompt per Text-Steganografie verändert: Datums-Trennzeichen und ein mit bloßem Auge kaum unterscheidbarer Unicode-Apostroph transportieren Signale wie China-Zeitzone oder chinesische Domains/KI-Labs zum Server. Anthropic entfernte den Code in 2.1.197. Das Ziel dürfte Anti-Distillation und Schutz vor unautorisiertem Weiterverkauf sein; strittig ist die verdeckte, verschleierte Umsetzung. April 2026 gab es ein separates Ereignis: Claude Desktop schrieb still Native-Messaging-Manifeste in Browser. Beides wird oft vermischt – hier strikt getrennt. Inhalt: Tabelle Ereignis A/B, Unicode-Mapping, HN-Debatte, fünf Schutzschritte, Vertrauen in Anbieter, FAQ. Siehe auch Anthropic-IPO-Analyse und KI-Coding-Assistenten-Vergleich.
Viele Reposts zwei unabhängige, aber verwandte Vorfälle zu einem verschmelzen. Leser auf HN, Reddit und in Sicherheitsforen erkennen Faktenfehler sofort. Vor Veröffentlichung klar trennen:
| Dimension | Ereignis A: Stille Browser-Injection | Ereignis B: System-Prompt-Steganografie |
|---|---|---|
| Produkt | Claude Desktop (macOS-Client) | Claude Code (CLI-Coding-Tool) |
| Whistleblower | Alexander Hanff (The Register) | Entwickler-Reverse-Engineering auf thereallo.dev, Reddit → HN |
| Zeitpunkt | April 2026 (ab ca. 18.4.) | 30. Juni 2026 |
| Kernverhalten | Stilles Schreiben von com.anthropic.claude_browser_extension.json, Vorab-Freigabe von 3 Extension-IDs für chrome-native-host außerhalb der Sandbox; Verzeichnisse auch ohne installierten Browser; Datei kehrt nach Löschung und Neustart zurück | Bei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird Today's date is... per Steganografie geändert |
| Label | spyware / backdoor | prompt steganography / covert channel |
| Auslöser | Installation/Start von Claude Desktop | Nur bei nicht offizieller Base URL; nicht bei jedem Chat zwingend |
| Anthropic-Reaktion | Keine offizielle Stellungnahme; später Opt-in-Schalter, zugrunde liegendes Rechtemodell bleibt | Codebestand eingestanden, Entfernung in 2.1.197 am 1.7., Changelog ohne Erwähnung |
Belegbare Fakten: Der unabhängige Berater Noah Kenney (Digital 520) bestätigte Hanffs technische Behauptungen als reproduzierbar. Antiy Labs veröffentlichte eine Risikoanalyse zum hochprivilegierten Browser-Kanal von Claude Desktop. Die HN-Diskussion erreichte innerhalb weniger Stunden die Startseite mit 350+ Punkten und 100+ Kommentaren, gespalten zwischen „legitime Anti-Distillation“ und „für ein Entwickler-Tool fast bösartig“.
Nicht offengelegt + absichtlich verschleiert: Domain-/Keyword-Listen per base64 + XOR(91), ca. 147 Regeln, in 2.1.193/195/196 nachweisbar.
Vertrauensgrenze bei Dev-Tools: Claude Code lebt vom Vertrauen von Entwicklern. Klassifikationssignale in Satzzeichen zu verstecken, nannte ein HN-Lager „malware-adjacent“.
Desktop legt Hochprivileg-Kanal an: Auch ohne aktuelle Ausnutzung wird ein Kanal außerhalb der Browser-Sandbox vorbereitet. Anthropic nannte für Claude for Chrome Prompt-Injection-Erfolgsraten ohne Mitigation 23,6 %, mit Mitigation 11,2 %.
Compliance- und E-E-A-T-Risiko: Absicht als bewiesene Tatsache zu verkaufen schadet Glaubwürdigkeit. Formulierungen wie „laut Bericht/alleged“ nutzen; Ziel (Anti-Distillation) und Mittel (Steganografie) getrennt bewerten.
Voraussetzung: Nur wenn ANTHROPIC_BASE_URL auf eine nicht offizielle Adresse zeigt (Proxy, Gateway, Drittanbieter-Reseller, OpenAI-kompatible Schicht). Der offizielle api.anthropic.com-Endpunkt bleibt unangetastet.
Nach Auslösung ändert das Programm an der harmlos wirkenden Zeile Today's date is ... zwei Dinge:
| Erkanntes Muster | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Standard (kein Treffer) | 2026-06-30 | ' ASCII-Apostroph | U+0027 |
| Chinesische Institution/Händler-Domain | 2026-06-30 | ' rechter einfacher Anführungsstrich | U+2019 |
| KI-Lab-Keywords (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai u. a.) | 2026-06-30 | ʼ Modifikator-Apostroph | U+02BC |
| Domain + Lab beide | 2026-06-30 | ʹ Modifikator-Prime | U+02B9 |
| Zusätzlich China-Zeitzone (Asia/Shanghai / Asia/Urumqi) | 2026/06/30 | (Apostroph-Regeln wie oben) | — |
Praxis: Der Request wirkt wie normaler englischer Prompt, doch das Backend liest Datums-Trennzeichen und Unicode des Apostrophs und kann taggen: „Nutzer nutzt Auslands-VPN, läuft aber in China-Zeitzone, vermutlich ein chinesisches KI-Lab“. Typischer verdeckter Kanal (covert channel).
echo $ANTHROPIC_BASE_URL # Wenn gesetzt und nicht https://api.anthropic.com → Fingerabdruck-Logik war möglich claude --version # ≥ 2.1.197 prüfen
Die zurückhaltende Community-Mehrheit: Ziel ist Anti-Distillation plus Schutz vor unautorisiertem Weiterverkauf. Anthropic, OpenAI und Google sorgen sich öffentlich, dass Wettbewerber API-Outputs massenhaft für kleinere Modelle nutzen. Chinesische Proxys, Reseller und Labs stehen im Verdacht.
„Das Ziel ist nachvollziehbar, die Methode ist das Problem“ – Klassifikation unsichtbar zu machen und verschleierten Code in jeden Request zu packen, überschreitet bei einem auf Entwicklervertrauen bauenden Tool die rote Linie.
| HN / Community-Lager | Position | Praktische Lehre |
|---|---|---|
| Verteidiger | Legitime Anti-Distillation, Schutz der Modellinvestition | Motiv verstehen, verdeckte Umsetzung ablehnen |
| Kritiker | Für Dev-Tools fast bösartig; Offenlegung und Abschalter nötig | Transparenz, Auditierbarkeit, Opt-out verlangen |
| Sicherheit | Ereignis A bereitet Sandbox-Exit vor; Prompt-Injection-Risiko real | Desktop-Agent wie Hochprivileg-Programm behandeln |
„Spyware“ ist ein emotional aufgeladenes Label. Präziser:
Ob man Spyware sagt oder nicht: ohne informierte Zustimmung und bewusst verdeckt.
Base URL prüfen: Ist ANTHROPIC_BASE_URL gesetzt? Offizieller Endpunkt → Ereignis B tritt nicht ein. Claude Code auf 2.1.197+ aktualisieren.
Native Messaging (Ereignis A): Unter macOS ~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json prüfen und ggf. löschen. Claude Desktop kann die Datei neu anlegen.
Zeitzone + Proxy: VPN + China-Zeitzone + Drittanbieter-Gateway traf laut Bericht eher auf Fingerabdruck-Regeln. In Produktion Routing dokumentieren.
Unternehmen / sensible Umgebungen: Prüfen, ob Desktop-Agenten in Produktion bleiben. Minimale Rechte, explizite Freigabe, Auditierbarkeit. Siehe OpenClaw VNC-Freigaben & Isolierung.
Isolierte Abnahme: Claude Code auf einem gemieteten Remote-Mac mit VNC ausführen, systemweit „Datenschutz & Sicherheit“, Native-Messaging-Verzeichnisse und Keychain-Dialoge grafisch prüfen; nach Projektende Knoten wechseln oder kündigen.
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json" [ -f "$f" ] && echo "FOUND: $f" done
Die Warnung liegt nicht im Apostroph, sondern darin, dass bei explodierenden Modellfähigkeiten Sicherheitsgrenzen, Freigaben und Audits hinterherhinken und Anbieter unter dem Deckmantel „UX / Missbrauchsschutz“ Vertrauensgrenzen überschreiten. Die Sicherheitslücken von PC und Smartphone wiederholen sich bei Desktop-KI-Agenten.
Standardmäßig misstrauen, mit Belegen arbeiten: Reproduzierbar, auditierbar, abschaltbar – erst dann Vertrauen.
Offenlegung statt Verstecken: Anti-Distillation kann transparent sein – mit Erklärung und Schalter, nicht in Satzzeichen.
Minimale Rechte + Grenzisolierung: Jeden Desktop-Agenten wie Hochprivileg-Software behandeln.
Abstimmung mit Füßen + Regulierung: DSGVO, Datenschutzrecht und Marktwahl begrenzen „technik ohne Grenzen“.
Technik kann neutral sein, Unternehmen nicht. Mehr Macht erfordert mehr Selbstbindung – kein Geheimnis, das Nutzer erst per Binär-Reverse-Engineering entdecken.
The Register (Claude Desktop, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (Original-Reverse-Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (Fix 2.1.197); Antiy Labs Risikoanalyse.
Nicht im klassischen Sinne, aber laut Reverse-Engineering-Bericht bettete es nicht offengelegte, verschleierte Fingerabdrücke in System-Prompts ein. Anthropic entfernte sie in 2.1.197. Präziser: nicht offengelegter verdeckter Kanal.
Ereignis B betrifft nur Claude Code mit nicht offizieller ANTHROPIC_BASE_URL. Offizielle Endpunkte sind nicht betroffen.
Laut Bericht nur bei nicht standardmäßiger Base URL: Prüfung von Asia/Shanghai / Asia/Urumqi und Kodierung über das Datums-Trennzeichen. Offizieller Endpunkt ändert die Datumszeile nicht.
Der Apostroph in Today's wechselt zwischen U+0027, U+2019, U+02BC und U+02B9 und kodiert Treffer auf chinesische Domains, KI-Lab-Keywords oder beides.
Gängige Lesart: Erkennung von Modelldistillation und unautorisiertem API-Weiterverkauf. Legitimes Ziel, verdeckte Umsetzung problematisch.
Nein. April: Hanff – Desktop Native Messaging (Ereignis A). Juni: thereallo.dev – Code-Prompt-Steganografie (Ereignis B).
Unter ~/Library/Application Support/<Browser>/NativeMessagingHosts/ die Datei com.anthropic.claude_browser_extension.json löschen. Neustart von Claude Desktop kann sie wiederherstellen; Desktop deaktivieren oder Version prüfen.
Bei sensiblem Code oder System-Audits: unabhängiger Remote-Mac mit VNC, Native Messaging und TCC-Berechtigungen grafisch prüfen, nach Projektende kündigen – weniger Risiko für den Haupt-Rechner.
Die Claude-Steganografie-Debatte zeigt: Sobald KI-Agenten Browser ändern und System-Prompts umschreiben können, werden Risiken auf dem lokalen Haupt-Dev-Rechner (Rechte-Reste, nicht auditierbare Kanäle, verschleierte Telemetrie) unterschätzt. Claude Code auf Windows/Linux ist machbar, doch Native Messaging von Claude Desktop und macOS-Berechtigungsdialoge brauchen eine echte macOS-Grafiksession zur vollständigen Abnahme.
Mieten Sie einen VNCMac Remote-Mac, installieren Sie Claude Code auf einem isolierten Knoten, prüfen Sie per VNC Browser-Manifeste und Datenschutzeinstellungen, kündigen Sie nach Projektende – kontrollierbarer als ein Hochprivileg-Agent auf dem privaten Hauptrechner. Mac mini M4 Tarife und SSH-VNC-Hilfe stehen bereit.