KI-Sicherheit & Datenschutz 3. Juli 2026 ca. 22 Min. Claude Code Steganografie

Claude Code Steganografie
Wie Anthropic Sie mit einem Apostroph markiert

Stille Browser-Injection vs. Unicode-Fingerabdruck im Prompt · Ereignis A/B · Anti-Distillation · Schutz-Checkliste

Schema: Unicode-Apostroph als verdeckter Fingerabdruck in Claude Code System-Prompts

Kurzfassung: Ende Juni 2026 berichtete thereallo.dev per Reverse Engineering, dass Claude Code (nicht die Web-Version) bei gesetzter nicht offizieller ANTHROPIC_BASE_URL die Zeile Today's date is... im System-Prompt per Text-Steganografie verändert: Datums-Trennzeichen und ein mit bloßem Auge kaum unterscheidbarer Unicode-Apostroph transportieren Signale wie China-Zeitzone oder chinesische Domains/KI-Labs zum Server. Anthropic entfernte den Code in 2.1.197. Das Ziel dürfte Anti-Distillation und Schutz vor unautorisiertem Weiterverkauf sein; strittig ist die verdeckte, verschleierte Umsetzung. April 2026 gab es ein separates Ereignis: Claude Desktop schrieb still Native-Messaging-Manifeste in Browser. Beides wird oft vermischt – hier strikt getrennt. Inhalt: Tabelle Ereignis A/B, Unicode-Mapping, HN-Debatte, fünf Schutzschritte, Vertrauen in Anbieter, FAQ. Siehe auch Anthropic-IPO-Analyse und KI-Coding-Assistenten-Vergleich.

01

Zwei Ereignisse, nicht vermischen: A und B

Viele Reposts zwei unabhängige, aber verwandte Vorfälle zu einem verschmelzen. Leser auf HN, Reddit und in Sicherheitsforen erkennen Faktenfehler sofort. Vor Veröffentlichung klar trennen:

DimensionEreignis A: Stille Browser-InjectionEreignis B: System-Prompt-Steganografie
ProduktClaude Desktop (macOS-Client)Claude Code (CLI-Coding-Tool)
WhistleblowerAlexander Hanff (The Register)Entwickler-Reverse-Engineering auf thereallo.dev, Reddit → HN
ZeitpunktApril 2026 (ab ca. 18.4.)30. Juni 2026
KernverhaltenStilles Schreiben von com.anthropic.claude_browser_extension.json, Vorab-Freigabe von 3 Extension-IDs für chrome-native-host außerhalb der Sandbox; Verzeichnisse auch ohne installierten Browser; Datei kehrt nach Löschung und Neustart zurückBei ANTHROPIC_BASE_URL ≠ api.anthropic.com wird Today's date is... per Steganografie geändert
Labelspyware / backdoorprompt steganography / covert channel
AuslöserInstallation/Start von Claude DesktopNur bei nicht offizieller Base URL; nicht bei jedem Chat zwingend
Anthropic-ReaktionKeine offizielle Stellungnahme; später Opt-in-Schalter, zugrunde liegendes Rechtemodell bleibtCodebestand eingestanden, Entfernung in 2.1.197 am 1.7., Changelog ohne Erwähnung

Belegbare Fakten: Der unabhängige Berater Noah Kenney (Digital 520) bestätigte Hanffs technische Behauptungen als reproduzierbar. Antiy Labs veröffentlichte eine Risikoanalyse zum hochprivilegierten Browser-Kanal von Claude Desktop. Die HN-Diskussion erreichte innerhalb weniger Stunden die Startseite mit 350+ Punkten und 100+ Kommentaren, gespalten zwischen „legitime Anti-Distillation“ und „für ein Entwickler-Tool fast bösartig“.

Warum Entwickler sich betrogen fühlen

  1. 01

    Nicht offengelegt + absichtlich verschleiert: Domain-/Keyword-Listen per base64 + XOR(91), ca. 147 Regeln, in 2.1.193/195/196 nachweisbar.

  2. 02

    Vertrauensgrenze bei Dev-Tools: Claude Code lebt vom Vertrauen von Entwicklern. Klassifikationssignale in Satzzeichen zu verstecken, nannte ein HN-Lager „malware-adjacent“.

  3. 03

    Desktop legt Hochprivileg-Kanal an: Auch ohne aktuelle Ausnutzung wird ein Kanal außerhalb der Browser-Sandbox vorbereitet. Anthropic nannte für Claude for Chrome Prompt-Injection-Erfolgsraten ohne Mitigation 23,6 %, mit Mitigation 11,2 %.

  4. 04

    Compliance- und E-E-A-T-Risiko: Absicht als bewiesene Tatsache zu verkaufen schadet Glaubwürdigkeit. Formulierungen wie „laut Bericht/alleged“ nutzen; Ziel (Anti-Distillation) und Mittel (Steganografie) getrennt bewerten.

02

Wie die Steganografie funktioniert: Unicode-Tabelle

Voraussetzung: Nur wenn ANTHROPIC_BASE_URL auf eine nicht offizielle Adresse zeigt (Proxy, Gateway, Drittanbieter-Reseller, OpenAI-kompatible Schicht). Der offizielle api.anthropic.com-Endpunkt bleibt unangetastet.

Nach Auslösung ändert das Programm an der harmlos wirkenden Zeile Today's date is ... zwei Dinge:

Erkanntes MusterDatumsformatApostrophUnicode
Standard (kein Treffer)2026-06-30' ASCII-ApostrophU+0027
Chinesische Institution/Händler-Domain2026-06-30' rechter einfacher AnführungsstrichU+2019
KI-Lab-Keywords (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai u. a.)2026-06-30ʼ Modifikator-ApostrophU+02BC
Domain + Lab beide2026-06-30ʹ Modifikator-PrimeU+02B9
Zusätzlich China-Zeitzone (Asia/Shanghai / Asia/Urumqi)2026/06/30(Apostroph-Regeln wie oben)

Praxis: Der Request wirkt wie normaler englischer Prompt, doch das Backend liest Datums-Trennzeichen und Unicode des Apostrophs und kann taggen: „Nutzer nutzt Auslands-VPN, läuft aber in China-Zeitzone, vermutlich ein chinesisches KI-Lab“. Typischer verdeckter Kanal (covert channel).

Umgebungsvariable prüfen (Auslöser Ereignis B)
echo $ANTHROPIC_BASE_URL
# Wenn gesetzt und nicht https://api.anthropic.com → Fingerabdruck-Logik war möglich
claude --version  # ≥ 2.1.197 prüfen
03

Warum hat Anthropic das getan? Motiv und Debatte

Die zurückhaltende Community-Mehrheit: Ziel ist Anti-Distillation plus Schutz vor unautorisiertem Weiterverkauf. Anthropic, OpenAI und Google sorgen sich öffentlich, dass Wettbewerber API-Outputs massenhaft für kleinere Modelle nutzen. Chinesische Proxys, Reseller und Labs stehen im Verdacht.

„Das Ziel ist nachvollziehbar, die Methode ist das Problem“ – Klassifikation unsichtbar zu machen und verschleierten Code in jeden Request zu packen, überschreitet bei einem auf Entwicklervertrauen bauenden Tool die rote Linie.

HN / Community-LagerPositionPraktische Lehre
VerteidigerLegitime Anti-Distillation, Schutz der ModellinvestitionMotiv verstehen, verdeckte Umsetzung ablehnen
KritikerFür Dev-Tools fast bösartig; Offenlegung und Abschalter nötigTransparenz, Auditierbarkeit, Opt-out verlangen
SicherheitEreignis A bereitet Sandbox-Exit vor; Prompt-Injection-Risiko realDesktop-Agent wie Hochprivileg-Programm behandeln
04

Ist das Spyware?

„Spyware“ ist ein emotional aufgeladenes Label. Präziser:

  • Ereignis A ähnelt „unbefugter Manipulation fremder Software + vorbereitete schlafende Angriffsfläche“ – auch ohne aktuelle Ausnutzung wird ein hochprivilegierter Kanal außerhalb der Browser-Sandbox gelegt.
  • Ereignis B ähnelt „nicht offengelegter verdeckter Telemetrie / Nutzerklassifikation“.

Ob man Spyware sagt oder nicht: ohne informierte Zustimmung und bewusst verdeckt.

05

Selbstprüfung und Schutz: Fünf Schritte

  1. 01

    Base URL prüfen: Ist ANTHROPIC_BASE_URL gesetzt? Offizieller Endpunkt → Ereignis B tritt nicht ein. Claude Code auf 2.1.197+ aktualisieren.

  2. 02

    Native Messaging (Ereignis A): Unter macOS ~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json prüfen und ggf. löschen. Claude Desktop kann die Datei neu anlegen.

  3. 03

    Zeitzone + Proxy: VPN + China-Zeitzone + Drittanbieter-Gateway traf laut Bericht eher auf Fingerabdruck-Regeln. In Produktion Routing dokumentieren.

  4. 04

    Unternehmen / sensible Umgebungen: Prüfen, ob Desktop-Agenten in Produktion bleiben. Minimale Rechte, explizite Freigabe, Auditierbarkeit. Siehe OpenClaw VNC-Freigaben & Isolierung.

  5. 05

    Isolierte Abnahme: Claude Code auf einem gemieteten Remote-Mac mit VNC ausführen, systemweit „Datenschutz & Sicherheit“, Native-Messaging-Verzeichnisse und Keychain-Dialoge grafisch prüfen; nach Projektende Knoten wechseln oder kündigen.

macOS: Native-Messaging-Manifeste pro Browser
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
06

Wenn KI-Anbieter Grenzen überschreiten

Die Warnung liegt nicht im Apostroph, sondern darin, dass bei explodierenden Modellfähigkeiten Sicherheitsgrenzen, Freigaben und Audits hinterherhinken und Anbieter unter dem Deckmantel „UX / Missbrauchsschutz“ Vertrauensgrenzen überschreiten. Die Sicherheitslücken von PC und Smartphone wiederholen sich bei Desktop-KI-Agenten.

  1. 01

    Standardmäßig misstrauen, mit Belegen arbeiten: Reproduzierbar, auditierbar, abschaltbar – erst dann Vertrauen.

  2. 02

    Offenlegung statt Verstecken: Anti-Distillation kann transparent sein – mit Erklärung und Schalter, nicht in Satzzeichen.

  3. 03

    Minimale Rechte + Grenzisolierung: Jeden Desktop-Agenten wie Hochprivileg-Software behandeln.

  4. 04

    Abstimmung mit Füßen + Regulierung: DSGVO, Datenschutzrecht und Marktwahl begrenzen „technik ohne Grenzen“.

Technik kann neutral sein, Unternehmen nicht. Mehr Macht erfordert mehr Selbstbindung – kein Geheimnis, das Nutzer erst per Binär-Reverse-Engineering entdecken.

Quellen

The Register (Claude Desktop, 2026-04); Malwarebytes / gHacks / YOOTA; thereallo.dev (Original-Reverse-Engineering); Tech Startups / TMC Insight / Developers Digest / TechTimes (Fix 2.1.197); Antiy Labs Risikoanalyse.

FAQ

Häufige Fragen

Nicht im klassischen Sinne, aber laut Reverse-Engineering-Bericht bettete es nicht offengelegte, verschleierte Fingerabdrücke in System-Prompts ein. Anthropic entfernte sie in 2.1.197. Präziser: nicht offengelegter verdeckter Kanal.

Ereignis B betrifft nur Claude Code mit nicht offizieller ANTHROPIC_BASE_URL. Offizielle Endpunkte sind nicht betroffen.

Laut Bericht nur bei nicht standardmäßiger Base URL: Prüfung von Asia/Shanghai / Asia/Urumqi und Kodierung über das Datums-Trennzeichen. Offizieller Endpunkt ändert die Datumszeile nicht.

Der Apostroph in Today's wechselt zwischen U+0027, U+2019, U+02BC und U+02B9 und kodiert Treffer auf chinesische Domains, KI-Lab-Keywords oder beides.

Gängige Lesart: Erkennung von Modelldistillation und unautorisiertem API-Weiterverkauf. Legitimes Ziel, verdeckte Umsetzung problematisch.

Nein. April: Hanff – Desktop Native Messaging (Ereignis A). Juni: thereallo.dev – Code-Prompt-Steganografie (Ereignis B).

Unter ~/Library/Application Support/<Browser>/NativeMessagingHosts/ die Datei com.anthropic.claude_browser_extension.json löschen. Neustart von Claude Desktop kann sie wiederherstellen; Desktop deaktivieren oder Version prüfen.

Bei sensiblem Code oder System-Audits: unabhängiger Remote-Mac mit VNC, Native Messaging und TCC-Berechtigungen grafisch prüfen, nach Projektende kündigen – weniger Risiko für den Haupt-Rechner.

Fazit

Die Claude-Steganografie-Debatte zeigt: Sobald KI-Agenten Browser ändern und System-Prompts umschreiben können, werden Risiken auf dem lokalen Haupt-Dev-Rechner (Rechte-Reste, nicht auditierbare Kanäle, verschleierte Telemetrie) unterschätzt. Claude Code auf Windows/Linux ist machbar, doch Native Messaging von Claude Desktop und macOS-Berechtigungsdialoge brauchen eine echte macOS-Grafiksession zur vollständigen Abnahme.

Mieten Sie einen VNCMac Remote-Mac, installieren Sie Claude Code auf einem isolierten Knoten, prüfen Sie per VNC Browser-Manifeste und Datenschutzeinstellungen, kündigen Sie nach Projektende – kontrollierbarer als ein Hochprivileg-Agent auf dem privaten Hauptrechner. Mac mini M4 Tarife und SSH-VNC-Hilfe stehen bereit.