AI セキュリティ 2026年7月3日 約 22 分 Claude Code 隠語術

Claude Code 隠語術事件
Anthropic が一つの引用符でユーザーをタグ付けした方法

静かなブラウザ注入 vs プロンプト Unicode 指紋 · 事件 A/B 事実確認 · 反蒸留の動機 · 自己点検チェックリスト

Claude Code システムプロンプト Unicode シングルクォート隠蔽指紋の概念図

TL;DR:2026 年 6 月末、thereallo.dev の逆解析報告によれば、Claude Code(Web 版ではありません)がユーザーが ANTHROPIC_BASE_URL を非公式アドレスに向けた際、テキスト隠語術でシステムプロンプトの Today's date is... 行を書き換えていました。日付区切りの切り替えと、肉眼では区別しにくい Unicode シングルクォートにより、「中国タイムゾーン」「中国ドメイン/AI ラボ」などの信号をサーバーへ密かに送り返していました。Anthropic は 2.1.197 で関連コードを削除済みです。おそらく反モデル蒸留/転売対策が目的ですが、実装があまりに隠蔽的で意図的に難読化されていた点が争点です。一方、4 月の別事件では Claude Desktop がブラウザへ Native Messaging マニフェストを静かに書き込んでいました——両者は混同されがちですが、本稿では厳密に区別します。本稿の内容:事件 A/B 対照表、Unicode マッピング表、HN 両派の論争、5 ステップの自己防護、ベンダー信頼の観点、FAQ。関連記事:Anthropic IPO 解説AI コーディングアシスタント比較

01

二つの事件を混同しない:事件 A と事件 B

多くの二次報道が独立しつつ関連する二つの事件を一つにまとめており、英語圏の技術読者(HN/Reddit/セキュリティコミュニティ)からは事実誤認と見なされます。執筆前に必ず区別してください。

観点事件 A:静かなブラウザ注入事件 B:システムプロンプト隠語術
対象製品Claude Desktop(macOS クライアント)Claude Code(CLI コーディングツール)
情報源Alexander Hanff 氏(The Register開発者による逆解析、thereallo.dev 公開、Reddit → HN で拡散
時期2026 年 4 月(4/18 頃から)2026 年 6 月 30 日
核心行為com.anthropic.claude_browser_extension.json を静かに書き込み、3 つの拡張機能 ID にサンドボックス外 chrome-native-host 呼び出しを事前承認。ブラウザ未インストールでもディレクトリを事前作成し、削除後の再起動で復活ANTHROPIC_BASE_URL ≠ api.anthropic.com のとき、Today's date is... 行を隠語術で書き換え
呼ばれた名称spyware/backdoor(スパイウェア/バックドア)prompt steganography/covert channel
発動条件Claude Desktop のインストール/起動で即発動非公式 Base URL 設定時のみ。毎回の会話で必ず発動するわけではない
Anthropic の対応公式声明なし。後続バージョンで承認スイッチ追加、根本的な権限モデルは未解決コード存在を認め、7/1 に 2.1.197 で削除。changelog には未記載

引用可能な事実:独立コンサルタント Noah Kenney 氏(Digital 520)が Hanff 氏の技術的主張の再現性を確認。Antiy Labs(安天)が Claude Desktop の高権限ブラウザチャネルリスク分析を公開。HN スレッドは数時間でトップ入りし、350+ points、100+ コメント。コミュニティは「合理的な反蒸留防御」対「開発者ツールとしてはほぼ悪意」に分裂しました。

なぜ開発者は裏切られたと感じるのか

  1. 01

    未開示 + 意図的難読化:ドメイン/キーワードリストは base64 + XOR(91) で軽度難読化。約 147 件のルール。逆解析者は 2.1.193/195/196 すべてに存在を確認しました。

  2. 02

    開発者ツールの信頼ライン:Claude Code は開発者の信頼で成り立ちます。分類信号を句読点に隠す行為は、HN では「malware-adjacent」と評されました。

  3. 03

    Desktop の高権限チャネル事前配置:現時点で悪用されていなくても、ブラウザサンドボックス外の通路を敷いています。Anthropic 自身、Claude for Chrome のプロンプト注入成功率は緩和なし 23.6%、緩和あり 11.2% と公表しています。

  4. 04

    コンプライアンスと E-E-A-T リスク:「意図」を確定事実として書くと信頼を損ないます。「報道によれば/逆解析報告によれば/alleged」の表現を使い、目的(反蒸留)と手段(隠語術)を分けて評価すべきです。

02

隠語術の仕組み:Unicode マッピング表

重要な前提:ANTHROPIC_BASE_URL を非公式アドレス(プロキシ、ゲートウェイ、第三者転売、OpenAI 互換レイヤー)に向けた場合のみ発動します。公式 api.anthropic.com では手を加えません。

発動後、プログラムは一見無害な Today's date is ... 行で次の二つを行います。

検出状況日付形式引用符文字Unicode
デフォルト(ヒットなし)2026-06-30' 標準 ASCII アポストロフィU+0027
中国機関/再販ドメインにヒット2026-06-30' 右シングルクォートU+2019
AI ラボキーワードにヒット(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等)2026-06-30ʼ 修飾レターアポストロフィU+02BC
ドメイン + ラボ両方ヒット2026-06-30ʹ 修飾レタープライムU+02B9
中国タイムゾーン(Asia/Shanghai/Asia/Urumqi)を重畳2026/06/30(引用符ルールは上記と同じ)

要するに:リクエストは普通の英語プロンプトに見えますが、サーバー側は日付区切りと引用符の Unicode コードポイントを見るだけで、「海外 VPN を使っているが実際は中国 TZ、おそらく某中国 AI ラボ」とタグ付けできました。典型的な隠れ通信路(covert channel)です。

環境変数の確認(事件 B の発動条件)
echo $ANTHROPIC_BASE_URL
# 空でなく https://api.anthropic.com 以外 → 指紋ロジックが発動した可能性
claude --version  # ≥ 2.1.197 を確認
03

Anthropic の動機と論争:なぜこうしたのか

コミュニティの主流見解(比較的穏当)は、目的は反蒸留 + 未許可転売対策です。Anthropic、OpenAI、Google はいずれも、競合が API から大量出力を引き出して小モデルを訓練する(distillation)ことを公に懸念しています。中国関連のプロキシ、転売、ラボが重点的な疑いの対象でした。

「目的は理解できる。問題は手段だ」——分類信号を肉眼では見えない形にし、難読化コードを毎リクエストに埋め込む行為は、開発者の信頼で成り立つツールにとって越えてはならない一線です。

HN/コミュニティ陣営代表的見解開発者への示唆
防御派合理的な反蒸留防御。モデル投資を守る商業動機は理解しつつ、隠蔽実装は受け入れない
批判派開発者ツールとしてはほぼ悪意。公開説明とオプトアウトが必要開示、監査可能性、無効化を要求する
セキュリティ派事件 A はサンドボックス外チャネルを事前配置。プロンプト注入リスクも現実的Desktop Agent を高権限アプリとして扱う
04

これはスパイウェアなのか

「スパイウェア」は感情的なラベルです。より正確には次のとおりです。

  • 事件 Aは「第三者ソフトの無許可改変 + 休眠攻撃面の予約」に近い——現時点で悪用されていなくても、ブラウザサンドボックス外の高権限チャネルを事前に敷いています。
  • 事件 Bは「未開示の隠れテレメトリ/ユーザー分類」に近い。

spyware という語を使うかどうかに関わらず、核心は同じです:ユーザーの知情同意なく、意図的に隠蔽されている。

05

自己点検と防御:5 ステップの実践リスト

  1. 01

    Base URL を確認:ANTHROPIC_BASE_URL が設定されているか確認してください。公式エンドポイントなら事件 B は発動しません。Claude Code を 2.1.197+ に更新してください。

  2. 02

    Native Messaging を確認(事件 A):macOS で ~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json を確認し、必要に応じて削除してください。Claude Desktop 再起動で再生成される場合があります。

  3. 03

    タイムゾーンとプロキシの組み合わせ:VPN + 中国 TZ + 第三者 API ゲートウェイを同時利用すると、報告によれば指紋ルールにヒットしやすかった。本番環境ではルーティング方針を文書化することをおすすめします。

  4. 04

    企業/機密環境:本番パイプラインで Desktop Agent を使い続けるか評価してください。最小権限、明示的承認、監査可能性が最低ラインです。参考:OpenClaw グラフィカル承認と隔離

  5. 05

    隔離検収:リモート Mac + VNC の独立ノードで Claude Code を実行し、システム「プライバシーとセキュリティ」、ブラウザ Native Messaging ディレクトリ、キーチェーンダイアログをグラフィカルに確認してください。メイン開発機の汚染を避けられます。プロジェクト終了後にノード交換または停止が可能です。

macOS:各ブラウザの Native Messaging マニフェスト一覧
for app in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser" "Arc/User Data"; do
  f="$HOME/Library/Application Support/$app/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
06

AI ベンダーの越境:私たちはどう向き合うか

警告の本質は「一つの引用符」ではありません。モデル能力が急伸する一方でセキュリティ境界、承認、監査が大幅に遅れているとき、ベンダーは「体験/悪用防止」を名目に信頼の境界を越えやすくなります。PC やスマートフォン黎明期のセキュリティの落とし穴が、デスクトップ AI Agent でそのまま再現されています。

  1. 01

    デフォルト不信、証拠で判断:再現可能、監査可能、無効化可能——これらが揃って初めて信頼に値します。

  2. 02

    隠すのではなく開示を求める:反蒸留は堂々とできます——公開説明とオプトアウトを。句読点に隠す必要はありません。

  3. 03

    最小権限 + 境界隔離:あらゆる Desktop Agent を高権限アプリとして扱ってください。

  4. 04

    選択と制度で縛る:GDPR/個人情報保護法と市場選択が、「技術に境界なし」を抑える最終手段です。

技術に立場はなくても、企業には立場が必要です。能力が大きいほど自己規律を——それはユーザーがバイナリを逆解析して初めて知る秘密であるべきではありません。

参考ソース

The Register(Claude Desktop 権限、2026-04);Malwarebytes/gHacks/YOOTA;thereallo.dev(原典の逆解析);Tech Startups/TMC Insight/Developers Digest/TechTimes(2.1.197 修正);Antiy Labs(安天)リスク分析。

FAQ

よくある質問

従来型のスパイウェアではありませんが、逆解析報告によれば、未開示かつ難読化されたフィンガープリントをシステムプロンプトに埋め込んでいました。Anthropic は 2.1.197 で削除済みです。より正確には未開示の隠れ通信路です。

事件 B は Claude Code で非公式 ANTHROPIC_BASE_URL を設定した場合のみ発動します。公式エンドポイント利用者には影響しません。

報告によれば、非デフォルト Base URL 使用時のみ Asia/ShanghaiAsia/Urumqi を確認し、日付区切りでエンコードしていました。公式エンドポイントでは日付行は変更されません。

Today's 内の引用符が U+0027、U+2019、U+02BC、U+02B9 の間で切り替わり、中国ドメイン、AI ラボキーワード、または両方へのヒットをエンコードしていました。

主流の解釈はモデル蒸留と未許可 API 転売の検出です。目的は理解できますが、未開示かつ意図的に難読化された実装が問題視されています。

いいえ。4 月の Hanff 氏の暴露は Desktop がブラウザ Native Messaging を静かに書き込んだ事件 A です。6 月の thereallo.dev 公開は Code プロンプト隠語術(事件 B)です。

~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/ から com.anthropic.claude_browser_extension.json を削除してください。Claude Desktop 再起動で再生成される場合があり、バージョン設定や Desktop 停止と併用が必要です。

機密コードやシステム権限の監査が必要なチームには、独立したリモート Mac + VNC で Native Messaging、TCC 承認、プロジェクトディレクトリをグラフィカルセッションで確認し、終了後に即停止できる点が有効です。メイン開発機が Desktop Agent に改変されるリスクを下げられます。

おわりに

Claude 隠語術騒動は、AI Agent がブラウザ改変やシステムプロンプト書き換えの能力を得たとき、ローカルのメイン開発機に潜むリスク(権限残留、監査不能なチャネル、難読化テレメトリ)が過小評価されていることを示しています。Windows/Linux メイン機で Claude Code を動かすことは可能ですが、Claude Desktop の Native Messaging や macOS 権限ダイアログの完全検収には、実際の macOS グラフィカルセッションが必要です。

VNCMac リモート Mac をレンタルすれば、隔離ノードに Claude Code をインストールし、VNC でブラウザマニフェストとシステムプライバシー設定を一項目ずつ確認できます。プロジェクト終了後に即停止——高権限 Agent を個人のメイン機に直接展開するより制御しやすい方法です。Mac Mini M4 プランと SSH-VNC ヘルプページから開通できます。