Claude Code Steganografie-Vorfall: Wie Anthropic Sie mit einem Apostroph markiert

Am 30. Juni 2026 entdeckten Entwickler per Reverse Engineering des Claude-Code-Binaries: Wenn ANTHROPIC_BASE_URL auf einen Nicht-Offiziellen-Endpunkt zeigt, ersetzt der Client in der System-Prompt-Zeile Today's date unauffällig Unicode-Apostrophe und Datums-Trennzeichen — laut Reverse-Engineering-Bericht zur Markierung von Proxy-/Gateway-Nutzern. Claude im Browser bleibt unberührt; die Logik wurde in 2.1.197 entfernt.

TL;DR: Dieser Artikel behandelt das Terminal-Tool Claude Code (npm-Paket @anthropic-ai/claude-code) — nicht den Claude-Webbrowser. Laut Reverse-Engineering-Bericht modifiziert der Client bei gesetztem ANTHROPIC_BASE_URL auf etwas anderes als api.anthropic.com die System-Prompt-Zeile Today's date is … mit für das Auge unsichtbaren Unicode- und Datumsformat-Anpassungen; mutmaßlich zur Anti-Destillation und Erkennung inoffizieller Routen. Die Logik wurde in 2.1.197 (2026-07-01) entfernt, im offiziellen Changelog aber nicht erwähnt. Für Entwickler und Tech Leads, die Claude Code, Cursor oder Copilot als Desktop-/Terminal-Agenten einsetzen: Wir trennen zwei unabhängige Kontroversen 2026 (April Desktop Native Messaging vs. Juni Steganografie), liefern eine Prinzipientabelle, ein Sechs-Schritte-Schutz-Runbook, Vertrauensprinzipien und FAQ. Wer gerade KI-Coding-Assistenten 2026 vergleicht, kann diesen Text als Ergänzung zum Thema Vertrauensgrenzen bei Terminal-Agenten lesen.

00Anthropics Vertrauenskrise 2026: Zwei Ereignisse — nicht verwechseln

In der ersten Jahreshälfte 2026 löste Anthropic nacheinander Datenschutz- und Sicherheitsdebatten auf zwei Produktlinien aus: Desktop-Client und Terminal-Coding-Agent. Die Community fasst beides oft unter „Claude-Spyware“ zusammen — Trigger, Betroffenheit und Remediation unterscheiden sich jedoch grundlegend. Die folgende Tabelle trennt Ereignis A und Ereignis B; Runbooks und interne Meldungen sollten sie getrennt behandeln.

DimensionEreignis A: Claude Desktop Native Messaging (April 2026)Ereignis B: Claude Code System-Prompt-Steganografie (30. Juni 2026)
ProduktClaude Desktop macOS-Client (Claude.app)Claude Code CLI (@anthropic-ai/claude-code)
Erste OffenlegungDatenschutzberater Alexander Hanff (April 2026); Antiy Labs veröffentlicht RisikoanalyseEntwickler Thereallo (thereallo.dev); Reddit-Nutzer LegitMichel777; Hacker News
VerhaltenBei Installation stillschweigendes Schreiben eines Chromium Native-Messaging-Manifests; Vorautorisierung der Browser-Erweiterung für lokale Binärkommunikation — auch ohne installierten BrowserBei abweichendem ANTHROPIC_BASE_URL werden in Today's date is … Unicode-Apostroph-Varianten und zeitzonenabhängige Datums-Trennzeichen eingebettet
TriggerInstallation/Start von Claude DesktopNur bei API-Routing über benutzerdefinierte Base URL (Proxy, Gateway, API-Weiterverkauf)
DrittbestätigungNoah Kenney (Digital 520) bestätigt Hanffs Fund unabhängigThe Register, TechTimes u. a.; Anthropic-Mitarbeiter Thariq Shihipar antwortet auf X
CommunityDatenschutz- und ePrivacy-Debatte; Malwarebytes, gHacksHacker News 350+ Punkte, 100+ Kommentare; Spaltung „Anti-Destillation berechtigt“ vs. „Heimliche Markierung inakzeptabel“
Fix-StatusSpätere Versionen sollen Opt-in-Schalter erhalten; Angriffsfläche weiter diskutiert2.1.197 (2026-07-01) merged Entfernungs-PR; Changelog schweigt

Im Vergleich mit der Gemini-CLI-Vertrauenskrise und Anthropic AI for Science lässt sich Ereignis B so lesen: Der Hersteller wägt Anti-Modell-Destillation gegen Transparenz bei Entwicklertools ab. Laut Anthropic sollte das Experiment unautorisierten Weiterverkauf und Destillation stoppen — doch steganografische Markierung plus undokumentierte Entfernung verstärken den Vertrauensverlust.

SchmerzpunktWarum ein einziges Apostroph Entwickler beunruhigt

Claude Code ist ein hochprivilegierter Terminal-Agent auf Ihrer Maschine oder in CI: liest Repositories, ruft Tools auf, verbindet sich per MCP mit externen Systemen. Entwickler erwarten, dass der an das Modell gesendete System-Prompt dem in der UI Entspricht und Umgebungsvariablen nur das Routing steuern — nicht heimlich den Prompt-Inhalt. Laut Reverse-Engineering-Bericht bricht Ereignis B diese Erwartung:

  • Verdeckter Kanal: Der Fingerabdruck sitzt nicht in einem separaten Telemetrie-Feld, sondern in der bei jeder Anfrage erscheinenden Datumszeile — für Auge und Diff-Tools nahezu unsichtbar.
  • Bedingter Trigger: Direktverbindungen zu api.anthropic.com sollen laut Bericht nicht betroffen sein; SiliconFlow-, DeepSeek-Gateways, Unternehmens-Reverse-Proxies und andere benutzerdefinierte ANTHROPIC_BASE_URL-Pfade aktivieren die Logik — stark überlappend mit dem API-Proxy-Ökosystem.
  • Listen-Obfuskation: Domain-Listen werden per base64 + XOR(91) verschleiert; laut Reverse Engineering ca. 147 Regeln mit Keywords wie deepseek, moonshot, zhipu und zahlreichen Gateway-Domains.
  • Versionsdrift: Die Logik soll seit 2.1.91 (Anfang April 2026) existieren; in 2.1.193 / 2.1.195 / 2.1.196 noch reproduzierbar; erst 2.1.197 entfernt.
  • Offenlegungslücke: Der Entfernungs-Commit ist gemerged, die Release Notes erwähnen die Steganografie nicht — Compliance- und SBOM-Audits können Changelogs allein nicht schließen.

Auf Hacker News argumentiert eine Fraktion: Modellschutz vor Destillation ist legitimes Geschäftsinteresse. Die andere: Steganografie in einem bezahlten Entwicklertool ohne Nutzerinformation widerspricht dem „Ask for trust“-Narrativ. Die Spaltung zeigt: Ein standardisiertes Vertrauensmodell für Terminal-Agenten fehlt noch.

01Steganografie-Prinzip: Wie die Today's-date-Zeile den Fingerabdruck kodiert

Laut thereallo.dev und Reverse-Engineering-Artikeln von Vincent Schmalbach lässt sich die Pipeline in vier Schritte fassen: (1) Lesen von process.env.ANTHROPIC_BASE_URL; (2) bei leer oder offizieller API normale Datumszeile; (3) sonst Hostname parsen und gegen XOR-dekodierte Domain-/Keyword-Tabelle prüfen; (4) je nach Treffer Unicode-Apostroph wählen und bei passender Systemzeitzone - im Datum durch / ersetzen.

Bedingung (laut Reverse Engineering)Apostroph in Today'sUnicodeDatumsbeispiel
Nicht-Standard-Base-URL, Host nicht in Liste, kein Lab-KeywordASCII-GeradeapostrophU+0027 '2026-06-30 (Nicht-China-Zeitzone)
Host trifft bekannte Gateway-/Weiterverkaufs-DomainRechter einfacher AnführungsstrichU+2019 'wie oben
Host nicht in Liste, aber AI-Lab-KeywordModifizierender Buchstabe-ApostrophU+02BC ʼwie oben
Domain-Liste und Keyword gleichzeitigModifizierender Buchstabe PrimeU+02B9 ʹwie oben
Systemzeitzone Asia/Shanghai oder Asia/Urumqi(kombiniert mit obiger Tabelle)2026/06/30 (- wird /)

Domain- und Keyword-Tabellen liegen im Binary als base64, dann XOR(91) vor — laut Reverse Engineering ca. 147 Regeln mit Strings wie deepseek, moonshot, zhipu, siliconflow und vielen Proxy-Domains. Normalisiert oder bewahrt der Anthropic-Server die Original-Unicode-Zeichen vor der Speicherung, lassen sich aus derselben englischen Zeile Signale lesen: Proxy-Nutzung, China-AI-Ökosystem-Routing, China-Zeitzone — mutmaßlich für Anti-Destillation und unautorisierten Weiterverkauf, kein von der Community bewiesenes „aktives Spionage“-Urteil.

Pseudocode (laut Reverse-Engineering-Bericht, kein offizieller Quellcode)
function renderDateLine(date) {
  if (!customBaseUrl()) return `Today's date is ${date}.`;
  const { knownHost, labKeyword, cnTZ } = classifyRoute();
  const apostrophe = pickApostrophe(knownHost, labKeyword);
  const rendered = cnTZ ? date.replaceAll("-", "/") : date;
  return `Today${apostrophe}s date is ${rendered}.`;
}
  • Zitierbare Daten 1: Steganografie-Logik soll seit Claude Code 2.1.91 existieren; bei Veröffentlichung noch in 2.1.196 nachweisbar.
  • Zitierbare Daten 2: Obfuskierte Domain-/Keyword-Regeltabelle laut Reverse Engineering ca. 147 Einträge, versteckt via XOR(91) und base64.
  • Zitierbare Daten 3: Hacker-News-Thread 350+ Punkte, 100+ Kommentare — Community gespalten zwischen „Anti-Destillation OK“ und „Entwicklertools dürfen nicht heimlich markieren“.

02Versions-Timeline und Motivation: Gerüchte vs. offizielle Stellungnahme

Version / ZeitpunktLaut öffentlichen Infos und Reverse Engineering
2.1.91 (ca. 2026-04-02)Reddit-Nutzer LegitMichel777 berichtet von der Logik in dieser Version
2.1.193 / 2.1.195 / 2.1.196Community reproduziert Steganografie-Zweig in npm-Paket und embedded Chunks
2026-06-30Thereallo veröffentlicht Reverse-Engineering-Artikel; HN/Reddit eskalieren
2.1.197 (2026-07-01)Entfernungs-PR gemerged; offizielles Changelog schweigt

Anthropic-Mitarbeiter Thariq Shihipar erklärte auf X, es handele sich laut seiner Darstellung um ein im März gestartetes Experiment gegen unautorisierten Weiterverkauf und Modell-Destillation; ein Rollback sei geplant. The Register und andere berichten, Anthropic habe den Code bestätigt und eine Behebung zugesagt. Das sind externe Statements; ob der Server die Markierungen tatsächlich auswertet oder Konten-Risiko beeinflusst, hat Anthropic nicht offengelegt — dieser Artikel behauptet keine unbekannten Folgen als Fakten.

Parallel offenbarte ein Quellcode-Leak Mechanismen wie ANTI_DISTILLATION_CC (z. B. Injektion störender Tool-Daten). Mutmaßlich gehört die Steganografie zur gleichen „Modellschutz“-Toolbox — doch heimliche System-Prompt-Änderung schadet Entwicklervertrauen stärker als dokumentierte API-Felder.

03Ist das „Spyware“? Wie beide Ereignisse einzuordnen sind

Ereignis A: Unautorisierte lokale Kanal-Vorkonfiguration

Hanff und Antiy Labs werfen vor: Claude Desktop schreibt ohne Nutzerhinweis in Chrome-, Edge-, Brave-, Arc-, Vivaldi- und Opera-Pfade die Datei com.anthropic.claude_browser_extension.json und autorisiert Erweiterungs-ID und lokalen Helper vorab; nach Löschung kann die App sie automatisch neu anlegen. Noah Kenney bestätigt unabhängig: Es entsteht eine persistente Vorautorisierung „Browser-Erweiterung → Binär außerhalb der Sandbox“.

Die Risikokette: Anthropics eigene Dokumentation nennt für Claude for Chrome Prompt-Injection-Risiken — ohne Mitigation ca. 23,6 % Erfolgsrate, mit Mitigation noch ca. 11,2 %. Ist die Erweiterung installiert und das Manifest vorkonfiguriert, könnte laut Sicherheitsanalyse eine Injection auf einer bösartigen Seite theoretisch über Erweiterung und Native Messaging lokale Nutzerrechte erreichen — unautorisierte lokale Konfigurationsänderung plus bekannter hoher Injection-Erfolg, kein klassisches Trojaner-Profil, aber starke Compliance- und ePrivacy-Kontroverse.

Ereignis B: Undokumentierte Prompt-Schicht-Telemetrie

Ereignis B ändert keine lokalen Dateien, sondern bettet Klassifikationssignale in den für Nutzer unsichtbaren System-Prompt ein — ohne separates Opt-in. Laut Reverse Engineering ist das ein undokumentierter Telemetrie-/Klassifikationskanal, der Transparenz und Datenminimierung untergräbt. Ob das rechtlich „Spyware“ ist, hängt von Jurisdiktion und Vertrag ab; technisch präziser: heimliche Klassifikationsmarkierung in Entwicklertools, Changelog bei Entfernung stumm.

Formulierungsdisziplin: Anthropics Motive werden mit „laut Bericht“, „laut Reverse Engineering“, „laut externer Darstellung“ bezeichnet; unbekannte Server-Nutzung oder Kontosanktionen werden nicht als Fakten behauptet. Unternehmens-Audits sollten Ereignis A (Manifest-Pfade) und Ereignis B (Base URL / Version) getrennt abdecken.

04Sechs-Schritte-Schutz-Runbook (Claude Code + Desktop)

  1. 01
    ANTHROPIC_BASE_URL prüfen: In Shell, ~/.claude/settings.json und CI-Secret-Stores alle Claude-Code-Instanzen auflisten. Zeigt die URL auf eine Nicht-Offizielle-API, soll laut Reverse Engineering die Steganografie-Zweig aktiviert worden sein; Unternehmens-Gateways dokumentieren und von Security freigeben lassen.
  2. 02
    Claude Code auf ≥ 2.1.197 aktualisieren: claude --version oder npm ls -g @anthropic-ai/claude-code ausführen. Versionen unter 2.1.197 sollen die Logik noch enthalten; nach dem Upgrade Changelog prüfen (schweigt zu diesem Punkt) und Binary oder Version-Pin selbst verifizieren.
  3. 03
    Claude Desktop Native Messaging auditieren: Unter macOS in ~/Library/Application Support/Google/Chrome/NativeMessagingHosts/ und äquivalenten Edge-, Brave-, Arc-Pfaden nach com.anthropic.claude_browser_extension.json suchen. Nicht benötigte Browser-Automatisierung: Manifest löschen und protokollieren, ob Desktop es neu erstellt.
  4. 04
    Systemzeitzone prüfen: Ereignis B soll bei Asia/Shanghai und Asia/Urumqi das Datums-Trennzeichen wechseln. CI und Cloud-Dev-Boxen auf erwartete Zeitzone setzen; bei Bedarf TZ=UTC in der Dokumentation fixieren.
  5. 05
    Enterprise-Least-Privilege: Wer Desktop installieren, Base URL und API-Keys konfigurieren darf, einschränken; MCP und Browser-Erweiterungen genehmigungspflichtig; Claude Code von Produktions-Secrets isolieren.
  6. 06
    Entwicklungsumgebung isolieren und auditieren: Agenten auf separatem Mac oder dediziertem Bare-Metal-Cloud-Knoten von Alltags-Browser und privater Apple-ID trennen; regelmäßig ausgehende System-Prompt-Samples prüfen (MITM-Lab) oder auf Hersteller-SBOM vertrauen. Für stabile, zurücksetzbare Mac-CI-/Agent-Hosts: NUKCLOUD-Preise und Bestellseite für exklusive Knoten.

05Vertrauen in KI-Anbieter: Vier umsetzbare Beschaffungsprinzipien

Terminal-Agenten lesen Code, rufen Tools auf und halten API-Keys. Die Claude-Code-Steganografie und Desktop-Manifest-Kontroverse 2026 zeigen: Herstellerdokumentation ≠ Laufzeitverhalten. Beschaffungs- und Plattform-Teams können diese vier Prinzipien anwenden (Anthropic, Google, OpenAI, Cursor u. a.):

  1. Beobachtbares Verhalten: System-Prompt-Injektionen, umgebungsvariablengetriggerte Logik und lokale Dateischreibvorgänge müssen dokumentiert oder per SBOM nachvollziehbar sein; Changelogs müssen sicherheitsrelevante Entfernungen abdecken.
  2. Datenminimierung: Klassifikation und Missbrauchsschutz über explizite API-Felder oder Opt-in-Telemetrie — keine steganografischen Kanäle.
  3. Lokale Änderungen brauchen Consent: Native Messaging, Browser-Erweiterungen, LaunchAgents vorinstalliert = Verstoß, außer bei expliziter Einzelautorisierung beim ersten Gebrauch.
  4. Verifizierbare Lieferkette: Version pinnen, npm-Hash prüfen, Diff in isolierter Umgebung; Agent-Host vom Produktionsnetz trennen für schnelles Rebuild.

Vertrauensrisiken bei Desktop-Agenten und Claude Code liegen oft nicht in der Antwortqualität, sondern in lokalen Nebenwirkungen, die Sie nicht geprüft haben, und unsichtbaren ausgehenden Payloads. Auf geteilten Laptops oder oversellten VPS mit 7×24-Agenten kommen Nachbar-Interferenz und abgebrochene Long-Lives dazu. Für auditierbare, per SSH erreichbare Hosts mit Xcode und Claude Code trennt NUKCLOUD Multi-Region Bare-Metal Mac / Cloud-Mac-Knoten die Agent-Umgebung vom Unternehmens-Alltagsrechner — exklusive Hardware, Root, flexible Tages-/Monatsabrechnung, kleinere Angriffsfläche. Zuerst Preisseite für Specs, dann auf der Bestellseite eine isolierte Dev-Umgebung testen; Details in der Hilfe und Konsole.

06Häufige Fragen

Ist Claude Code Steganografie Spyware?
Rechtlich variiert das je nach Land. Technisch: Ereignis B ist eine in der UI nicht offengelegte System-Prompt-Klassifikation, Ereignis A eine unautorisierte Native-Messaging-Vorkonfiguration. Beides untergräbt Vertrauen schwer; ob „Spyware“ im Rechtssinn gilt, hängt von Vertrag und lokalem Recht ab — Unternehmen sollten das Runbook umsetzen, nicht nur auf Markenvertrauen bauen.
Betrifft das normale Claude-Web?
Nein. Die Steganografie sitzt im Claude Code CLI, nicht im Browser-Chat. Nutzer nur von claude.ai brauchen für Ereignis B kein CLI-Upgrade; ist Claude Code oder Desktop lokal installiert, Version und Manifest dennoch getrennt prüfen.
Wie entferne ich die Native-Messaging-Injection von Claude Desktop?
Unter macOS in den NativeMessagingHosts-Ordnern der Chromium-Browser com.anthropic.claude_browser_extension.json löschen und prüfen, ob Claude Desktop nach Neustart neu schreibt. Laut Hanff kann die App die Datei wiederherstellen; langfristig Browser-Integration deaktivieren, Version ohne dieses Verhalten wählen und Verzeichnisänderungen überwachen.
Reicht es, die Zeitzone auf China zu setzen?
Nein, allein reicht das nicht. Laut Reverse Engineering wird -/ nur bei gesetztem Nicht-Offiziellen-ANTHROPIC_BASE_URL und Zeitzone Asia/Shanghai oder Asia/Urumqi zusätzlich angewendet. Bei direkter offizieller API soll der Pfad laut Bericht nicht aktiv sein.
Was ist der „Apostrophe Trick“?
In Today's wird das ASCII-Apostroph U+0027 durch optisch nahezu identische Zeichen U+2019, U+02BC, U+02B9 ersetzt, um Kombinationen wie „Domain-Liste getroffen / AI-Lab-Keyword getroffen“ zu kodieren. Menschen sehen keinen Unterschied; Unicode-bewusste Logs oder Server können dekodieren.
Sind Desktop-April und Juni-Steganografie dasselbe?
Nein. Ereignis A betrifft Claude Desktop und Browser-Brücke; Ereignis B betrifft Claude Code bei benutzerdefiniertem API-Routing. Produkt, Trigger und Fix-Version unterscheiden sich — interne Meldungen und Scans getrennt führen.
Warum hat Anthropic das laut öffentlicher Darstellung eingebaut?
Thariq Shihipar nannte es laut seiner Aussage ein Experiment gegen unautorisierten Weiterverkauf und Modell-Destillation; The Register berichtet über Investitionen in Klassifikatoren und Verhaltens-Fingerabdrücke. Die Kontroverse: Das Ziel ist nachvollziehbar, die heimliche Prompt-Änderung in Entwicklertools und das stille Changelog bei Entfernung nicht.
Muss ich trotzdem auf 2.1.197 upgraden?
Ja, empfohlen. 2.1.197 hat den Steganografie-PR gemerged. Nutzer mit benutzerdefiniertem ANTHROPIC_BASE_URL sollten nach dem Upgrade Umgebungsvariablen und CI-Images erneut prüfen; Compliance-Teams Upgrade-Nachweise und Version-Pins führen, da das Changelog schweigt.
Werde ich bei API-Proxy (z. B. Gateway) sicher markiert?
Laut Reverse Engineering kann bei Nicht-Offizieller-ANTHROPIC_BASE_URL und Treffer in Regeltabelle oder Keywords die Datumszeile geändert werden — vor 2.1.197. Nach Upgrade ist die Logik entfernt; andere Anti-Destillation-Mechanismen (z. B. ANTI_DISTILLATION_CC) weiter per Hersteller-Updates und Community-Reverse-Engineering verfolgen.

07Quellen

  • The Register — Bericht über Anthropics Entfernung des Claude-Code-Geheimcodes
  • thereallo.dev — Reverse-Engineering-Artikel zur System-Prompt-Steganografie
  • Antiy Labs — Risikoanalyse Claude Desktop Native Messaging
  • Alexander Hanff — Originaloffenlegung stiller Manifest-Installation (That Privacy Guy u. a.)
  • Hacker News — Diskussion Ende Juni 2026 (Größenordnung 350+ Punkte, 100+ Kommentare)
  • Reddit — LegitMichel777 u. a. zu Verhalten ab 2.1.91
  • Vincent Schmalbach, TechTimes u. a. — technische Nachverfolgung zu ANTHROPIC_BASE_URL und Unicode-Markierung

Terminal-Agenten werden zum „Praktikanten mit Root“. Der Claude-Code-Steganografie-Vorfall erinnert daran: Beim Vergleich von Cursor vs. Claude Code vs. Copilot gehört neben SWE-bench und Preis die Frage — ändert das Tool heimlich den Prompt, den Sie ans Modell senden? Den Agenten auf einem rebuildbaren, isolierten Mac zu betreiben, ist 2026 eine pragmatische Entscheidung.