TL;DR: Dieser Artikel behandelt das Terminal-Tool Claude Code (npm-Paket @anthropic-ai/claude-code) — nicht den Claude-Webbrowser. Laut Reverse-Engineering-Bericht modifiziert der Client bei gesetztem ANTHROPIC_BASE_URL auf etwas anderes als api.anthropic.com die System-Prompt-Zeile Today's date is … mit für das Auge unsichtbaren Unicode- und Datumsformat-Anpassungen; mutmaßlich zur Anti-Destillation und Erkennung inoffizieller Routen. Die Logik wurde in 2.1.197 (2026-07-01) entfernt, im offiziellen Changelog aber nicht erwähnt. Für Entwickler und Tech Leads, die Claude Code, Cursor oder Copilot als Desktop-/Terminal-Agenten einsetzen: Wir trennen zwei unabhängige Kontroversen 2026 (April Desktop Native Messaging vs. Juni Steganografie), liefern eine Prinzipientabelle, ein Sechs-Schritte-Schutz-Runbook, Vertrauensprinzipien und FAQ. Wer gerade KI-Coding-Assistenten 2026 vergleicht, kann diesen Text als Ergänzung zum Thema Vertrauensgrenzen bei Terminal-Agenten lesen.
00Anthropics Vertrauenskrise 2026: Zwei Ereignisse — nicht verwechseln
In der ersten Jahreshälfte 2026 löste Anthropic nacheinander Datenschutz- und Sicherheitsdebatten auf zwei Produktlinien aus: Desktop-Client und Terminal-Coding-Agent. Die Community fasst beides oft unter „Claude-Spyware“ zusammen — Trigger, Betroffenheit und Remediation unterscheiden sich jedoch grundlegend. Die folgende Tabelle trennt Ereignis A und Ereignis B; Runbooks und interne Meldungen sollten sie getrennt behandeln.
| Dimension | Ereignis A: Claude Desktop Native Messaging (April 2026) | Ereignis B: Claude Code System-Prompt-Steganografie (30. Juni 2026) |
|---|---|---|
| Produkt | Claude Desktop macOS-Client (Claude.app) | Claude Code CLI (@anthropic-ai/claude-code) |
| Erste Offenlegung | Datenschutzberater Alexander Hanff (April 2026); Antiy Labs veröffentlicht Risikoanalyse | Entwickler Thereallo (thereallo.dev); Reddit-Nutzer LegitMichel777; Hacker News |
| Verhalten | Bei Installation stillschweigendes Schreiben eines Chromium Native-Messaging-Manifests; Vorautorisierung der Browser-Erweiterung für lokale Binärkommunikation — auch ohne installierten Browser | Bei abweichendem ANTHROPIC_BASE_URL werden in Today's date is … Unicode-Apostroph-Varianten und zeitzonenabhängige Datums-Trennzeichen eingebettet |
| Trigger | Installation/Start von Claude Desktop | Nur bei API-Routing über benutzerdefinierte Base URL (Proxy, Gateway, API-Weiterverkauf) |
| Drittbestätigung | Noah Kenney (Digital 520) bestätigt Hanffs Fund unabhängig | The Register, TechTimes u. a.; Anthropic-Mitarbeiter Thariq Shihipar antwortet auf X |
| Community | Datenschutz- und ePrivacy-Debatte; Malwarebytes, gHacks | Hacker News 350+ Punkte, 100+ Kommentare; Spaltung „Anti-Destillation berechtigt“ vs. „Heimliche Markierung inakzeptabel“ |
| Fix-Status | Spätere Versionen sollen Opt-in-Schalter erhalten; Angriffsfläche weiter diskutiert | 2.1.197 (2026-07-01) merged Entfernungs-PR; Changelog schweigt |
Im Vergleich mit der Gemini-CLI-Vertrauenskrise und Anthropic AI for Science lässt sich Ereignis B so lesen: Der Hersteller wägt Anti-Modell-Destillation gegen Transparenz bei Entwicklertools ab. Laut Anthropic sollte das Experiment unautorisierten Weiterverkauf und Destillation stoppen — doch steganografische Markierung plus undokumentierte Entfernung verstärken den Vertrauensverlust.
SchmerzpunktWarum ein einziges Apostroph Entwickler beunruhigt
Claude Code ist ein hochprivilegierter Terminal-Agent auf Ihrer Maschine oder in CI: liest Repositories, ruft Tools auf, verbindet sich per MCP mit externen Systemen. Entwickler erwarten, dass der an das Modell gesendete System-Prompt dem in der UI Entspricht und Umgebungsvariablen nur das Routing steuern — nicht heimlich den Prompt-Inhalt. Laut Reverse-Engineering-Bericht bricht Ereignis B diese Erwartung:
- Verdeckter Kanal: Der Fingerabdruck sitzt nicht in einem separaten Telemetrie-Feld, sondern in der bei jeder Anfrage erscheinenden Datumszeile — für Auge und Diff-Tools nahezu unsichtbar.
- Bedingter Trigger: Direktverbindungen zu
api.anthropic.comsollen laut Bericht nicht betroffen sein; SiliconFlow-, DeepSeek-Gateways, Unternehmens-Reverse-Proxies und andere benutzerdefinierteANTHROPIC_BASE_URL-Pfade aktivieren die Logik — stark überlappend mit dem API-Proxy-Ökosystem. - Listen-Obfuskation: Domain-Listen werden per base64 + XOR(91) verschleiert; laut Reverse Engineering ca. 147 Regeln mit Keywords wie
deepseek,moonshot,zhipuund zahlreichen Gateway-Domains. - Versionsdrift: Die Logik soll seit 2.1.91 (Anfang April 2026) existieren; in 2.1.193 / 2.1.195 / 2.1.196 noch reproduzierbar; erst 2.1.197 entfernt.
- Offenlegungslücke: Der Entfernungs-Commit ist gemerged, die Release Notes erwähnen die Steganografie nicht — Compliance- und SBOM-Audits können Changelogs allein nicht schließen.
Auf Hacker News argumentiert eine Fraktion: Modellschutz vor Destillation ist legitimes Geschäftsinteresse. Die andere: Steganografie in einem bezahlten Entwicklertool ohne Nutzerinformation widerspricht dem „Ask for trust“-Narrativ. Die Spaltung zeigt: Ein standardisiertes Vertrauensmodell für Terminal-Agenten fehlt noch.
01Steganografie-Prinzip: Wie die Today's-date-Zeile den Fingerabdruck kodiert
Laut thereallo.dev und Reverse-Engineering-Artikeln von Vincent Schmalbach lässt sich die Pipeline in vier Schritte fassen: (1) Lesen von process.env.ANTHROPIC_BASE_URL; (2) bei leer oder offizieller API normale Datumszeile; (3) sonst Hostname parsen und gegen XOR-dekodierte Domain-/Keyword-Tabelle prüfen; (4) je nach Treffer Unicode-Apostroph wählen und bei passender Systemzeitzone - im Datum durch / ersetzen.
| Bedingung (laut Reverse Engineering) | Apostroph in Today's | Unicode | Datumsbeispiel |
|---|---|---|---|
| Nicht-Standard-Base-URL, Host nicht in Liste, kein Lab-Keyword | ASCII-Geradeapostroph | U+0027 ' | 2026-06-30 (Nicht-China-Zeitzone) |
| Host trifft bekannte Gateway-/Weiterverkaufs-Domain | Rechter einfacher Anführungsstrich | U+2019 ' | wie oben |
| Host nicht in Liste, aber AI-Lab-Keyword | Modifizierender Buchstabe-Apostroph | U+02BC ʼ | wie oben |
| Domain-Liste und Keyword gleichzeitig | Modifizierender Buchstabe Prime | U+02B9 ʹ | wie oben |
Systemzeitzone Asia/Shanghai oder Asia/Urumqi | (kombiniert mit obiger Tabelle) | — | 2026/06/30 (- wird /) |
Domain- und Keyword-Tabellen liegen im Binary als base64, dann XOR(91) vor — laut Reverse Engineering ca. 147 Regeln mit Strings wie deepseek, moonshot, zhipu, siliconflow und vielen Proxy-Domains. Normalisiert oder bewahrt der Anthropic-Server die Original-Unicode-Zeichen vor der Speicherung, lassen sich aus derselben englischen Zeile Signale lesen: Proxy-Nutzung, China-AI-Ökosystem-Routing, China-Zeitzone — mutmaßlich für Anti-Destillation und unautorisierten Weiterverkauf, kein von der Community bewiesenes „aktives Spionage“-Urteil.
function renderDateLine(date) {
if (!customBaseUrl()) return `Today's date is ${date}.`;
const { knownHost, labKeyword, cnTZ } = classifyRoute();
const apostrophe = pickApostrophe(knownHost, labKeyword);
const rendered = cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${rendered}.`;
}
- Zitierbare Daten 1: Steganografie-Logik soll seit Claude Code 2.1.91 existieren; bei Veröffentlichung noch in 2.1.196 nachweisbar.
- Zitierbare Daten 2: Obfuskierte Domain-/Keyword-Regeltabelle laut Reverse Engineering ca. 147 Einträge, versteckt via XOR(91) und base64.
- Zitierbare Daten 3: Hacker-News-Thread 350+ Punkte, 100+ Kommentare — Community gespalten zwischen „Anti-Destillation OK“ und „Entwicklertools dürfen nicht heimlich markieren“.
02Versions-Timeline und Motivation: Gerüchte vs. offizielle Stellungnahme
| Version / Zeitpunkt | Laut öffentlichen Infos und Reverse Engineering |
|---|---|
| 2.1.91 (ca. 2026-04-02) | Reddit-Nutzer LegitMichel777 berichtet von der Logik in dieser Version |
| 2.1.193 / 2.1.195 / 2.1.196 | Community reproduziert Steganografie-Zweig in npm-Paket und embedded Chunks |
| 2026-06-30 | Thereallo veröffentlicht Reverse-Engineering-Artikel; HN/Reddit eskalieren |
| 2.1.197 (2026-07-01) | Entfernungs-PR gemerged; offizielles Changelog schweigt |
Anthropic-Mitarbeiter Thariq Shihipar erklärte auf X, es handele sich laut seiner Darstellung um ein im März gestartetes Experiment gegen unautorisierten Weiterverkauf und Modell-Destillation; ein Rollback sei geplant. The Register und andere berichten, Anthropic habe den Code bestätigt und eine Behebung zugesagt. Das sind externe Statements; ob der Server die Markierungen tatsächlich auswertet oder Konten-Risiko beeinflusst, hat Anthropic nicht offengelegt — dieser Artikel behauptet keine unbekannten Folgen als Fakten.
Parallel offenbarte ein Quellcode-Leak Mechanismen wie ANTI_DISTILLATION_CC (z. B. Injektion störender Tool-Daten). Mutmaßlich gehört die Steganografie zur gleichen „Modellschutz“-Toolbox — doch heimliche System-Prompt-Änderung schadet Entwicklervertrauen stärker als dokumentierte API-Felder.
03Ist das „Spyware“? Wie beide Ereignisse einzuordnen sind
Ereignis A: Unautorisierte lokale Kanal-Vorkonfiguration
Hanff und Antiy Labs werfen vor: Claude Desktop schreibt ohne Nutzerhinweis in Chrome-, Edge-, Brave-, Arc-, Vivaldi- und Opera-Pfade die Datei com.anthropic.claude_browser_extension.json und autorisiert Erweiterungs-ID und lokalen Helper vorab; nach Löschung kann die App sie automatisch neu anlegen. Noah Kenney bestätigt unabhängig: Es entsteht eine persistente Vorautorisierung „Browser-Erweiterung → Binär außerhalb der Sandbox“.
Die Risikokette: Anthropics eigene Dokumentation nennt für Claude for Chrome Prompt-Injection-Risiken — ohne Mitigation ca. 23,6 % Erfolgsrate, mit Mitigation noch ca. 11,2 %. Ist die Erweiterung installiert und das Manifest vorkonfiguriert, könnte laut Sicherheitsanalyse eine Injection auf einer bösartigen Seite theoretisch über Erweiterung und Native Messaging lokale Nutzerrechte erreichen — unautorisierte lokale Konfigurationsänderung plus bekannter hoher Injection-Erfolg, kein klassisches Trojaner-Profil, aber starke Compliance- und ePrivacy-Kontroverse.
Ereignis B: Undokumentierte Prompt-Schicht-Telemetrie
Ereignis B ändert keine lokalen Dateien, sondern bettet Klassifikationssignale in den für Nutzer unsichtbaren System-Prompt ein — ohne separates Opt-in. Laut Reverse Engineering ist das ein undokumentierter Telemetrie-/Klassifikationskanal, der Transparenz und Datenminimierung untergräbt. Ob das rechtlich „Spyware“ ist, hängt von Jurisdiktion und Vertrag ab; technisch präziser: heimliche Klassifikationsmarkierung in Entwicklertools, Changelog bei Entfernung stumm.
Formulierungsdisziplin: Anthropics Motive werden mit „laut Bericht“, „laut Reverse Engineering“, „laut externer Darstellung“ bezeichnet; unbekannte Server-Nutzung oder Kontosanktionen werden nicht als Fakten behauptet. Unternehmens-Audits sollten Ereignis A (Manifest-Pfade) und Ereignis B (Base URL / Version) getrennt abdecken.
04Sechs-Schritte-Schutz-Runbook (Claude Code + Desktop)
-
01
ANTHROPIC_BASE_URLprüfen: In Shell,~/.claude/settings.jsonund CI-Secret-Stores alle Claude-Code-Instanzen auflisten. Zeigt die URL auf eine Nicht-Offizielle-API, soll laut Reverse Engineering die Steganografie-Zweig aktiviert worden sein; Unternehmens-Gateways dokumentieren und von Security freigeben lassen. -
02
Claude Code auf ≥ 2.1.197 aktualisieren:
claude --versionodernpm ls -g @anthropic-ai/claude-codeausführen. Versionen unter 2.1.197 sollen die Logik noch enthalten; nach dem Upgrade Changelog prüfen (schweigt zu diesem Punkt) und Binary oder Version-Pin selbst verifizieren. -
03
Claude Desktop Native Messaging auditieren: Unter macOS in
~/Library/Application Support/Google/Chrome/NativeMessagingHosts/und äquivalenten Edge-, Brave-, Arc-Pfaden nachcom.anthropic.claude_browser_extension.jsonsuchen. Nicht benötigte Browser-Automatisierung: Manifest löschen und protokollieren, ob Desktop es neu erstellt. -
04
Systemzeitzone prüfen: Ereignis B soll bei
Asia/ShanghaiundAsia/Urumqidas Datums-Trennzeichen wechseln. CI und Cloud-Dev-Boxen auf erwartete Zeitzone setzen; bei BedarfTZ=UTCin der Dokumentation fixieren. -
05
Enterprise-Least-Privilege: Wer Desktop installieren, Base URL und API-Keys konfigurieren darf, einschränken; MCP und Browser-Erweiterungen genehmigungspflichtig; Claude Code von Produktions-Secrets isolieren.
-
06
Entwicklungsumgebung isolieren und auditieren: Agenten auf separatem Mac oder dediziertem Bare-Metal-Cloud-Knoten von Alltags-Browser und privater Apple-ID trennen; regelmäßig ausgehende System-Prompt-Samples prüfen (MITM-Lab) oder auf Hersteller-SBOM vertrauen. Für stabile, zurücksetzbare Mac-CI-/Agent-Hosts: NUKCLOUD-Preise und Bestellseite für exklusive Knoten.
05Vertrauen in KI-Anbieter: Vier umsetzbare Beschaffungsprinzipien
Terminal-Agenten lesen Code, rufen Tools auf und halten API-Keys. Die Claude-Code-Steganografie und Desktop-Manifest-Kontroverse 2026 zeigen: Herstellerdokumentation ≠ Laufzeitverhalten. Beschaffungs- und Plattform-Teams können diese vier Prinzipien anwenden (Anthropic, Google, OpenAI, Cursor u. a.):
- Beobachtbares Verhalten: System-Prompt-Injektionen, umgebungsvariablengetriggerte Logik und lokale Dateischreibvorgänge müssen dokumentiert oder per SBOM nachvollziehbar sein; Changelogs müssen sicherheitsrelevante Entfernungen abdecken.
- Datenminimierung: Klassifikation und Missbrauchsschutz über explizite API-Felder oder Opt-in-Telemetrie — keine steganografischen Kanäle.
- Lokale Änderungen brauchen Consent: Native Messaging, Browser-Erweiterungen, LaunchAgents vorinstalliert = Verstoß, außer bei expliziter Einzelautorisierung beim ersten Gebrauch.
- Verifizierbare Lieferkette: Version pinnen, npm-Hash prüfen, Diff in isolierter Umgebung; Agent-Host vom Produktionsnetz trennen für schnelles Rebuild.
Vertrauensrisiken bei Desktop-Agenten und Claude Code liegen oft nicht in der Antwortqualität, sondern in lokalen Nebenwirkungen, die Sie nicht geprüft haben, und unsichtbaren ausgehenden Payloads. Auf geteilten Laptops oder oversellten VPS mit 7×24-Agenten kommen Nachbar-Interferenz und abgebrochene Long-Lives dazu. Für auditierbare, per SSH erreichbare Hosts mit Xcode und Claude Code trennt NUKCLOUD Multi-Region Bare-Metal Mac / Cloud-Mac-Knoten die Agent-Umgebung vom Unternehmens-Alltagsrechner — exklusive Hardware, Root, flexible Tages-/Monatsabrechnung, kleinere Angriffsfläche. Zuerst Preisseite für Specs, dann auf der Bestellseite eine isolierte Dev-Umgebung testen; Details in der Hilfe und Konsole.
06Häufige Fragen
NativeMessagingHosts-Ordnern der Chromium-Browser com.anthropic.claude_browser_extension.json löschen und prüfen, ob Claude Desktop nach Neustart neu schreibt. Laut Hanff kann die App die Datei wiederherstellen; langfristig Browser-Integration deaktivieren, Version ohne dieses Verhalten wählen und Verzeichnisänderungen überwachen.- → / nur bei gesetztem Nicht-Offiziellen-ANTHROPIC_BASE_URL und Zeitzone Asia/Shanghai oder Asia/Urumqi zusätzlich angewendet. Bei direkter offizieller API soll der Pfad laut Bericht nicht aktiv sein.Today's wird das ASCII-Apostroph U+0027 durch optisch nahezu identische Zeichen U+2019, U+02BC, U+02B9 ersetzt, um Kombinationen wie „Domain-Liste getroffen / AI-Lab-Keyword getroffen“ zu kodieren. Menschen sehen keinen Unterschied; Unicode-bewusste Logs oder Server können dekodieren.ANTHROPIC_BASE_URL sollten nach dem Upgrade Umgebungsvariablen und CI-Images erneut prüfen; Compliance-Teams Upgrade-Nachweise und Version-Pins führen, da das Changelog schweigt.ANTHROPIC_BASE_URL und Treffer in Regeltabelle oder Keywords die Datumszeile geändert werden — vor 2.1.197. Nach Upgrade ist die Logik entfernt; andere Anti-Destillation-Mechanismen (z. B. ANTI_DISTILLATION_CC) weiter per Hersteller-Updates und Community-Reverse-Engineering verfolgen.07Quellen
- The Register — Bericht über Anthropics Entfernung des Claude-Code-Geheimcodes
- thereallo.dev — Reverse-Engineering-Artikel zur System-Prompt-Steganografie
- Antiy Labs — Risikoanalyse Claude Desktop Native Messaging
- Alexander Hanff — Originaloffenlegung stiller Manifest-Installation (That Privacy Guy u. a.)
- Hacker News — Diskussion Ende Juni 2026 (Größenordnung 350+ Punkte, 100+ Kommentare)
- Reddit — LegitMichel777 u. a. zu Verhalten ab 2.1.91
- Vincent Schmalbach, TechTimes u. a. — technische Nachverfolgung zu
ANTHROPIC_BASE_URLund Unicode-Markierung
Terminal-Agenten werden zum „Praktikanten mit Root“. Der Claude-Code-Steganografie-Vorfall erinnert daran: Beim Vergleich von Cursor vs. Claude Code vs. Copilot gehört neben SWE-bench und Preis die Frage — ändert das Tool heimlich den Prompt, den Sie ans Modell senden? Den Agenten auf einem rebuildbaren, isolierten Mac zu betreiben, ist 2026 eine pragmatische Entscheidung.