Ist Claude Code Spyware?
Unicode-Fingerprint, DSGVO & Schutz-Matrix (2026)
Dieses Tutorial trennt zwei unabhängige Vorfälle, erklärt die angebliche Unicode-Steganographie in Claude Code bei gesetztem ANTHROPIC_BASE_URL und liefert eine DSGVO-orientierte Checkliste für Mac-Entwicklerteams. Wenn Ihr Relay nicht api.anthropic.com zeigt, soll der Client laut Reverse-Engineering-Berichten die Zeile Today's date is... mit unsichtbaren Apostroph-Varianten (U+0027 / U+2019 / U+02BC / U+02B9) und optional Slash-Datumsformat bei China-Zeitzonen manipuliert haben. Fix: 2.1.197 (1. Juli 2026). Enthalten: Ereignis-Matrix A/B, Unicode-Tabelle, base64+XOR(91), 147 Domain-Regeln, HN-Debatte, 6 Schutzschritte, FAQ×8 und Mac-Isolations-Playbook.
📋 Inhaltsverzeichnis
⚠️ Stand 3. Juli 2026. Berichtssprache (angeblich/laut Reverse-Engineering). Keine Rechts- oder Compliance-Beratung. Anthropic hat nicht alle Details öffentlich erläutert.
01 · Kurzfassung & Kennzahlen-Matrix
Kurzantwort: Claude Code ist vermutlich kein klassisches Spyware, aber Berichte beschreiben einen unangekündigten Covert Channel über unsichtbare Interpunktion. April 2026: separates Claude-Desktop-Thema (Native Messaging). Nicht vermischen.
| Kennzahl | Berichteter Wert |
|---|---|
| Offenlegung Ereignis B | 30. Juni 2026 — thereallo.dev → Reddit → Hacker News |
| Trigger | ANTHROPIC_BASE_URL ≠ api.anthropic.com |
| Kodierung | Unicode-Apostrophe + optional Slash-Datum (Asia/Shanghai, Asia/Urumqi) |
| Obfuskation | base64 + XOR(91), ca. 147 Domain-Regeln |
| Betroffene Versionen | 2.1.193, 2.1.195, 2.1.196 |
| Fix | 2.1.197 (1. Juli 2026), Changelog ohne prominente Erwähnung |
| HN-Traction | 350+ Punkte, 100+ Kommentare |
| Ereignis A (separat) | April 2026 — Alexander Hanff, Claude Desktop Native Messaging |
02 · Drei DSGVO-relevante Pain Points
- Zwei Stories, eine Schlagzeile. Medien vermischten April (Claude Desktop) mit Juni (Claude Code). Für DSGVO-Dokumentation (Art. 30 Verarbeitungsverzeichnis) führt das zu falschen Maßnahmen.
- Proxy ohne Transparenz. Teams setzen
ANTHROPIC_BASE_URLauf Relays — siehe unseren Token-Guide. Die angebliche Klassifikation erfolgte ohne Einwilligung oder Privacy Notice. - Desktop-Agenten mit hohen Rechten. Ereignis A autorisierte angeblich
chrome-native-hostaußerhalb der Browser-Sandbox — relevant für TOMs nach Art. 32 DSGVO.
03 · Ereignis A vs B — Vergleichsmatrix
| Dimension | Ereignis A: Browser-Injection | Ereignis B: Prompt-Steganographie |
|---|---|---|
| Produkt | Claude Desktop | Claude Code (CLI) |
| Quelle | Alexander Hanff | thereallo.dev |
| Zeitpunkt | April 2026 | 30. Juni 2026 |
| Verhalten | Schreibt com.anthropic.claude_browser_extension.json in NativeMessagingHosts | Manipuliert System-Prompt bei non-default ANTHROPIC_BASE_URL |
| Trigger | Claude Desktop installieren/starten | Nur Proxy-/Gateway-URL |
| Label | „Spyware" / „Backdoor" | „Steganographie" / Covert Channel |
| Anthropic | Kein formales Statement | Code anerkannt; entfernt in 2.1.197 |
04 · Ablauf in 3 Schritten
Schritt 1: Gate auf ANTHROPIC_BASE_URL
Logik aktiviert sich laut Bericht nur, wenn ANTHROPIC_BASE_URL ≠ https://api.anthropic.com. Standard in ~/.claude/settings.json oder Shell-Exports.
Schritt 2: Abgleich mit obfuskierten Listen
Ca. 147 Domain-Muster und Keywords (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai) — geschützt durch base64 + XOR(91).
Schritt 3: Kodierung in Interpunktion
Vier Apostroph-Varianten in Today's; bei China-Zeitzonen zusätzlich Bindestrich → Schrägstrich im Datum.
05 · Unicode-Mapping-Tabelle
| Erkanntes Muster | Datumsformat | Apostroph in „Today's" | Unicode |
|---|---|---|---|
| Standard (kein Match) | 2026-06-30 | ASCII-Apostroph | U+0027 |
| China-Domain/Reseller | 2026-06-30 | Right single quotation mark | U+2019 |
| KI-Lab-Keyword | 2026-06-30 | Modifier letter apostrophe | U+02BC |
| Domain + Lab | 2026-06-30 | Modifier letter prime | U+02B9 |
| Obiges + China-Zeitzone | 2026/06/30 | Apostroph laut Zeile oben | — |
06 · base64 + XOR(91) & 147 Domain-Regeln
Listen im Binary: base64 dekodieren, dann jedes Byte mit 91 XORen. Keine echte Kryptographie — nur Tarnung vor strings(1). Inhalt: Reseller, Cloud-Provider, Uni-Mirrors, Lab-Gateways.
07 · Versionen & Fix 2.1.197
Verifiziert in 2.1.193, 2.1.195, 2.1.196. Am 1. Juli 2026 erschien 2.1.197 mit Entfernung der Logik — Changelog ohne prominente Erwähnung. Teams sollten claude --version pinnen und Prompt-Hashes dokumentieren.
08 · Hacker News: 350+ Punkte
Pro: Anti-Distillation ist rational. Contra: Covert Channels in Dev-Tools zerstören Vertrauen. Kontext: OpenRouter Juni 2026 zeigt den wirtschaftlichen Druck hinter Distillation.
09 · DSGVO & Verarbeitungshinweis
Umgebungsbasierte Klassifikation (Endpoint, Zeitzone) ohne Transparenz kann Art. 5 (Transparenz), Art. 6 (Rechtsgrundlage) und Art. 13/14 (Informationspflicht) berühren — besonders wenn Prompt-Metadaten an US-Server fließen. Dokumentieren Sie: Wer setzte ANTHROPIC_BASE_URL? Welche AVV mit Anthropic? Exportkontext: Fable-5-Exportkontrolle. Vergleich Tools: KI-Coding-Assistenten-Vergleich.
10 · 6 Schutzschritte (Checkliste)
- ANTHROPIC_BASE_URL auditieren —
~/.claude/settings.json, Shell, CI-Secrets. - Auf 2.1.197+ upgraden —
claude --versionprüfen. - Native-Messaging-Manifeste suchen — Ereignis A in allen Browser-Profilen.
- Zeitzone loggen —
systemsetup -gettimezoneneben Base URL. - Segmentierung — Claude-Tools ohne Produktions-Keys und Browser-Profile.
- Vertragliche Transparenz — AVV-Klauseln zu Prompt-Mutation; siehe Anthropic IPO-Guide.
11 · FAQ (8 Fragen)
Ist Claude Code Spyware?
Nicht klassisch, aber ein unangekündigter Covert Channel in System-Prompts wurde berichtet. Entfernt in 2.1.197.
Verfolgt Claude Code meine Zeitzone?
Asia/Shanghai und Asia/Urumqi nur bei non-default ANTHROPIC_BASE_URL.
Was ist der Unicode-Apostroph-Trick?
U+0027, U+2019, U+02BC, U+02B9 kodieren Match-Zustände in Today's.
Warum hat Anthropic das eingebaut?
Vermutlich Anti-Distillation und Anti-Reselling — Ziel legitim, Methode umstritten.
Gleiche Story wie Claude Desktop?
Nein. A = April Native Messaging; B = Juni Prompt-Steganographie.
Betrifft das Web-Claude?
Nur Claude Code mit Proxy-URL, nicht Standard-api.anthropic.com-Nutzer.
Browserdateien entfernen?
com.anthropic.claude_browser_extension.json aus NativeMessagingHosts löschen; Neustart kann neu erstellen.
Code entfernt?
Ja, 2.1.197 vom 1. Juli 2026. Versionen 2.1.193–2.1.196 enthielten es.
12 · 5-Schritte-Mac-Playbook
- Alle Claude-Einstiegspunkte inventarisieren — CLI, Desktop, CI.
- Sauberen Apple-Silicon-Mac bereitstellen — Tagesmiete-FAQ.
- Signale in Sandbox reproduzieren — Prompt-Bytes hex-vergleichen, 2.1.196 vs 2.1.197.
- Ereignis-A-Artefakte scannen — find über NativeMessagingHosts.
- Entscheidungsmemo schreiben — Version-Pins, erlaubte URLs; Life-Sciences-Kontext bei regulierten Daten.
13 · Mac mieten zur sicheren Validierung
Reverse-Engineering-Hinweise gehören nicht auf den CEO-Laptop. Ein isolierter Apple-Silicon-Knoten erlaubt Base-URL-Tests, Prompt-Diffs und Manifest-Scans ohne Keychain-Kontamination. Tagesmiete Mac mini M4 < Incident-Response-Kosten. Preise: M4-Preisleitfaden und Bare-Metal-Tarife.
Zuletzt aktualisiert: 3. Juli 2026.