KI-Sicherheit 2026-07-03

Ist Claude Code Spyware?
Unicode-Fingerprint, DSGVO & Schutz-Matrix (2026)

Dieses Tutorial trennt zwei unabhängige Vorfälle, erklärt die angebliche Unicode-Steganographie in Claude Code bei gesetztem ANTHROPIC_BASE_URL und liefert eine DSGVO-orientierte Checkliste für Mac-Entwicklerteams. Wenn Ihr Relay nicht api.anthropic.com zeigt, soll der Client laut Reverse-Engineering-Berichten die Zeile Today's date is... mit unsichtbaren Apostroph-Varianten (U+0027 / U+2019 / U+02BC / U+02B9) und optional Slash-Datumsformat bei China-Zeitzonen manipuliert haben. Fix: 2.1.197 (1. Juli 2026). Enthalten: Ereignis-Matrix A/B, Unicode-Tabelle, base64+XOR(91), 147 Domain-Regeln, HN-Debatte, 6 Schutzschritte, FAQ×8 und Mac-Isolations-Playbook.

Claude Code System-Prompt mit angeblichem Unicode-Apostroph-Fingerprint U+2019

⚠️ Stand 3. Juli 2026. Berichtssprache (angeblich/laut Reverse-Engineering). Keine Rechts- oder Compliance-Beratung. Anthropic hat nicht alle Details öffentlich erläutert.

01 · Kurzfassung & Kennzahlen-Matrix

Kurzantwort: Claude Code ist vermutlich kein klassisches Spyware, aber Berichte beschreiben einen unangekündigten Covert Channel über unsichtbare Interpunktion. April 2026: separates Claude-Desktop-Thema (Native Messaging). Nicht vermischen.

Kennzahl Berichteter Wert
Offenlegung Ereignis B30. Juni 2026 — thereallo.dev → Reddit → Hacker News
TriggerANTHROPIC_BASE_URL ≠ api.anthropic.com
KodierungUnicode-Apostrophe + optional Slash-Datum (Asia/Shanghai, Asia/Urumqi)
Obfuskationbase64 + XOR(91), ca. 147 Domain-Regeln
Betroffene Versionen2.1.193, 2.1.195, 2.1.196
Fix2.1.197 (1. Juli 2026), Changelog ohne prominente Erwähnung
HN-Traction350+ Punkte, 100+ Kommentare
Ereignis A (separat)April 2026 — Alexander Hanff, Claude Desktop Native Messaging

02 · Drei DSGVO-relevante Pain Points

  1. Zwei Stories, eine Schlagzeile. Medien vermischten April (Claude Desktop) mit Juni (Claude Code). Für DSGVO-Dokumentation (Art. 30 Verarbeitungsverzeichnis) führt das zu falschen Maßnahmen.
  2. Proxy ohne Transparenz. Teams setzen ANTHROPIC_BASE_URL auf Relays — siehe unseren Token-Guide. Die angebliche Klassifikation erfolgte ohne Einwilligung oder Privacy Notice.
  3. Desktop-Agenten mit hohen Rechten. Ereignis A autorisierte angeblich chrome-native-host außerhalb der Browser-Sandbox — relevant für TOMs nach Art. 32 DSGVO.

03 · Ereignis A vs B — Vergleichsmatrix

Dimension Ereignis A: Browser-Injection Ereignis B: Prompt-Steganographie
ProduktClaude DesktopClaude Code (CLI)
QuelleAlexander Hanffthereallo.dev
ZeitpunktApril 202630. Juni 2026
VerhaltenSchreibt com.anthropic.claude_browser_extension.json in NativeMessagingHostsManipuliert System-Prompt bei non-default ANTHROPIC_BASE_URL
TriggerClaude Desktop installieren/startenNur Proxy-/Gateway-URL
Label„Spyware" / „Backdoor"„Steganographie" / Covert Channel
AnthropicKein formales StatementCode anerkannt; entfernt in 2.1.197

04 · Ablauf in 3 Schritten

Schritt 1: Gate auf ANTHROPIC_BASE_URL

Logik aktiviert sich laut Bericht nur, wenn ANTHROPIC_BASE_URLhttps://api.anthropic.com. Standard in ~/.claude/settings.json oder Shell-Exports.

Schritt 2: Abgleich mit obfuskierten Listen

Ca. 147 Domain-Muster und Keywords (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai) — geschützt durch base64 + XOR(91).

Schritt 3: Kodierung in Interpunktion

Vier Apostroph-Varianten in Today's; bei China-Zeitzonen zusätzlich Bindestrich → Schrägstrich im Datum.

05 · Unicode-Mapping-Tabelle

Erkanntes Muster Datumsformat Apostroph in „Today's" Unicode
Standard (kein Match)2026-06-30ASCII-ApostrophU+0027
China-Domain/Reseller2026-06-30Right single quotation markU+2019
KI-Lab-Keyword2026-06-30Modifier letter apostropheU+02BC
Domain + Lab2026-06-30Modifier letter primeU+02B9
Obiges + China-Zeitzone2026/06/30Apostroph laut Zeile oben

06 · base64 + XOR(91) & 147 Domain-Regeln

Listen im Binary: base64 dekodieren, dann jedes Byte mit 91 XORen. Keine echte Kryptographie — nur Tarnung vor strings(1). Inhalt: Reseller, Cloud-Provider, Uni-Mirrors, Lab-Gateways.

07 · Versionen & Fix 2.1.197

Verifiziert in 2.1.193, 2.1.195, 2.1.196. Am 1. Juli 2026 erschien 2.1.197 mit Entfernung der Logik — Changelog ohne prominente Erwähnung. Teams sollten claude --version pinnen und Prompt-Hashes dokumentieren.

08 · Hacker News: 350+ Punkte

Pro: Anti-Distillation ist rational. Contra: Covert Channels in Dev-Tools zerstören Vertrauen. Kontext: OpenRouter Juni 2026 zeigt den wirtschaftlichen Druck hinter Distillation.

09 · DSGVO & Verarbeitungshinweis

Umgebungsbasierte Klassifikation (Endpoint, Zeitzone) ohne Transparenz kann Art. 5 (Transparenz), Art. 6 (Rechtsgrundlage) und Art. 13/14 (Informationspflicht) berühren — besonders wenn Prompt-Metadaten an US-Server fließen. Dokumentieren Sie: Wer setzte ANTHROPIC_BASE_URL? Welche AVV mit Anthropic? Exportkontext: Fable-5-Exportkontrolle. Vergleich Tools: KI-Coding-Assistenten-Vergleich.

10 · 6 Schutzschritte (Checkliste)

  1. ANTHROPIC_BASE_URL auditieren~/.claude/settings.json, Shell, CI-Secrets.
  2. Auf 2.1.197+ upgradenclaude --version prüfen.
  3. Native-Messaging-Manifeste suchen — Ereignis A in allen Browser-Profilen.
  4. Zeitzone loggensystemsetup -gettimezone neben Base URL.
  5. Segmentierung — Claude-Tools ohne Produktions-Keys und Browser-Profile.
  6. Vertragliche Transparenz — AVV-Klauseln zu Prompt-Mutation; siehe Anthropic IPO-Guide.

11 · FAQ (8 Fragen)

Ist Claude Code Spyware?

Nicht klassisch, aber ein unangekündigter Covert Channel in System-Prompts wurde berichtet. Entfernt in 2.1.197.

Verfolgt Claude Code meine Zeitzone?

Asia/Shanghai und Asia/Urumqi nur bei non-default ANTHROPIC_BASE_URL.

Was ist der Unicode-Apostroph-Trick?

U+0027, U+2019, U+02BC, U+02B9 kodieren Match-Zustände in Today's.

Warum hat Anthropic das eingebaut?

Vermutlich Anti-Distillation und Anti-Reselling — Ziel legitim, Methode umstritten.

Gleiche Story wie Claude Desktop?

Nein. A = April Native Messaging; B = Juni Prompt-Steganographie.

Betrifft das Web-Claude?

Nur Claude Code mit Proxy-URL, nicht Standard-api.anthropic.com-Nutzer.

Browserdateien entfernen?

com.anthropic.claude_browser_extension.json aus NativeMessagingHosts löschen; Neustart kann neu erstellen.

Code entfernt?

Ja, 2.1.197 vom 1. Juli 2026. Versionen 2.1.193–2.1.196 enthielten es.

12 · 5-Schritte-Mac-Playbook

  1. Alle Claude-Einstiegspunkte inventarisieren — CLI, Desktop, CI.
  2. Sauberen Apple-Silicon-Mac bereitstellenTagesmiete-FAQ.
  3. Signale in Sandbox reproduzieren — Prompt-Bytes hex-vergleichen, 2.1.196 vs 2.1.197.
  4. Ereignis-A-Artefakte scannen — find über NativeMessagingHosts.
  5. Entscheidungsmemo schreiben — Version-Pins, erlaubte URLs; Life-Sciences-Kontext bei regulierten Daten.

13 · Mac mieten zur sicheren Validierung

Reverse-Engineering-Hinweise gehören nicht auf den CEO-Laptop. Ein isolierter Apple-Silicon-Knoten erlaubt Base-URL-Tests, Prompt-Diffs und Manifest-Scans ohne Keychain-Kontamination. Tagesmiete Mac mini M4 < Incident-Response-Kosten. Preise: M4-Preisleitfaden und Bare-Metal-Tarife.

Zuletzt aktualisiert: 3. Juli 2026.