AI セキュリティ 2026-07-03

Claude Code ステガノグラフィ事件:Anthropic は一つのアポストロフィでユーザーを分類していた(2026)

結論を一言で:逆アセンブル報告によると、2026 年 6 月末 Claude Code(Web 版ではなく CLI)が ANTHROPIC_BASE_URL を非公式プロキシサーバーへ向けた利用者に対し、システムプロンプトの Today's date is... 行を文字ステガノグラフィで書き換えていました。日付区切り文字と肉眼では判別しにくい Unicode アポストロフィを切り替えることで、タイムゾーンと中国ドメイン/AI ラボのヒット情報をサーバーへ密かに送り返していたのです。Anthropic は 2.1.197(7 月 1 日)で関連コードを削除しました。コミュニティの主流解釈は反モデル蒸留手段であり、争点は目的よりも隠蔽的かつ意図的に難読化された手段にあります。

Claude Code システムプロンプト Unicode アポストロフィ指紋 U+2019 U+02BC ステガノグラフィ 2026

⚠️ 本文は公開報道と逆アセンブル報告に基づき、「報道によれば/逆アセンブル報告によると/告発されている」という表現で法的リスクを抑えています。Anthropic の動機はコミュニティ推測であり、公式確認ではありません。情報は 2026 年 7 月 3 日時点です。

01 · 核心サマリー

次元 要点
事件 B の暴露2026 年 6 月 30 日、開発者が Claude Code バイナリを逆アセンブルし thereallo.dev で公開。Reddit → Hacker News へ拡散
トリガー条件ANTHROPIC_BASE_URL ≠ api.anthropic.com(プロキシ/ゲートウェイ/転売)の場合のみ。公式エンドポイントでは改変なし
エンコード手段システムプロンプト Today's date is... 行:日付区切り(- vs /)+ Unicode アポストロフィ(U+0027 / U+2019 / U+02BC / U+02B9)
ルールリストbase64 + XOR(91) による軽度難読化、約 147 件のドメインルール。deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai など AI ラボキーワードを含む
影響バージョン逆アセンブル担当者は 2.1.193 / 2.1.195 / 2.1.196 すべてに存在を確認。2.1.197(2026-07-01)で削除、changelog 未記載
コミュニティ熱度HN スレッドは数時間でトップ入り、350+ points、100 件超のコメント。「正当な反蒸留防御」vs「開発者ツールとして悪意に近い」に分裂
事件 A(別件)2026 年 4 月 Alexander Hanff が Claude Desktop の Native Messaging 静かな注入を暴露(第三節参照)
プロンプト注入リスクAnthropic 自社データ:Claude for Chrome のプロンプト注入成功率は緩和なし 23.6%、緩和あり 11.2%——事件 A の高権限チャネルと重なり、リスクは無視できない

02 · 三大の痛点:開発者が裏切られたと感じる理由

  1. 二つの事件が混同されやすい:メディアとコミュニティは、4 月の Claude Desktop ブラウザ注入(事件 A)と 6 月の Claude Code プロンプト・ステガノグラフィ(事件 B)を「Anthropic スパイウェア」として一括りにしがちです。製品・トリガー・技術機構がまったく異なるため、混同は判断と SEO 信頼性を損ないます。
  2. 隠蔽チャネルと開発者信頼の衝突:逆アセンブル報告によると、分類信号は句読点の中に隠れ、コードは base64+XOR で難読化され、ユーザーへ未開示でした。信頼を前提とする CLI コーディングツールにおいて、動機が反蒸留であっても手段は HN ユーザーから越権と批判されています。
  3. プロキシ利用者に再現可能な自己点検環境が不足:公式エンドポイントとプロキシエンドポイント下のシステムプロンプト差分を比較するには、隔離 macOS で Claude Code を設定し ANTHROPIC_BASE_URL と Native Messaging リストを監査する必要があります。主力 Mac に複数バージョン CLI とブラウザ設定が混在すると、デバッグコストが極めて高くなります。

03 · 二つの事件を混同しない:事件 A vs 事件 B

今回の騒動は独立しつつ関連する二つの事件が重なって拡大したものです。執筆前に必ず区別してください。英語圏の技術読者(HN / Reddit / セキュリティ界)には、混同がすぐ見抜かれます。

次元 事件 A:静かなブラウザ注入 事件 B:システムプロンプト・ステガノグラフィ
対象製品Claude Desktop(macOS クライアント)Claude Code(CLI コーディングツール)
告発者Alexander Hanff(プライバシー顧問、The Register 寄稿者)開発者によるバイナリ逆アセンブル、thereallo.dev
時期2026 年 4 月(おおよそ 4/18 から)2026 年 6 月 30 日
核心行為Chrome/Edge/Brave/Arc/Vivaldi/Opera/Chromium へ Native Messaging リスト com.anthropic.claude_browser_extension.json を静かに書き込み、3 つの拡張機能 ID にサンドボックス外 chrome-native-host 呼び出しを事前承認。拡張未インストールでもディレクトリを事前作成、削除後 Claude Desktop 再起動で復活ANTHROPIC_BASE_URL ≠ api.anthropic.com のとき、システムプロンプト Today's date is... 行をステガノグラフィで書き換え
レッテル「spyware / backdoor」(スパイウェア/バックドア)「prompt steganography / covert channel」(プロンプト・ステガノグラフィ/隠蔽チャネル)
トリガー条件Claude Desktop のインストール/起動ですぐ発動非公式 Base URL(プロキシ)の場合のみ。毎回の会話で必ず発動するわけではない
Anthropic の対応報道によれば公式声明なし。後続バージョンで承認スイッチ追加、根底の権限モデルは残存メディア報道でコード存在を認め、7/1 に 2.1.197 をリリースして削除。changelog 未記載

04 · タイムラインとバージョン照合

時期出来事
2026 年 4 月報道によれば Alexander Hanff が Claude Desktop Native Messaging 静かな注入を暴露(事件 A)
2026 年 4 月独立コンサルタント Noah Kenney(Digital 520)が Hanff の技術的主張を再現可能と確認。安天实验室(Antiy Labs)が専門リスク分析レポートを公開
2026 年 6 月 30 日開発者が thereallo.dev で Claude Code 逆アセンブル報告を公開(事件 B)。Reddit → HN へ拡散
2026 年 6 月末HN スレッド 350+ points、100 件超コメント。コミュニティ二派に分裂
逆アセンブル担当者は 2.1.193 / 2.1.195 / 2.1.196 すべてにステガノグラフィ・ロジックを確認
2026 年 7 月 1 日Anthropic が Claude Code 2.1.197 をリリースし関連コードを削除(changelog 未明記)

05 · ステガノグラフィはどう動くのか

重要な前提(逆アセンブル報告による):ANTHROPIC_BASE_URL を非公式アドレスへ向けた場合のみ——プロキシ、ゲートウェイ、第三者転売、OpenAI 互換レイヤー経由など——がトリガーです。api.anthropic.com へ直結する場合、システムプロンプトの日付行は改変されません。

トリガー後、プログラムは一見無害な Today's date is ... 行に二種類の信号を埋め込みます:

  1. 日付区切りの変更:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、2026-06-302026/06/30 になります。
  2. アポストロフィの置換Today's 内のアポストロフィを視覚的に似て Unicode が異なる文字へ差し替え、「何にヒットしたか」をエンコードします。

ドメインとキーワードリストは base64 + XOR(91) で軽度難読化され、約 147 件のルールがあります。deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai など中国 AI ラボ関連文字列が含まれます。

平易に言えば:リクエストは普通の英語システムプロンプトに見えますが、バックエンドが日付区切りとアポストロフィの Unicode コードポイントを見るだけで、ユーザーに「海外 VPN 利用だが実際は中国タイムゾーン、さらに特定 AI ラボの疑い」というラベルを付けられます。これは典型的な隠蔽チャネル(covert channel)です。

06 · Unicode 対照表(逆アセンブル報告に基づく)

検出条件 日付形式 Today's アポストロフィ Unicode
デフォルト(ドメインリスト外、非 AI ラボ)2026-06-30' 標準 ASCII アポストロフィU+0027
中国機関/ディーラードメインヒット2026-06-30' 右シングルクォートU+2019
AI ラボキーワードヒット2026-06-30ʼ 修飾レター・アポストロフィU+02BC
ドメインとラボの両方ヒット2026-06-30ʹ 修飾レター・プライムU+02B9
中国タイムゾーン重畳(Asia/Shanghai / Asia/Urumqi)2026/06/30アポストロフィ規則は上記と同じ

07 · Anthropic はなぜこうしたのか?動機 vs 手段

コミュニティの主流判断(控えめな表現、Anthropic 公式声明ではありません):目的は反モデル蒸留(distillation)+ 無許可転売対策です。Anthropic、OpenAI、Google はいずれも、競合が API 出力を大量取得して小モデルを訓練することを懸念してきました。中国関連プロキシ・転売・ラボが重点的な疑い対象となり、報道によればこの「ラベリング」ロジックが追加されたと見られます。

目的は理解できても、問題は手段:分類信号を肉眼では見えない形にし、意図的に難読化して各リクエストへ埋め込む行為は、開発者の信頼を前提とするツールにとって赤線です。Hacker News では激しく対立しました:

  • 擁護派:「正当な反蒸留防御だ」
  • 批判派:「開発者ツールとして悪意に近い(malware-adjacent)」

Claude Fable 5 輸出規制AI コーディングアシスタント選定比較と併読すると、Anthropic のアクセス制御と開発者エコシステムにおける緊張関係をより立体的に理解できます。

08 · これはスパイウェアか?

「スパイウェア」は感情的なラベルです。公開資料に基づくより正確な表現は次のとおりです:

  • 事件 Aは「第三者ソフトウェアの無許可改変+休眠攻撃面の予約」に近い——即座に悪用されなくても、ブラウザサンドボックス外の高権限チャネルを事前に敷いた形です。Anthropic 自社データ:Claude for Chrome のプロンプト注入成功率は緩和なし 23.6%、緩和あり 11.2% で、リスクは現実的です。
  • 事件 Bは「未開示の隠蔽テレメトリ/ユーザー分類」に近い。

スパイウェアという語を使うかどうかに関わらず、核心は一つです:ユーザーの知情同意なく、意図的に隠蔽されている。主流解釈では Anthropic の意図は無許可転売と蒸留の検出であり、個人監視ではないとされます。争点は目的より手段(隠蔽、難読化、未開示)にあります。

09 · 第三者技術確認(事件 A)

Hanff の当初の暴露に加え、公開報道によると:

  • Noah Kenney(Digital 520 独立コンサルタント)が Hanff の技術的主張を再現可能と確認
  • 安天实验室(Antiy Labs)が Claude Desktop 高権限ブラウザチャネルの専門リスク分析レポートを公開

事件 B の技術詳細は主に thereallo.dev の逆アセンブル報告と、Tech Startups、TMC Insight、Developers Digest、TechTimes などの後続メディア報道に基づきます。

10 · 五段階の自己点検と対策チェックリスト

  1. ANTHROPIC_BASE_URL と Claude Code バージョンを監査:環境変数が api.anthropic.com 以外のプロキシを指していないか確認。2.1.193〜196 を使っていた場合は直ちに 2.1.197+ へアップグレード。
  2. macOS で Native Messaging リストを確認(事件 A)~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json を検索し、必要に応じて削除。Claude Desktop 再起動で再生成される点に注意。
  3. システムタイムゾーンとプロキシ経路を監査Asia/ShanghaiAsia/Urumqi などの設定を照合し、日付区切りとアポストロフィがどう情報を組み合わせてエンコードするか理解する。
  4. 企業/機密環境では最小権限:Claude Desktop / Claude Code を高権限デスクトップ Agent として扱い、明示承認・監査・本番分離を徹底。MCP Server ゼロから構築ガイドで Agent ツール呼び出し境界を整理。
  5. デフォルト不信・開示を要求:再現可能・監査可能・オフ可能が信頼の基準。ベンダーは反蒸留を公然と行いスイッチを提供すべきで、句読点に隠すべきではありません。

11 · AI が強くなる時代、どう向き合うか

今回の教訓は「一つのアポストロフィ」自体ではなく、モデル能力が急伸する一方で安全境界・承認・監査が大幅に遅れている点にあります。ベンダーは「体験/濫用防止」を口実に、ユーザーと他ソフトウェアベンダーとの信頼境界を一方的に越えやすくなっています。

  1. デフォルト不信、証拠で判断:再現可能・監査可能・オフ可能が信頼に値します。
  2. 「隠すのではなく開示」を要求:反蒸留は公然と——説明とスイッチを提供し、Unicode に隠すべきではありません。
  3. 最小権限+境界分離:あらゆるデスクトップ Agent を高権限プログラムとして扱います。
  4. 足で投票+制度で拘束:GDPR/個人情報保護法と市場選択が「技術無制限」を抑える最終手段です。

技術に立場はなくても、企業には立場が必要です。能力が大きいほど自己規制が求められる——それはユーザーがバイナリを逆アセンブルして初めて知る秘密であるべきではありません。

12 · FAQ

Claude Code はスパイウェアですか?

逆アセンブル報告によると、従来意味でのスパイウェアではありません。ただしシステムプロンプトに未開示かつ難読化された指紋を埋め、プロキシ経由の中国関連ユーザーを分類していました。Anthropic は 2.1.197 で削除済みです。より正確には「未開示の隠蔽チャネル」です。

Claude Code はタイムゾーンを検出しますか?

逆アセンブル報告によると Asia/Shanghai / Asia/Urumqi を確認します——ただし非デフォルト ANTHROPIC_BASE_URL 利用時のみ。公式エンドポイントユーザーは影響を受けません。

Today's date アポストロフィ Unicode 指紋の原理は?

逆アセンブル報告によると、Today's のアポストロフィは U+0027、U+2019、U+02BC、U+02B9 で切り替わり、未ヒット、中国ドメインヒット、AI ラボキーワードヒット、両方ヒットをエンコードします。中国タイムゾーン重畳時は日付がスラッシュ区切りになります。

Anthropic がこのロジックを入れた理由は?

コミュニティ主流見解:モデル蒸留と無許可 API 転売の検出が最も可能性が高い——正当な目的だが、報道によれば隠蔽・難読化・未開示で実装されました。

Claude Desktop スパイウェア事件と同じですか?

いいえ。2026 年 4 月 Alexander Hanff 暴露の Claude Desktop Native Messaging 静かな注入が事件 A、2026 年 6 月 30 日 thereallo.dev 暴露の Claude Code システムプロンプト・ステガノグラフィが事件 B です。

通常の Web 版 Claude ユーザーは影響を受けますか?

事件 B は Claude Code で非公式 ANTHROPIC_BASE_URL(プロキシ)設定時のみ発動。一般の公式エンドポイントユーザーは影響を受けません。

Claude Desktop 注入ブラウザファイルの削除方法は?

~/Library/Application Support/<ブラウザ>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json を検索して削除。報道によれば Claude Desktop 再起動で再生成される場合があります。

Claude Code ステガノグラフィコードはまだ残っていますか?

逆アセンブル担当者とメディア報道によると 2.1.193、2.1.195、2.1.196 に存在。Anthropic は 2026 年 7 月 1 日 2.1.197 で削除、changelog 未明記。

13 · 参考ソース

  • The Register:Claude Desktop changes software permissions without consent(2026-04)
  • Malwarebytes / gHacks / YOOTA:Claude Desktop Native Messaging 関連報道
  • thereallo.dev:Claude Code prompt steganography(原典逆アセンブル報告)
  • Tech Startups / TMC Insight / Developers Digest / TechTimes:事件 B 報道と 2.1.197 修正
  • 安天实验室(Antiy Labs):Claude Desktop 高権限ブラウザチャネルリスク分析
  • Hacker News:Claude Code steganography 討論スレッド(350+ points)

14 · Mac レンタル:Claude Code 権限とプロキシ設定の隔離検証

事件 B を自分が触発したかを本当に切り分けるには、クリーンでスナップショット可能な macOS 環境で、公式 api.anthropic.com とカスタム ANTHROPIC_BASE_URL の両方で Claude Code を走らせ、システムプロンプトの diff を取得する必要があります。同時に Claude Desktop が NativeMessagingHosts へリストを書き込んでいないかも監査します。主力 Mac に Homebrew 複数バージョン CLI、会社 VPN、日常ブラウザ設定が混在すると、一度の対照実験で数週間のデバッグ基線が汚染されることがあります。

日単位で Apple Silicon Mac をレンタルすれば、隔離ノードで「プロキシ vs 公式エンドポイント」の A/B テスト、Native Messaging リスト巡回、Claude Code と Cursor ワークフロー回帰を完了し、検証後に主力機設定を復元するか判断できます。料金と機種対照は M シリーズ Mac 算力レンタル料金をご覧ください。Fable 5 輸出規制の影響を受ける場合も、レンタルノードでコンプライアンスチェックを並行実行する方が、本機に複数バージョン Claude CLI を無理に入れるより時間と帯域を節約できます。