Zielgruppe: Entwickler, die Claude Code oder Claude Desktop ueber Proxies, Reseller oder Custom Gateways betreiben, sowie Security-Leads, die Hype von reproduzierbaren Behauptungen trennen muessen. Lieferumfang: klare Trennung von Vorfall A (April 2026 Native-Messaging-Injection) und Vorfall B (30. Juni Prompt-Steganografie bei ANTHROPIC_BASE_URL ungleich api.anthropic.com), vollstaendige Unicode-Apostroph-Mapping-Tabelle, zitierte Versionsnummern und ein 6-Schritte-Schutz-Runbook inklusive Datenschutz-Relevanz fuer Klassifikationssignale in Prompts. Struktur: sechs Schmerzpunkte, Vorfallsvergleich, technische Aufschluesselung, Runbook, Kennzahlen, Mac-Cloud-Isolation, FAQ.
Ende Juni 2026 veroeffentlichte ein Entwickler Reverse-Engineering-Ergebnisse zu Claude Code auf thereallo.dev: Wenn ANTHROPIC_BASE_URL nicht auf api.anthropic.com zeigt, soll die CLI die Zeile Today's date is... im Systemprompt leise umschreiben — Datums-Trenner und visuell identische Unicode-Apostrophe tauschen, um zu kodieren, ob Sie in einer China-Zeitzone sitzen und ob Ihr Endpunkt verschleierte Domain- oder AI-Lab-Keyword-Listen trifft. Der Thread erreichte innerhalb weniger Stunden 350+ Punkte auf Hacker News und Reddit. Das ist Vorfall B. Nicht identisch mit Vorfall A aus April 2026, als Privacy-Berater Alexander Hanff in The Register berichtete, dass Claude Desktop auf macOS com.anthropic.claude_browser_extension.json in Chrome-, Edge-, Brave-, Arc-, Vivaldi-, Opera- und Chromium-Native-Messaging-Verzeichnisse schreibt — drei Extension-IDs fuer chrome-native-host ausserhalb der Browser-Sandbox vorab autorisiert. Berichten zufolge bestaetigten Noah Kenney und Antiy Labs Hanffs technische Behauptungen als reproduzierbar.
Beide Ereignisse zu vermischen fuehrt zu falschen Security-Entscheidungen. Eines ist eine persistente lokale Privilegien-Bruecke; das andere eine behauptete Covert-Classification in ausgehenden Prompts. Gemeinsam: Verhalten ohne informierte Zustimmung, erst nach Reverse Engineering offengelegt — nicht in Produktdokumentation oder Changelogs.
ANTHROPIC_BASE_URL. Direkter api.anthropic.com-Traffic blieb unveraendert — entscheidend fuer Teams mit offiziellen Subscriptions.Einzeiler: Kein klassisches Keylogging-Spyware, sondern zwei behauptete undeclared Covert Channels — lokale Native-Messaging-Vorautorisierung plus Prompt-Steganografie fuer Proxy-Nutzer — die Security-Teams als Supply-Chain- und Datenschutz-Governance-Vorfaelle behandeln sollten, bis unabhaengig auf eigenen Builds verifiziert.
Wer Claude in unserer 2026 AI-Coding-Assistant-Entscheidungsmatrix gegen Cursor und Copilot verglich, sollte eine Trust-and-Telemetry-Zeile ergaenzen. Feature-Paritaet erfasst nicht, ob die CLI Systemprompts umschreibt, wenn Sie eine Gateway-URL setzen.
Diese Tabelle fuer Architektur-Reviews, wenn jemand fragt „Ist Claude Code Spyware?“ ohne Binary, OS und API-Route zu spezifizieren.
| Dimension | Vorfall A: Claude Desktop | Vorfall B: Claude Code | Klassische Spyware | Disclosed Vendor-Telemetry |
|---|---|---|---|---|
| Produkt | Claude Desktop (macOS GUI) | Claude Code (CLI Agent) | Beliebig | Beliebig |
| Behauptetes Verhalten | Schreibt com.anthropic.claude_browser_extension.json; 3 Extension-IDs; chrome-native-host ausserhalb Sandbox; Recreate nach Delete |
Schreibt Today's date is... mit Unicode-Apostroph-Swaps und Datums-Trenner bei Custom-ANTHROPIC_BASE_URL |
Coverte Exfiltration von Dateien, Keystrokes, Credentials | Dokumentierte Nutzungsmetriken, Crash-Reports, Opt-out |
| Trigger | Install/Launch Claude Desktop (Hanff) | Nur nicht-standardmaessiges ANTHROPIC_BASE_URL |
Dauerhaft | In ToS/Datenschutzerklaerung genannt |
| Timeline | April 2026 (~ab 18.4.) | 30.6.2026 Disclosure; entfernt 2.1.197 (1.7.) | N/A | N/A |
| Bestes Label | Unautorisierte Drittsoftware-Aenderung; schlafender High-Privilege-Kanal | Undeclared Covert User Classification in Prompts | Malware | Akzeptierter Tradeoff mit Einwilligung |
Keine Zeile rechtfertigt Panik und sofortige Kuendigung aller Anthropic-Abos. Sie sind Gruende, welche Anthropic-Oberflaeche jedes Team nutzt, welchen API-Pfad jede Umgebung trifft und was Ihr Compliance-Regime verlangt, wenn Klassifikationssignale den Client ohne explizite Mitteilung verlassen — ein Datenschutz-relevantes Datenfluss-Problem.
Anthropics 2026-Narrativ — Series-H-Finanzierung und IPO-Positionierung, Enterprise Life Sciences, Exportkontrollen fuer Frontier-Modelle — macht Vertrauensvorfaelle materialer, nicht weniger. Oeffentliche Maerkte und regulierte Einkaeufer fragen, ob „Security-first“-Marketing zum Client-Verhalten passt.
Laut thereallo.dev-Report prueft die Logik die konfigurierte Base-URL gegen verschleierte Listen. Bei Match kodiert sie Klassifikations-Bits in der Datumszeile des Systemprompts — menschlich lesbar, auf Unicode-Codepoint-Ebene maschinenlesbar.
Schritt 1 — Datums-Trenner: Bei System-Zeitzone Asia/Shanghai oder Asia/Urumqi wechselt das Datumsformat von Bindestrichen zu Schraegstrichen (z. B. 2026-06-30 wird 2026/06/30).
Schritt 2 — Apostroph-Swap: Der Apostroph in Today's wechselt je nach Match zu einem visuell aehnlichen Zeichen:
| Bedingung | Datumsformat | Apostroph | Unicode |
|---|---|---|---|
| Default (kein Domain-/Lab-Match) | 2026-06-30 |
' ASCII-Apostroph |
U+0027 |
| China-verknuepfte Org/Reseller-Domain | 2026-06-30 |
' right single quotation mark |
U+2019 |
| AI-Lab-Keyword (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai, …) | 2026-06-30 |
ʼ modifier letter apostrophe |
U+02BC |
| Beides Domain und Lab-Keyword | 2026-06-30 |
ʹ modifier letter prime |
U+02B9 |
+ China-Zeitzone (Asia/Shanghai / Asia/Urumqi) |
2026/06/30 (Slash-Trenner) |
(wie oben je Match-Tier) | — |
Domain- und Keyword-Listen sollen als base64-Strings XOR mit Schluessel 91 gespeichert sein, grob 147 Domain-Regeln. Fuer Entwickler sieht der Prompt wie normales Englisch aus. Fuer einen Backend-Klassifizierer verraet ein Apostroph-Codepoint plus Datums-Trenner angeblich Proxy-Nutzung, Zeitzone und Reseller-/Lab-Zugehoerigkeit — personenbezogene Kontextsignale ohne explizite Einwilligung, relevant fuer Art. 13/14 DSGVO-Informationspflichten.
Motivation (Community-Konsens, nicht bewiesen): Anthropic, OpenAI und Google warnten oeffentlich vor Model Distillation. Unautorisierte Reseller und China-Gateways sind plausible Ziele. Intent mag vertretbar sein; Methode nicht. Klassifikation in Interpunktion zu verstecken, Listen im Binary zu obfuscaten und Changelog-Silence bei Entfernung untergraebt Developer-Trust.
Bei Proxy-Nutzung Systemprompt-Fragment erfassen und Codepoints pruefen — nicht das gerenderte Glyph:
# "Today's"-Token aus erfasstem Systemprompt einfuegen
token = "Today's" # durch erfassten String ersetzen
for ch in token:
print(repr(ch), hex(ord(ch)))
U+0027 ist Baseline. U+2019, U+02BC oder U+02B9 bei Custom-Base-URL wuerden Reverse-Engineering-Behauptungen auf Builds vor 2.1.197 stuetzen. In regulierten Umgebungen Spot-Checks mit Version-Pinning und Hash-Verifikation kombinieren.
Rechtlicher Hinweis: Dieser Artikel beschreibt Verhalten, das in Reverse-Engineering und Journalismus behauptet wird. Anthropic hat zum Stichtag kein vollstaendiges technisches Post-Mortem zu Vorfall B veroeffentlicht. Behauptungen als reproduzierbare Hypothesen behandeln, bis Ihr Security-Team sie auf exaktem Binary und Ihrer Konfiguration validiert — und Datenschutzbeauftragte in die Bewertung einbeziehen.
In dieser Reihenfolge ausfuehren. Ohne Inventar entdecken Teams Reseller-Gateway und Native-Messaging-Manifest erst nach Compliance-Fragebogen.
ANTHROPIC_BASE_URL oder Vendor-Proxy-URLs setzen.claude --version. Bei Vertrauen in Anthropics 1.-Juli-Build auf 2.1.197 oder neuer upgraden. Klaeren, ob Produktion api.anthropic.com oder Dritt-Gateway nutzt; Vorfall B soll nur bei nicht-default URLs gegolten haben.~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json fuer Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium. Inhalte, Extension-IDs, chrome-native-host-Pfad dokumentieren. Bei Policy-Verbot loeschen; Berichten zufolge recreate Claude Desktop beim Neustart.Schritte 3 und 5 komprimieren bei MACCOME-Kunden Kalender-Risiko: ein gemieteter Mac-Mini-M4-Cloud-Knoten hostet Claude-Code-Agenten in isoliertem macOS-Image ohne persoenliche Chrome-Profile auf Reise-Laptops — siehe auch Datenschutz bei Cloud-Mac.
Diese Zahlen mit Primaerlinks in Risk-Memos nutzen. Executives verstehen HN-Punkte als Developer-Aufmerksamkeit; Security-Councils sehen vorpositionierte Native-Messaging-Hosts als latente Privilege-Escalation-Oberflaechen unabhaengig vom aktuellen Exploit-Status.
Desktop-AI-Agenten kombinieren Shell-Zugriff, Browser-Bridges und long-lived Credentials. Auf demselben MacBook wie private E-Mail, Password-Manager-Extensions und Produktions-API-Keys maximiert das die Blast Radius, wenn Vendor-Verhalten — behauptet oder bestaetigt — eine Trust-Linie ueberschreitet.
Ein dedizierter gemieteter Mac-Mini-M4-Cloud-Knoten ermoeglicht Claude Code mit launchd-Persistenz, MCP-Sidecars und SSH fuer Remote-Editoren — ohne dass Claude Desktop Ihr taegliches Chrome-Profil beruehrt. Sie kontrollieren Zeitzone, Base-URL-Policy und welche Browser-Profile auf dem Host existieren — zentral fuer Datenschutz-by-Design bei Agent-Workloads.
Linux-VPS spart bei reinen CLI-Workloads, bricht aber bei xcodebuild, Apple-Notarisierung oder anderen macOS-only-Chains im Repo. Vergleich: gemischtes Laptop vs. isolierter macOS-Agent-Host, nicht Anthropic vs. Apple.
Die Juni-2026-Claude-Code-Steganografie-Story ist ein Fallstudie fuer vertretbare Ziele durch untragbare Verschleierung. Anti-Distillation und Anti-Reselling sind branchenweite Anliegen; Klassifikation in Unicode-Interpunktion, verschleierte Regellisten und Changelog-Silence bei Entfernung kosten Vendor-Trust schneller als jeder Benchmark-Gewinn ihn zurueckbringt.
Die Grenzen offensichtlicher Alternativen sind klar: (a) Vorfall A ignorieren laesst Native-Messaging-Vorauth auf macOS-Workstations mit vollem User-Privileg; (b) Claude Code komplett verbieten bricht Teams mit standardisierten Hooks und MCP-Workflows; (c) denselben Agent-Stack auf Laptops mit gemischten persoenlichen Browsern und Produktions-Secrets vergroessert Impact beim naechsten undeclared Client-Verhalten.
Nach Inventar, Version-Pinning und Entscheidung zu erlaubten Base-URLs ist der naechste Engpass meist Host-Isolation — nicht ein weiterer Thread, ob U+02B9 Spyware ist. Fuer SSH in Minuten, planbare Monatskosten und macOS-Umgebung mit Least-Privilege-Claude-Code-Agenten fern von Browser-Profilen passt ein MACCOME dedizierter Mac-Mini-M4-Cloud-Host typischerweise besser: echtes Apple Silicon, launchd-freundliche Uptime, Segmentierung fuer long-running Agent-Prozesse. Regionen und RAM auf der Mac-Mini-Mietpreise-Seite; operative Fragen an die Mac-Mini-Hilfe-FAQ.
Default: Misstrauen bis Verhalten reproduzierbar, dokumentiert und abschaltbar ist. Offenlegung statt Steganografie verlangen. Jeden Desktop-Agent als High-Privilege-Software behandeln — bis Sie Agenten in Grenzen verschieben, die Sie kontrollieren.
The Register (Alexander Hanff, Claude Desktop Native Messaging, April 2026); Malwarebytes, gHacks, YOOTA (Vorfall A); thereallo.dev (Original Claude-Code-Reverse-Engineering, 30.6.2026); Tech Startups, TMC Insight, Developers Digest, TechTimes (2.1.197-Entfernung); Antiy Labs Risk Analysis (Claude Desktop Browser Channel).
FAQ
Ist Claude Code Spyware?
Nicht im klassischen Datendiebstahl-Sinn, aber laut Reverse-Engineering-Berichten bettete Claude Code einen undeclared, verschleierten Fingerabdruck in Systemprompts ein, um China-verknuepfte Proxy-Nutzer zu markieren, wenn ANTHROPIC_BASE_URL nicht api.anthropic.com war. Anthropic entfernte den Code in 2.1.197. Best beschrieben als undeclared Covert Channel statt klassischer Spyware.
Verfolgt Claude Code meine Zeitzone?
Laut thereallo.dev-Report pruefte Claude Code Asia/Shanghai und Asia/Urumqi und wechselte den Datums-Trenner — aber nur bei nicht-standardmaessigem ANTHROPIC_BASE_URL. Offizielle api.anthropic.com-Endpunkte blieben unveraendert.
Was ist der Apostroph-Unicode-Trick?
Der Apostroph in Today's wurde angeblich zwischen U+0027 (Default), U+2019 (China-Domain), U+02BC (AI-Lab-Keyword) und U+02B9 (Domain und Lab) getauscht, um Klassifikation in der Systemprompt-Datumszeile zu kodieren.
Warum hat Anthropic das eingebaut?
Community-Analyse und Hacker News deuten auf Anti-Distillation und Erkennung unautorisierten API-Weiterverkaufs — legitimes Ziel, angeblich verschleiert umgesetzt.
Ist das dasselbe wie die Claude-Desktop-Spyware-Story?
Nein. Vorfall A (April 2026): Claude Desktop auf macOS schrieb com.anthropic.claude_browser_extension.json Native-Messaging-Manifeste (Alexander Hanff, The Register). Vorfall B (30.6.2026): Claude-Code-Prompt-Steganografie bei Custom-Base-URL.
Sind normale Claude-Webapp-Nutzer betroffen?
Vorfall B triggerte nur in Claude Code, wenn ANTHROPIC_BASE_URL nicht api.anthropic.com zeigte. Offizielle Webapp oder CLI mit Standard-Endpunkt waren nicht der Unicode-Apostroph-Kodierung unterworfen.
Wie entferne ich Claude-Desktop-Native-Messaging-Manifeste?
Unter macOS: ~/Library/Application Support/<browser>/NativeMessagingHosts/ nach com.anthropic.claude_browser_extension.json in Chrome, Edge, Brave, Arc, Vivaldi, Opera, Chromium suchen. Bei Bedarf loeschen; Berichten zufolge recreate Claude Desktop beim Neustart.
Welche Claude-Code-Versionen enthielten den Fingerabdruck-Code?
Laut thereallo.dev: 2.1.193, 2.1.195, 2.1.196. Entfernt in 2.1.197 vom 1. Juli 2026; oeffentliches Changelog erwaehnte die Entfernung nicht.