対象読者:プロキシ、転売業者、カスタムゲートウェイ経由で Claude Code または Claude Desktop を動かす開発者、および hype と再現可能な主張を切り分ける必要があるセキュリティ責任者です。得られるもの:事件 A(2026年4月 Native Messaging 注入)と事件 B(2026年6月30日、ANTHROPIC_BASE_URL が api.anthropic.com 以外のときのプロンプトステガノグラフィ)の明確な分離、Unicode アポストロフィ対照表、出典付きバージョン番号、六段階保護 Runbookです。副題:静かなブラウザ注入から、一文字のアポストロフィに隠された隠密チャネルへ——AI ベンダーへの信頼が意味すること。構成:六つの痛点、事件対照表、技術分解、Runbook、ハードデータ、Mac クラウド分離ブリッジ、FAQ です。
2026年6月下旬、開発者が Claude Code をリバースエンジニアリングし、thereallo.dev で報告しました。ANTHROPIC_BASE_URL が api.anthropic.com 以外を指す場合、CLI がシステムプロンプト内の無害な Today's date is... 行を静かに書き換え——日付区切りを切り替え、視覚的に同一の Unicode アポストロフィで、中国タイムゾーンにいるか、エンドポイントが難読化ドメインまたは AI ラボキーワードリストに一致するかをエンコードしたとのことです。スレッドは数時間で Hacker News と Reddit で 350+ ポイントに達しました。これが事件 Bです。2026年4月の事件 A とは別物です。当時、プライバシーコンサルタント Alexander Hanff が The Register で報じたのは、Claude Desktop が macOS 上で com.anthropic.claude_browser_extension.json を Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium の Native Messaging ディレクトリに静かに書き込み——3 つの拡張機能 ID をブラウザサンドボックス外の chrome-native-host 呼び出しに事前承認した件です。独立コンサルタント Noah Kenney と Antiy Labs が Hanff の技術的主張を再現可能と報告しています。
二つの事件を混同すると、誤ったセキュリティ判断につながります。一つは永続的なローカル権限ブリッジ、もう一つは outbound プロンプト内の alleged 隠密分類チャネルです。共通点は、ユーザーが knowingly オプトインしていない行為が、第三者のリバースエンジニアリング後に初めて開示されたこと——製品ドキュメントや changelog ではなく。
ANTHROPIC_BASE_URL 設定時のみ発動したとリバースエンジニアリング報告は述べています。直接 api.anthropic.com トラフィックは変更されていません——公式サブスクリプション開発者への影響判断に重要です。一行定義:これは従来のキーロガー型スパイウェアではありませんが、alleged な未開示隠密チャネルのペア——ローカル Native Messaging 事前承認とプロキシ利用者向けプロンプトステガノグラフィ——であり、セキュリティチームは自社ビルドで独立検証するまで、サプライチェーンおよびデータガバナンス事件として扱うべきです。
当サイトの 2026 AI コーディングアシスタント決定マトリクスで Claude と Cursor、Copilot を比較済みなら、評価表に「信頼とテレメトリ」行を追加してください。機能 parity 表は、ゲートウェイ URL 接続時に CLI がシステムプロンプトを書き換えるかを捉えません。
「Claude Code はスパイウェアか?」と聞かれても、どのバイナリ、OS、API ルートか不明な場合は、アーキテクチャレビューでこの表を使ってください。
| 次元 | 事件 A:Claude Desktop | 事件 B:Claude Code | 典型スパイウェア | 開示済みベンダーテレメトリ |
|---|---|---|---|---|
| 製品 | Claude Desktop(macOS GUI) | Claude Code(CLI Agent) | 任意 | 任意 |
| Alleged 行為 | com.anthropic.claude_browser_extension.json 書き込み;3 拡張機能 ID 事前承認;サンドボックス外 chrome-native-host;削除後再作成 |
カスタム ANTHROPIC_BASE_URL 時、Unicode アポストロフィ置換と日付区切り変更で Today's date is... を書き換え |
ファイル・キー入力・認証情報の covert 持ち出し | 文書化された使用量、クラッシュレポート、オプトアウト |
| トリガー | Claude Desktop インストール/起動(Hanff 報道) | 非デフォルト ANTHROPIC_BASE_URL のみ |
継続 | ToS/プライバシーポリシーに記載 |
| タイムライン | 2026年4月(約 4/18 以降) | 2026年6月30日開示;2.1.197(7/1)で削除 | 該当なし | 該当なし |
| 最適ラベル | 無許可第三者ソフト改変; dormant 高権限チャネル | 未開示のプロンプト隠密ユーザー分類 | マルウェア | 同意に基づくトレードオフ |
どちらの行も、Anthropic サブスクリプションを一晩で全削除する理由にはなりません。各チームがどの Anthropic サーフェスを使い、各環境がどの API パスを通るか、分類信号が明示通知なしにクライアントから出る際にコンプライアンス体制が何を要求するかを文書化する理由にはなります。
Anthropic の 2026 年広いナラティブ——Series H 資金調達と IPO ポジショニング、エンタープライズ生命科学推進、フロンティアモデル輸出規制——は信頼事件をより軽視すべきではなく、より重要にします。公開市場と規制対象バイヤーは、「セキュリティ第一」マーケティングがクライアント行動と一致するかを問います。
thereallo.dev のリバースエンジニアリング報告によると、ロジックは設定 base URL を難読化リストと照合します。一致時、システムプロンプトの日付行に分類ビットをエンコード——一目では人間可読、Unicode コードポイントレベルでは機械可読です。
ステップ 1 — 日付区切り:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、日付形式がハイフンからスラッシュに切り替わります(例:2026-06-30 が 2026/06/30)。
ステップ 2 — アポストロフィ置換:Today's のアポストロフィが一致内容に応じて視覚的に類似した文字に変わります:
| 条件 | 日付形式 | アポストロフィ | Unicode |
|---|---|---|---|
| デフォルト(ドメイン・ラボ不一致) | 2026-06-30 |
' ASCII アポストロフィ |
U+0027 |
| 中国関連組織/転売ドメイン一致 | 2026-06-30 |
' 右シングルクォート |
U+2019 |
| AI ラボキーワード一致(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等) | 2026-06-30 |
ʼ 修飾文字アポストロフィ |
U+02BC |
| ドメインとラボキーワード両方一致 | 2026-06-30 |
ʹ 修飾文字プライム |
U+02B9 |
+ 中国タイムゾーン(Asia/Shanghai / Asia/Urumqi) |
2026/06/30(スラッシュ区切り) |
(上表の一致階層に従う) | — |
ドメイン・キーワードリストは base64 文字列 XOR キー 91 で保存され、約 147 ドメインルールあるとされています。開発者がログを流し見すると、プロンプトは普通の英語に見えます。バックエンド分類器は、一文字のアポストロフィのコードポイントと日付区切りから、プロキシ利用、タイムゾーン文脈、転売業者またはラボ所属を読み取ったとされています。
動機(コミュニティ合意、意図は未証明):Anthropic、OpenAI、Google はモデル蒸留——競合が API 出力を収集して小モデルを訓練——について公に警告しています。不正転売業者と中国関連ゲートウェイは plausible な標的です。意図は防御可能でも、方法はそうではありません。句読点に分類を隠し、バイナリ内でリストを難読化し、コード削除時に changelog 開示を省略するのは、ベンチマーク勝利より速く開発者信頼を失う方法です。
Claude Code をプロキシする場合、システムプロンプト断片をキャプチャし、字形ではなくコードポイントを検査してください:
# キャプチャしたシステムプロンプトの "Today's" トークンを貼り付け
token = "Today's" # キャプチャ文字列に置換
for ch in token:
print(repr(ch), hex(ord(ch)))
U+0027 がベースラインです。カスタム base URL で U+2019、U+02BC、U+02B9 が出れば、2.1.197 以前のビルドでリバースエンジニアリング主張を裏付けます。規制環境では必ずバージョン固定とハッシュ検証を併用してください。
法的表現:本文は第三者リバースエンジニアリングとジャーナリズムで alleged とされる行為を説明しています。執筆時点で Anthropic は事件 B について完全な技術 post-mortem を公開していません。主張は、セキュリティチームが正確なバイナリと設定で検証するまで、再現可能な仮説として扱ってください。
順番に実行してください。棚卸しを省略すると、コンプライアンスアンケート到着後に初めて転売ゲートウェイ——と Native Messaging マニフェスト——を発見するチームが出ます。
ANTHROPIC_BASE_URL またはベンダー代理 URL 設定の有無を記録します。claude --version を実行します。Anthropic 7月1日ビルドに依存する場合は 2.1.197 以降にアップグレードします。本番が api.anthropic.com か第三者ゲートウェイか確認します。事件 B は非デフォルト URL のみに allegedly 適用されました。~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json(Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium プロファイル)を確認します。内容、拡張機能 ID、chrome-native-host パスを文書化します。ポリシーで禁止なら削除しますが、報告によると Claude Desktop 再起動で再作成される可能性があります。ステップ 3 と 5 は MACCOME 顧客が通常カレンダーリスクを圧縮する箇所です。レンタル Mac Mini M4 クラウドノードは、隔離 macOS イメージで Claude Code Agent を動かし、旅行用ノート PC の個人 Chrome プロファイルに触れません。
リスクメモで一次リンクと併せてこれらの数値を使ってください。経営層は HN ポイントを開発者注目の指標と理解します。セキュリティ評議会は、現在 exploit されていなくても、事前配置 Native Messaging ホストを潜在権限昇格面と理解します。
デスクトップ AI Agent はシェルアクセス、ブラウザブリッジ、長寿命認証情報を組み合わせます。個人メール、パスワードマネージャー拡張、本番 API キーを持つ同一 MacBook で動かすと、ベンダー行為——alleged または confirmed——が信頼線を越えたときに blast radius が最大化されます。
専用レンタル Mac Mini M4 クラウドノードなら、launchd 永続化、MCP サイドカー、リモートエディタ互換 SSH で Claude Code を動かせます——Claude Desktop が日常 Chrome プロファイルに触れる必要はありません。タイムゾーン、base URL ポリシー、ホスト上に存在するブラウザプロファイルを制御できます。
Linux VPS は純 CLI ワークロードでは安価ですが、Agent スクリプトが xcodebuild、Apple 公証、その他 macOS 専用チェーンを呼ぶと、repo に既にエンコードされたパスが破綻します。比較対象は Anthropic vs Apple ではなく、混在ノート PC vs 隔離 macOS Agent ホストです。
2026年6月 Claude Code ステガノグラフィストーリーは、防御可能な目標を防御不可能な隠蔽で実装したケーススタディです。反蒸留と反転売は業界共通の懸念です。Unicode 句読点に分類信号を埋め込み、ルールリストを難読化し、コード削除時に changelog 開示を省略するのは、ベンチマーク勝利より速く開発者信頼を失う方法です。
明白な代替の限界も同様に明確です。(a)事件 A を無視すると、フルユーザー権限の macOS ワークステーションに Native Messaging 事前承認が残ります;(b)Claude Code を全面禁止すると、既に hook と MCP ワークフローを標準化したチームが破綻します;(c)個人ブラウザと本番シークレットが混在するノート PC で同一 Agent スタックを動かすと、次の未開示クライアント行為が表面化したときに影響が増幅します。
バイナリを棚卸し、バージョンを固定し、許可 base URL を決めた後、次のボトルネックは通常ホスト分離です——U+02B9 がスパイウェアかどうかのスレッドではありません。数分で SSH、予測可能な月額、日常ブラウザプロファイルから離れた最小権限で Claude Code Agent を動かす macOS 環境が必要なら、MACCOME 専用 Mac Mini M4 クラウドホストが通常より適しています——実 Apple Silicon、launchd フレンドリー uptime、長時間 Agent プロセスと互換の分離。リージョンとメモリはMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。
行為が再現可能・文書化・切り替え可能になるまで、デフォルトは distrust です。ステガノグラフィより開示を要求してください。そして各デスクトップ Agent を高権限ソフトウェアとして扱ってください——Agent を制御可能な境界に移すまで、ベンダーはあなたのマシンでこの教訓を学び続けるでしょう。
The Register(Alexander Hanff、Claude Desktop Native Messaging、2026年4月);Malwarebytes、gHacks、YOOTA(事件 A フォローアップ);thereallo.dev(2026年6月30日 Claude Code オリジナルリバースエンジニアリング);Tech Startups、TMC Insight、Developers Digest、TechTimes(2.1.197 削除報道);Antiy Labs リスク分析(Claude Desktop ブラウザチャネル)。
FAQ
Claude Code はスパイウェアですか?
従来のデータ窃取型ではありませんが、リバースエンジニアリング報告によると、ANTHROPIC_BASE_URL が api.anthropic.com 以外の場合、Claude Code はシステムプロンプトに未開示の難読化フィンガープリントを埋め込み、中国関連プロキシ利用者をフラグ付けしていました。Anthropic は 2.1.197 でコードを削除しました。未開示の隠密チャネルと表現するのが適切です。
Claude Code はタイムゾーンを追跡しますか?
thereallo.dev 報告によると、Claude Code は Asia/Shanghai と Asia/Urumqi を確認し、日付区切りをハイフンからスラッシュに切り替えますが、非デフォルト ANTHROPIC_BASE_URL 使用時のみです。公式 api.anthropic.com エンドポイントは変更されていません。
アポストロフィ Unicode トリックとは?
Today's のアポストロフィが U+0027(デフォルト)、U+2019(中国関連ドメイン一致)、U+02BC(AI ラボキーワード一致)、U+02B9(ドメインとラボ両方一致)の間で allegedly 切り替わり、システムプロンプト日付行に分類信号をエンコードしていました。
Anthropic はなぜこれを追加したのですか?
コミュニティ分析と Hacker News 議論では、目的は反蒸留と不正 API 転売の検出である可能性が高いとされています——正当な目的を alleged 隠蔽・難読化で実装した形です。
Claude Desktop スパイウェア報道と同じですか?
いいえ。事件 A(2026年4月)は macOS 上の Claude Desktop が com.anthropic.claude_browser_extension.json Native Messaging マニフェストを静かに書き込む件で、Alexander Hanff が The Register で開示しました。事件 B(2026年6月30日)はカスタム base URL 使用時の Claude Code プロンプトステガノグラフィです。
通常の Claude Web 利用者は影響を受けますか?
事件 B は Claude Code で ANTHROPIC_BASE_URL が api.anthropic.com 以外を指す場合のみ発動しました。公式 Web アプリまたはデフォルトエンドポイント CLI 利用者は、リバースエンジニアリング報告の Unicode アポストロフィエンコードの対象ではありません。
Claude Desktop Native Messaging マニフェストを削除するには?
macOS では ~/Library/Application Support/<browser>/NativeMessagingHosts/ 内の Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium プロファイルで com.anthropic.claude_browser_extension.json を確認します。必要に応じて削除できますが、報告によると Claude Desktop 再起動時に再作成される可能性があります。
フィンガープリントコードを含む Claude Code バージョンは?
thereallo.dev リバースエンジニアリングによると、2.1.193、2.1.195、2.1.196 にロジックが含まれていました。Anthropic は 2026年7月1日リリースの 2.1.197 で削除しました。公開 changelog に削除の記載はありません。