Claude Code ステガノグラフィ事件:Anthropicの隠されたUnicodeフィンガープリント全解説(2026)

約16分で読了 · MACCOME

対象読者:プロキシ、転売業者、カスタムゲートウェイ経由で Claude Code または Claude Desktop を動かす開発者、および hype と再現可能な主張を切り分ける必要があるセキュリティ責任者です。得られるもの:事件 A(2026年4月 Native Messaging 注入)と事件 B(2026年6月30日、ANTHROPIC_BASE_URLapi.anthropic.com 以外のときのプロンプトステガノグラフィ)の明確な分離、Unicode アポストロフィ対照表、出典付きバージョン番号、六段階保護 Runbookです。副題:静かなブラウザ注入から、一文字のアポストロフィに隠された隠密チャネルへ——AI ベンダーへの信頼が意味すること。構成:六つの痛点、事件対照表、技術分解、Runbook、ハードデータ、Mac クラウド分離ブリッジ、FAQ です。

六つの痛点:2026年4月と6月の Claude 信頼事件が異なる神経に触れる理由

2026年6月下旬、開発者が Claude Code をリバースエンジニアリングし、thereallo.dev で報告しました。ANTHROPIC_BASE_URLapi.anthropic.com 以外を指す場合、CLI がシステムプロンプト内の無害な Today's date is... 行を静かに書き換え——日付区切りを切り替え、視覚的に同一の Unicode アポストロフィで、中国タイムゾーンにいるか、エンドポイントが難読化ドメインまたは AI ラボキーワードリストに一致するかをエンコードしたとのことです。スレッドは数時間で Hacker News と Reddit で 350+ ポイントに達しました。これが事件 Bです。2026年4月の事件 A とは別物です。当時、プライバシーコンサルタント Alexander Hanff が The Register で報じたのは、Claude Desktop が macOS 上で com.anthropic.claude_browser_extension.json を Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium の Native Messaging ディレクトリに静かに書き込み——3 つの拡張機能 ID をブラウザサンドボックス外の chrome-native-host 呼び出しに事前承認した件です。独立コンサルタント Noah Kenney と Antiy Labs が Hanff の技術的主張を再現可能と報告しています。

二つの事件を混同すると、誤ったセキュリティ判断につながります。一つは永続的なローカル権限ブリッジ、もう一つは outbound プロンプト内の alleged 隠密分類チャネルです。共通点は、ユーザーが knowingly オプトインしていない行為が、第三者のリバースエンジニアリング後に初めて開示されたこと——製品ドキュメントや changelog ではなく。

  1. 二製品、一ブランドの混乱:Claude Desktop(GUI)と Claude Code(CLI)は Anthropic ロゴを共有しますが、発動条件が異なります。「Claude」を監査する際にバイナリを特定しないチームは、どちらの方向でも false negative を招きます。
  2. 事件 A:サンドボックス迂回の事前配置:Hanff の報道と Malwarebytes のフォローアップによると、Claude Desktop は未インストールのブラウザ用 Native Messaging ホストディレクトリを作成し、3 つの拡張機能 ID をフルユーザー権限で動くホストに接続し、手動削除後も再起動でマニフェストを再作成したとされています。これは benign な統合トグルより、第三者ソフトウェアへの無許可改変に近いです。
  3. 事件 B:プロキシ限定ステガノグラフィ:Unicode フィンガープリントロジックは、カスタム ANTHROPIC_BASE_URL 設定時のみ発動したとリバースエンジニアリング報告は述べています。直接 api.anthropic.com トラフィックは変更されていません——公式サブスクリプション開発者への影響判断に重要です。
  4. 開示の代わりに難読化:alleged ドメイン・キーワードリストは base64 + XOR(91) エンコードで、約 147 ルール、deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai などのキーワードを含みます。意図は反蒸留かもしれませんが、手法は隠蔽と読めます。
  5. 静かな修正:リバースエンジニアは Claude Code 2.1.1932.1.1952.1.196 にフィンガープリントが存在すると報告しました。Anthropic は 2026年7月1日2.1.197 で削除しましたが、公開 changelog に削除の記載はありません——「trust but verify」アップグレード方針を損ないます。
  6. HN コミュニティの正当性分裂:一派は不正 API 転売に対する合理的な反蒸留防御と位置づけ、もう一派は informed consent 上の開発者ツールとして malware 隣接と呼びます。双方、隠された句読点と難読化リストという配信メカニズムは透明性テストに不合格だと同意しています。

一行定義:これは従来のキーロガー型スパイウェアではありませんが、alleged な未開示隠密チャネルのペア——ローカル Native Messaging 事前承認とプロキシ利用者向けプロンプトステガノグラフィ——であり、セキュリティチームは自社ビルドで独立検証するまで、サプライチェーンおよびデータガバナンス事件として扱うべきです。

当サイトの 2026 AI コーディングアシスタント決定マトリクスで Claude と Cursor、Copilot を比較済みなら、評価表に「信頼とテレメトリ」行を追加してください。機能 parity 表は、ゲートウェイ URL 接続時に CLI がシステムプロンプトを書き換えるかを捉えません。

事件 A vs 事件 B vs 開示済みテレメトリ:対照マトリクス

「Claude Code はスパイウェアか?」と聞かれても、どのバイナリ、OS、API ルートか不明な場合は、アーキテクチャレビューでこの表を使ってください。

次元 事件 A:Claude Desktop 事件 B:Claude Code 典型スパイウェア 開示済みベンダーテレメトリ
製品 Claude Desktop(macOS GUI) Claude Code(CLI Agent) 任意 任意
Alleged 行為 com.anthropic.claude_browser_extension.json 書き込み;3 拡張機能 ID 事前承認;サンドボックス外 chrome-native-host;削除後再作成 カスタム ANTHROPIC_BASE_URL 時、Unicode アポストロフィ置換と日付区切り変更で Today's date is... を書き換え ファイル・キー入力・認証情報の covert 持ち出し 文書化された使用量、クラッシュレポート、オプトアウト
トリガー Claude Desktop インストール/起動(Hanff 報道) 非デフォルト ANTHROPIC_BASE_URL のみ 継続 ToS/プライバシーポリシーに記載
タイムライン 2026年4月(約 4/18 以降) 2026年6月30日開示;2.1.197(7/1)で削除 該当なし 該当なし
最適ラベル 無許可第三者ソフト改変; dormant 高権限チャネル 未開示のプロンプト隠密ユーザー分類 マルウェア 同意に基づくトレードオフ

どちらの行も、Anthropic サブスクリプションを一晩で全削除する理由にはなりません。各チームがどの Anthropic サーフェスを使い、各環境がどの API パスを通るか、分類信号が明示通知なしにクライアントから出る際にコンプライアンス体制が何を要求するかを文書化する理由にはなります。

Anthropic の 2026 年広いナラティブ——Series H 資金調達と IPO ポジショニング、エンタープライズ生命科学推進、フロンティアモデル輸出規制——は信頼事件をより軽視すべきではなく、より重要にします。公開市場と規制対象バイヤーは、「セキュリティ第一」マーケティングがクライアント行動と一致するかを問います。

Alleged Unicode フィンガープリントの仕組み(事件 B)

thereallo.dev のリバースエンジニアリング報告によると、ロジックは設定 base URL を難読化リストと照合します。一致時、システムプロンプトの日付行に分類ビットをエンコード——一目では人間可読、Unicode コードポイントレベルでは機械可読です。

ステップ 1 — 日付区切り:システムタイムゾーンが Asia/Shanghai または Asia/Urumqi の場合、日付形式がハイフンからスラッシュに切り替わります(例:2026-06-302026/06/30)。

ステップ 2 — アポストロフィ置換:Today's のアポストロフィが一致内容に応じて視覚的に類似した文字に変わります:

条件 日付形式 アポストロフィ Unicode
デフォルト(ドメイン・ラボ不一致) 2026-06-30 ' ASCII アポストロフィ U+0027
中国関連組織/転売ドメイン一致 2026-06-30 ' 右シングルクォート U+2019
AI ラボキーワード一致(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai 等) 2026-06-30 ʼ 修飾文字アポストロフィ U+02BC
ドメインとラボキーワード両方一致 2026-06-30 ʹ 修飾文字プライム U+02B9
+ 中国タイムゾーンAsia/Shanghai / Asia/Urumqi 2026/06/30(スラッシュ区切り) (上表の一致階層に従う)

ドメイン・キーワードリストは base64 文字列 XOR キー 91 で保存され、約 147 ドメインルールあるとされています。開発者がログを流し見すると、プロンプトは普通の英語に見えます。バックエンド分類器は、一文字のアポストロフィのコードポイントと日付区切りから、プロキシ利用、タイムゾーン文脈、転売業者またはラボ所属を読み取ったとされています。

動機(コミュニティ合意、意図は未証明):Anthropic、OpenAI、Google はモデル蒸留——競合が API 出力を収集して小モデルを訓練——について公に警告しています。不正転売業者と中国関連ゲートウェイは plausible な標的です。意図は防御可能でも、方法はそうではありません。句読点に分類を隠し、バイナリ内でリストを難読化し、コード削除時に changelog 開示を省略するのは、ベンチマーク勝利より速く開発者信頼を失う方法です。

クイックチェック:キャプチャしたプロンプトのアポストロフィを検査

Claude Code をプロキシする場合、システムプロンプト断片をキャプチャし、字形ではなくコードポイントを検査してください:

python
# キャプチャしたシステムプロンプトの "Today's" トークンを貼り付け
token = "Today's"  # キャプチャ文字列に置換
for ch in token:
    print(repr(ch), hex(ord(ch)))

U+0027 がベースラインです。カスタム base URL で U+2019、U+02BC、U+02B9 が出れば、2.1.197 以前のビルドでリバースエンジニアリング主張を裏付けます。規制環境では必ずバージョン固定とハッシュ検証を併用してください。

warning

法的表現:本文は第三者リバースエンジニアリングとジャーナリズムで alleged とされる行為を説明しています。執筆時点で Anthropic は事件 B について完全な技術 post-mortem を公開していません。主張は、セキュリティチームが正確なバイナリと設定で検証するまで、再現可能な仮説として扱ってください。

六段階保護 Runbook:本番環境で Claude Desktop と Claude Code を監査

順番に実行してください。棚卸しを省略すると、コンプライアンスアンケート到着後に初めて転売ゲートウェイ——と Native Messaging マニフェスト——を発見するチームが出ます。

  1. Anthropic サーフェスを棚卸し:Claude Desktop、Claude Code、Claude for Chrome、IDE 拡張機能を動かす全マシンを列挙します。macOS バージョン、インストールチャネル(直接 DL vs MDM)、ANTHROPIC_BASE_URL またはベンダー代理 URL 設定の有無を記録します。
  2. Claude Code バージョンと base URL を確認:claude --version を実行します。Anthropic 7月1日ビルドに依存する場合は 2.1.197 以降にアップグレードします。本番が api.anthropic.com か第三者ゲートウェイか確認します。事件 B は非デフォルト URL のみに allegedly 適用されました。
  3. Native Messaging マニフェストを監査(事件 A):各 macOS ホストで ~/Library/Application Support/<Browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json(Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium プロファイル)を確認します。内容、拡張機能 ID、chrome-native-host パスを文書化します。ポリシーで禁止なら削除しますが、報告によると Claude Desktop 再起動で再作成される可能性があります。
  4. プロキシパスでシステムプロンプトをキャプチャ・diff:転売業者を使う必要がある環境では、管理下のテストアカウントで outbound システムプロンプト断片を記録します。上表に対しアポストロフィコードポイントと日付区切りを比較し、監査証跡用にバージョン番号付きでアーカイブします。
  5. 最小権限とネットワーク分離を適用:フルブラウザプロファイルと本番シークレットを持つ primary 開発ノート PC で Claude Desktop や長寿命 Claude Code デーモンを動かさないでください。専用 Agent ホストを推奨——ファイルシステムアクセス制限、別ブラウザプロファイル、明示的 egress allow-list。
  6. ベンダーリスク登録と社内連絡を更新:The Register、Malwarebytes、thereallo.dev、Antiy Labs を出典にサプライヤー信頼事件を記録します。カスタム base URL が承認・禁止・セキュリティレビュー必須かをエンジニアに伝え——次スプリントで新 Claude Code hook を採用する前に社内ポリシーへリンクします。

ステップ 3 と 5 は MACCOME 顧客が通常カレンダーリスクを圧縮する箇所です。レンタル Mac Mini M4 クラウドノードは、隔離 macOS イメージで Claude Code Agent を動かし、旅行用ノート PC の個人 Chrome プロファイルに触れません。

セキュリティブリーフィングで引用できる三つのハードデータ

  • コミュニティ信号規模:2026年6月30日 Claude Code ステガノグラフィ開示は、数時間で Hacker News 350+ ポイント100+ コメントに達したと報告されています——ニッチフォーラム噂ではなく、主要サプライチェーンストーリーに匹敵する開発者リーチです。
  • 難読化ルールセット規模:thereallo.dev リバースエンジニアリングは約 147 base64+XOR(91) ドメインルールと AI ラボキーワード(deepseek、moonshot、zhipu、minimax、baichuan、stepfun、01ai)を、2.1.193 / 2.1.195 / 2.1.196 に存在し 2.1.197(2026年7月1日)で静かに削除したと alleged しています。
  • 事件 A の独立裏付け:Alexander Hanff の 2026年4月 The Register Claude Desktop Native Messaging 報道は、コンサルタント Noah Kenney により再現され、Antiy Labs 専用リスクレポートで分析されたと報告されています——6月 CLI ステガノグラフィスレッドとは別ですが、同一信頼ナラティブの一部です。

リスクメモで一次リンクと併せてこれらの数値を使ってください。経営層は HN ポイントを開発者注目の指標と理解します。セキュリティ評議会は、現在 exploit されていなくても、事前配置 Native Messaging ホストを潜在権限昇格面と理解します。

隔離 Mac クラウドホスティング:Claude Code Agent の最小権限

デスクトップ AI Agent はシェルアクセス、ブラウザブリッジ、長寿命認証情報を組み合わせます。個人メール、パスワードマネージャー拡張、本番 API キーを持つ同一 MacBook で動かすと、ベンダー行為——alleged または confirmed——が信頼線を越えたときに blast radius が最大化されます。

専用レンタル Mac Mini M4 クラウドノードなら、launchd 永続化、MCP サイドカー、リモートエディタ互換 SSH で Claude Code を動かせます——Claude Desktop が日常 Chrome プロファイルに触れる必要はありません。タイムゾーン、base URL ポリシー、ホスト上に存在するブラウザプロファイルを制御できます。

Linux VPS は純 CLI ワークロードでは安価ですが、Agent スクリプトが xcodebuild、Apple 公証、その他 macOS 専用チェーンを呼ぶと、repo に既にエンコードされたパスが破綻します。比較対象は Anthropic vs Apple ではなく、混在ノート PC vs 隔離 macOS Agent ホストです。

結論:意図 vs 方法——分離が outrage に勝る理由

2026年6月 Claude Code ステガノグラフィストーリーは、防御可能な目標を防御不可能な隠蔽で実装したケーススタディです。反蒸留と反転売は業界共通の懸念です。Unicode 句読点に分類信号を埋め込み、ルールリストを難読化し、コード削除時に changelog 開示を省略するのは、ベンチマーク勝利より速く開発者信頼を失う方法です。

明白な代替の限界も同様に明確です。(a)事件 A を無視すると、フルユーザー権限の macOS ワークステーションに Native Messaging 事前承認が残ります;(b)Claude Code を全面禁止すると、既に hook と MCP ワークフローを標準化したチームが破綻します;(c)個人ブラウザと本番シークレットが混在するノート PC で同一 Agent スタックを動かすと、次の未開示クライアント行為が表面化したときに影響が増幅します

バイナリを棚卸し、バージョンを固定し、許可 base URL を決めた後、次のボトルネックは通常ホスト分離です——U+02B9 がスパイウェアかどうかのスレッドではありません。数分で SSH、予測可能な月額、日常ブラウザプロファイルから離れた最小権限で Claude Code Agent を動かす macOS 環境が必要なら、MACCOME 専用 Mac Mini M4 クラウドホストが通常より適しています——実 Apple Silicon、launchd フレンドリー uptime、長時間 Agent プロセスと互換の分離。リージョンとメモリはMac Mini レンタル価格ページ、運用質問はクラウド Mac ヘルプセンターへ。

行為が再現可能・文書化・切り替え可能になるまで、デフォルトは distrust です。ステガノグラフィより開示を要求してください。そして各デスクトップ Agent を高権限ソフトウェアとして扱ってください——Agent を制御可能な境界に移すまで、ベンダーはあなたのマシンでこの教訓を学び続けるでしょう。

出典と関連読み物

The Register(Alexander Hanff、Claude Desktop Native Messaging、2026年4月);Malwarebytes、gHacks、YOOTA(事件 A フォローアップ);thereallo.dev(2026年6月30日 Claude Code オリジナルリバースエンジニアリング);Tech Startups、TMC Insight、Developers Digest、TechTimes(2.1.197 削除報道);Antiy Labs リスク分析(Claude Desktop ブラウザチャネル)。

FAQ

Claude Code はスパイウェアですか?

従来のデータ窃取型ではありませんが、リバースエンジニアリング報告によると、ANTHROPIC_BASE_URLapi.anthropic.com 以外の場合、Claude Code はシステムプロンプトに未開示の難読化フィンガープリントを埋め込み、中国関連プロキシ利用者をフラグ付けしていました。Anthropic は 2.1.197 でコードを削除しました。未開示の隠密チャネルと表現するのが適切です。

Claude Code はタイムゾーンを追跡しますか?

thereallo.dev 報告によると、Claude Code は Asia/ShanghaiAsia/Urumqi を確認し、日付区切りをハイフンからスラッシュに切り替えますが、非デフォルト ANTHROPIC_BASE_URL 使用時のみです。公式 api.anthropic.com エンドポイントは変更されていません。

アポストロフィ Unicode トリックとは?

Today's のアポストロフィが U+0027(デフォルト)、U+2019(中国関連ドメイン一致)、U+02BC(AI ラボキーワード一致)、U+02B9(ドメインとラボ両方一致)の間で allegedly 切り替わり、システムプロンプト日付行に分類信号をエンコードしていました。

Anthropic はなぜこれを追加したのですか?

コミュニティ分析と Hacker News 議論では、目的は反蒸留不正 API 転売の検出である可能性が高いとされています——正当な目的を alleged 隠蔽・難読化で実装した形です。

Claude Desktop スパイウェア報道と同じですか?

いいえ。事件 A(2026年4月)は macOS 上の Claude Desktop が com.anthropic.claude_browser_extension.json Native Messaging マニフェストを静かに書き込む件で、Alexander Hanff が The Register で開示しました。事件 B(2026年6月30日)はカスタム base URL 使用時の Claude Code プロンプトステガノグラフィです。

通常の Claude Web 利用者は影響を受けますか?

事件 B は Claude CodeANTHROPIC_BASE_URLapi.anthropic.com 以外を指す場合のみ発動しました。公式 Web アプリまたはデフォルトエンドポイント CLI 利用者は、リバースエンジニアリング報告の Unicode アポストロフィエンコードの対象ではありません。

Claude Desktop Native Messaging マニフェストを削除するには?

macOS では ~/Library/Application Support/<browser>/NativeMessagingHosts/ 内の Chrome、Edge、Brave、Arc、Vivaldi、Opera、Chromium プロファイルで com.anthropic.claude_browser_extension.json を確認します。必要に応じて削除できますが、報告によると Claude Desktop 再起動時に再作成される可能性があります。

フィンガープリントコードを含む Claude Code バージョンは?

thereallo.dev リバースエンジニアリングによると、2.1.1932.1.1952.1.196 にロジックが含まれていました。Anthropic は 2026年7月1日リリースの 2.1.197 で削除しました。公開 changelog に削除の記載はありません。