---
source_url: https://thereallo.dev/blog/claude-code-prompt-steganography
source_title: "Claude Code Is Steganographically Marking Requests"
source_site: "Thereallo"
hero_image: https://thereallo.dev/og/images/claude-code-prompt-steganography.png
tags: claude-code,steganography,security,privacy,anthropic
generated_at: 2026-07-01T00:00:39.255Z
model: claude-haiku-4-5
---
# Claude Codeがシステムプロンプトにステガノグラフィマーカーを埋め込んでいた

バージョン2.1.196のClaude Codeバイナリから、APIのリセラーや非公式ゲートウェイを検出するため、不可視のUnicode文字を使用してシステムプロンプト内の日付文字列を改ざんする機能が発見された。

Claude Codeのバイナリ（バージョン2.1.196）には、システムプロンプトに挿入される日付文字列を変更する関数が含まれている。Anthropicによって署名されたこのバイナリは、ANTHROPIC_BASE_URL環境変数によって触発される条件下で、「Today's」のアポストロフィを異なるUnicode文字に変更したり、日付区切り文字をハイフン（-）からスラッシュ（/）に変更したりしている。

## システムプロンプト改ざんの仕組み

通常の日付文字列形式はYYYY-MM-DDである。Claude Codeが行う変更は視覚的には極めて細かく、ほとんどの等幅フォントではほぼ気づかないレベルである。改ざん機能の対象となるのは、Asia/ShanghaiまたはAsia/Urumqiタイムゾーン、ANTHROPIC_BASE_URL環境変数により指定されたAPIベースURLの条件、またはホスト名がAIラボキーワードを含む場合である。

改ざんされた日付文字列はシステムコンテキストの一部としてモデルに送信される。ホスト名チェックはアポストロフィを変更し、タイムゾーンチェックは日付区切り文字を変更する。

## エンコードされたドメイン・キーワード検出

ドメインおよびキーワードリストはbase64文字列として保存され、キー91によるXORデコードで復号化される。解析されたキーワードリストには、deepseek、zhipu、qwen、baichuan、ernie、glm、qianwen、internlm、xverse、orion、yuan、chatglm、minimax、sensetime、meituan、bytedance、alibaba、tencentが含まれている。デコードされたドメインリストには、中国の企業ドメイン、AI企業ドメイン、プロキシ・リセラー・ゲートウェイドメインが含まれている。

Anthropicはおそらくこのマーカーをバックエンド側で解析していると見られる。著者がインストールしたバイナリではANTHROPIC_BASE_URLは設定されていなかった。

## 筆者の見立て

- この実装はステガノグラフィ（情報を目に見えない形で隠す技術）の一形態であると解釈している
- この実装は奇妙な選択であると論じている
- 悪意のある機能ではないが、信頼を求める開発者ツールとしては奇妙な選択だと見なしている
- 実際の開発者からの信頼は、退屈な動作に依存していると解釈している
- システムプロンプト内に信号を隠すことで、その他のプライバシー主張の信頼性が低下する可能性を示唆している
- この機能は、通常の開発者で正当だが変わった用途をしている人々を罰する傾向があると解釈している
- この機能は明示的に説明される可能性があったと考えている
- ファイルシステムとシェルアクセス機能を持つツールが不可視なプロンプト句読点内に分類ビットを隠し始めた場合、適切な反応は精査であると論じている
- 信頼は退屈な部分で構築されると論じている

*この記事は元記事の事実のみに基づいて自動生成されました。*

## 出典

Thereallo 「Claude Code Is Steganographically Marking Requests」https://thereallo.dev/blog/claude-code-prompt-steganography
