Synthèse : le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités (NVDB) a publié une alerte signalant que l'outil de programmation IA Claude Code d'Anthropic, dans les versions v2.1.91 à v2.1.196, présente un risque de porte dérobée grave : un mécanisme de surveillance intégré pouvait renvoyer, sans consentement explicite, la localisation géographique et des identifiants sensibles. Cet article s'adresse aux développeurs et aux équipes IT qui utilisent Claude Code. Il reconstitue la chronologie, décrypte la stéganographie, compare les positions du NVDB, d'Anthropic et d'Alibaba, situe le contexte de la guerre de distillation des modèles IA sino-américaine, et propose une checklist en six étapes : vérification de version, mise à niveau, désinstallation et conformité entreprise. Si vous avez configuré ANTHROPIC_BASE_URL vers un proxy, exécutez immédiatement claude --version.
Cette affaire n'est pas un simple communiqué réglementaire : elle suit une séquence précise — Anthropic intègre discrètement un mécanisme de détection → des développeurs le découvrent par reverse engineering → l'éditeur s'excuse et retire le code → Alibaba interdit l'outil → le NVDB le qualifie de porte dérobée. Comprendre cette chaîne est indispensable pour évaluer si Claude Code reste utilisable dans votre contexte.
| Date | Événement |
|---|---|
| Février 2026 | Anthropic annonce publiquement des investissements dans la lutte anti-distillation (classificateurs, empreintes comportementales, partage de renseignements) |
| Mars 2026 | Déploiement interne d'un mécanisme de détection discret, sans divulgation publique |
| 2026-04-02 | Publication de Claude Code v2.1.91, première version contenant le code de détection |
| Avril–juin 2026 | Près de vingt versions successives ; la logique persiste, absente des changelog |
| 2026-06-29 | Publication de v2.1.196, dernière version de la plage affectée |
| 2026-06-30 | Publication Reddit par LegitMichel777 ; analyse technique de Thereallo ; rapport de reverse engineering d'Adnane Khan sur GitHub confirmant v2.1.193/195/196 |
| 2026-07-01 | Thariq Shihipar (ingénieur Claude Code) reconnaît sur X une « expérience » anti-abus lancée en mars, promet un retrait le lendemain |
| 2026-07-02 | Publication de v2.1.197 (certaines sources citent v2.1.198), retrait du code de stéganographie, changelog silencieux |
| 2026-07-03/04 | Reuters et TechCrunch : Alibaba interdira Claude Code et les modèles Anthropic à partir du 10 juillet, bascule vers l'outil interne Qoder |
| 2026-07-08 | Alerte officielle du NVDB : risque de porte dérobée, menace grave |
| 2026-07-10 | Entrée en vigueur de l'interdiction interne chez Alibaba |
Cadrage du risque : Claude Code dispose d'un accès élevé au système de fichiers et à l'exécution de commandes shell. Les développeurs tolèrent mal les comportements invisibles — or ce mécanisme est resté actif près de trois mois sans divulgation. Conséquence documentée : risque de bannissement de compte et exposition réglementaire, et non une fuite de données avérée à grande échelle. L'analyse doit rester factuelle et centrée sur la surveillance non divulguée.
Point souvent mal compris : le mécanisme ne s'appliquait pas à tous les utilisateurs. Affirmer que « Claude Code surveille tout le monde » est inexact et nuit à la crédibilité technique de l'analyse.
| Profil utilisateur | Détection activée | Niveau de risque |
|---|---|---|
API officielleANTHROPIC_BASE_URL non défini, connexion directe à api.anthropic.com | Non | Faible (mise à jour vers v2.1.197+ recommandée) |
Passerelle entreprise / proxy tiersANTHROPIC_BASE_URL pointant vers un endpoint non officiel | Oui | Élevé (v2.1.91–2.1.196 : empreinte digitale active) |
| Fuseau horaire chinois + domaine proxy sur liste noire | Oui | Maximal (encodage stéganographique à chaque requête) |
| Salariés d'entreprises (Alibaba, etc.) | — | Logiciel à haut risque ; interdiction effective au 10/07 |
Une fois activé, le code effectue deux types de reconnaissance environnementale :
Détection du fuseau horaire : correspondance avec Asia/Shanghai ou Asia/Urumqi
Correspondance avec une liste noire de domaines proxy : le hostname de ANTHROPIC_BASE_URL est comparé à 147 règles intégrées, couvrant Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax et des passerelles API connues
Obfuscation de la liste noire : les entrées sont protégées par un chiffrement XOR (clé 91) suivi d'un encodage Base64, empêchant l'extraction directe via strings — preuve clé de la nature « stéganographique » du mécanisme, distincte d'une télémétrie classique.
Le chercheur Adnane Khan le définit comme « a covert information channel embedded in system prompts » (canal d'information dissimulé dans les prompts système). Aucun canal de télémétrie séparé : le code altère le prompt système lui-même.
Lorsque le fuseau horaire chinois est détecté, le format de date du prompt système passe de 2026-06-30 (tirets) à 2026/06/30 (barres obliques), encodant 1 bit d'information environnementale.
Dans Today's date is, l'apostrophe standard ' est remplacée par l'une de trois variantes Unicode visuellement quasi identiques, encodant respectivement les indicateurs « fuseau horaire / domaine proxy / mot-clé laboratoire IA ».
Environ 3 bits d'information environnementale sont dissimulés dans une phrase anglaise apparemment normale, transmise au serveur Anthropic à chaque appel API.
| Dimension | Stéganographie de cette affaire | Télémétrie classique (Datadog, OpenTelemetry, etc.) |
|---|---|---|
| Divulgation | Aucune mention dans le changelog pendant ~3 mois | Généralement couverte par une politique de confidentialité |
| Canal de transmission | Encodage dans le prompt système | Canal de télémétrie distinct, auditable |
| Cible | Géographie + empreinte de concurrents commerciaux | Statistiques d'usage et journaux d'erreurs génériques |
| Privilèges de l'outil | Accès fichiers + exécution shell | Agents CLI/IDE comparables, mais comportement attendu par l'utilisateur |
| Type | Version | Date |
|---|---|---|
| Première version avec mécanisme discret | v2.1.91 | 2026-04-02 |
| Dernière version affectée | v2.1.196 | 2026-06-29 |
| Version corrigée | v2.1.197 (certaines sources : v2.1.198) | 2026-07-01/02 |
# Vérifier la version installée claude --version # Contrôler si un proxy déclencheur est configuré echo $ANTHROPIC_BASE_URL # Mise à niveau via npm npm install -g @anthropic-ai/claude-code@latest # Ou via la commande intégrée claude update
Qualification : risque de porte dérobée, menace grave. Description : mécanisme de surveillance intégré transmettant sans consentement la localisation et des identifiants sensibles vers un serveur distant. Recommandations : audit complet des postes de développement, désinstallation ou mise à niveau, renforcement du contrôle du trafic sortant et de la surveillance réseau.
« This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release. »
Traduction des points clés : qualification d'« expérience (experiment) » et non de « porte dérobée (backdoor) », objectif anti-revente et anti-distillation. Contexte complémentaire : Anthropic a écrit au comité bancaire du Sénat américain, accusant l'équipe Qwen d'Alibaba d'avoir utilisé environ 25 000 comptes frauduleux et généré 28,8 millions d'interactions pour extraire les capacités de Claude.
Formulation interne (selon SCMP et Ars Technica) : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » Entrée en vigueur le 10 juillet 2026, couvrant Claude Code et les produits modèles Anthropic (Sonnet, Opus, Fable), avec bascule vers la plateforme interne Qoder.
| Source | Termes clés | Angle narratif |
|---|---|---|
| NVDB / Chine | backdoor / security backdoor risk / severe threat | Conformité et risque d'exfiltration de données |
| CNBC / Reuters | security backdoor / built-in monitoring mechanism | Reprise neutre de la qualification réglementaire et réactions entreprises |
| The Register | covert code / secret steganography system | Responsabilité technique et mises à jour non divulguées |
| Ars Technica | spyware-like tracking / secret Claude tracker | Crise de confiance et analyse politique |
| Cybernews | « a nothing burger » (opinion d'une partie de la communauté technique) | Réaction jugée excessive ; simple mesure anti-distillation |
| Anthropic (officiel) | experiment / anti-abuse / anti-distillation | Objectif défensif légitime, pas surveillance malveillante |
Cet événement s'inscrit dans la compétition IA de 2026 entre les États-Unis et la Chine :
Ce contexte éclaire la tension d'Anthropic face à la distillation, et explique le débat technique entre « défense légitime » et « surveillance dépassant les limites acceptables ».
Vérification de version : exécutez claude --version et confirmez si vous êtes dans l'intervalle v2.1.91–2.1.196
Contrôle de l'endpoint : exécutez echo $ANTHROPIC_BASE_URL pour vérifier si vous passez par un proxy ou une passerelle non officielle
Mise à niveau immédiate : lancez npm install -g @anthropic-ai/claude-code@latest ou claude update, cible v2.1.197+
Désinstallation complète (optionnel) : supprimez les répertoires résiduels ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code
Audit du trafic sortant (entreprise) : auditez les connexions sortantes des postes de développement vers des endpoints IA non autorisés ; renforcez le filtrage egress sur les segments réseau critiques
Évaluation des alternatives : comparez objectivement Qoder, Cursor, Codex CLI, Gemini CLI et autres outils internes selon votre politique de conformité
Basculer vers des outils alternatifs ou continuer à exécuter Claude Code sur un Mac local pose souvent des défis : écart de capacité des modèles, cycles d'approbation conformité longs, et goulots d'étranglement de calcul local en scénarios multi-agents. Pour les équipes de production nécessitant des pipelines iOS CI/CD stables, une orchestration d'agents IA et l'isolation des CLI à haut privilège dans un environnement contrôlé, la location cloud Mac Mini de NodeMini — matériel dédié, accès SSH et trafic sortant auditable — constitue une voie de déploiement plus fiable.
Avertissement : cet article repose sur l'alerte publique du NVDB, les déclarations d'Anthropic et les analyses de sécurité indépendantes. Il est fourni à titre informatif et ne constitue ni un avis juridique ni une conclusion d'audit de sécurité. Évaluez toute mesure de désinstallation, d'interdiction ou de filtrage réseau selon la politique de sécurité de votre organisation.
Dans v2.1.91–2.1.196, Anthropic a intégré un code de détection par stéganographie non divulgué. Le NVDB chinois l'a qualifié de risque de porte dérobée ; Anthropic parle d'une expérience anti-distillation, retirée en v2.1.197. La formulation technique la plus précise est « mécanisme de détection par stéganographie » ou canal dissimulé (covert channel).
Non. Le mécanisme ne s'activait que lorsque ANTHROPIC_BASE_URL pointait vers un proxy ou une passerelle non officielle. Les utilisateurs connectés directement à api.anthropic.com ne déclenchaient pas cette voie de détection.
Exécutez npm uninstall -g @anthropic-ai/claude-code, puis supprimez ~/.claude, ~/.claude.json et les répertoires cache associés. En entreprise, complétez par un audit du trafic sortant. Pour isoler l'environnement de développement agent, consultez les tarifs de location NodeMini.
Après la révélation du risque de porte dérobée, Alibaba a inscrit Claude Code sur sa liste de logiciels à haut risque. À partir du 10 juillet 2026, l'outil et les modèles Anthropic associés sont interdits en interne, au profit de Qoder. Ce contexte est lié aux accusations d'Anthropic contre l'équipe Qwen pour distillation à grande échelle.
Non. Aucun changelog de la plage affectée ne mentionne ce mécanisme. Le retrait en v2.1.197 n'a pas non plus été explicitement documenté — point central de la critique de The Register et d'Ars Technica.
Anthropic a retiré le code de stéganographie en v2.1.197+. La confiance continue dépend de la tolérance au risque et de la politique de conformité de votre organisation. Une partie de la communauté technique (Cybernews) juge la réaction disproportionnée ; les entreprises doivent s'appuyer sur leurs propres audits.
La distillation consiste à entraîner un modèle sur les sorties d'un autre modèle. Anthropic indique que le mécanisme visait les revendeurs non autorisés et les pipelines de distillation. Pour les bonnes pratiques de conformité des agents, consultez le centre d'aide NodeMini.
La plupart des sources primaires citent v2.1.197 (1er juillet 2026) ; certains médias techniques chinois mentionnent v2.1.198. Recommandation : viser « v2.1.197 ou supérieur » et confirmer avec claude --version avant déploiement.
En Chine : Qoder (Alibaba), outils internes et assistants locaux. À l'international : Cursor, Codex CLI, Gemini CLI, etc. Le choix dépend des capacités du modèle, de l'approbation conformité et des besoins en calcul. Comparez les offres sur la page tarifs de location.
Les rapports publics n'ont pas confirmé de perte financière directe ni d'abus avéré de données personnelles. Les conséquences documentées sont le risque de bannissement de compte et l'exposition réglementaire, et non un incident de fuite de données à grande échelle. L'analyse doit rester centrée sur la surveillance non divulguée et les risques de conformité.