Empreinte dissimulée · v2.1.91–2.1.196 · alerte NVDB · interdiction Alibaba · runbook de vérification des versions
Le 8 juillet 2026, le NVDB du MIIT chinois a classé Claude Code v2.1.91–v2.1.196 comme présentant un risque grave de backdoor de sécurité : un mécanisme de surveillance intégré pourrait transmettre, sans consentement de l'utilisateur, des identifiants liés à la localisation et à l'identité. Si vous utilisez Claude Code ou évaluez la conformité de vos outils de codage IA, exécutez dès maintenant claude --version. Cet article couvre la chronologie complète, les conditions de déclenchement, le fonctionnement de la stéganographie, les positions du NVDB, d'Anthropic et d'Alibaba, le contexte de la guerre de la distillation, un runbook en six étapes et dix FAQ.
En bref : versions affectées v2.1.91 (2 avril)–v2.1.196 (29 juin), corrigées en v2.1.197+. Le mécanisme ne se déclenche que si ANTHROPIC_BASE_URL pointe vers un proxy non officiel ; les utilisateurs de l'API officielle ne sont pas concernés. Anthropic parle d'expérience anti-distillation, le NVDB d'une backdoor. Mettez à jour immédiatement ; les entreprises doivent auditer le trafic sortant.
Le mécanisme dissimulé ne s'active pas pour tous les utilisateurs. Il ne se déclenche que lorsque la variable d'environnement ANTHROPIC_BASE_URL pointe vers un endpoint non officiel (passerelle d'entreprise, proxy tiers, revendeur d'API).
| Profil utilisateur | ANTHROPIC_BASE_URL | Déclenché | Action |
|---|---|---|---|
| API officielle | Non défini ou api.anthropic.com | Non | Mettre à jour vers 2.1.197+ |
| Passerelle d'entreprise | Endpoint proxy personnalisé | Oui (version affectée) | Mise à jour + audit sortant |
| Revendeur d'API | Domaine tiers | Oui (liste noire 147 entrées) | Mise à jour + revue conformité |
| Type de version | Numéro | Date | Statut |
|---|---|---|---|
| Première version affectée | v2.1.91 | 2026-04-02 | Vulnérable |
| Dernière version affectée | v2.1.196 | 2026-06-29 | Vulnérable |
| Version corrigée | v2.1.197 / 2.1.198 | 2026-07-01/02 | Sûre |
Risque des endpoints proxy : les équipes routant Claude via une passerelle interne voyaient le nom d'hôte comparé à une liste noire de 147 entrées obfusquées par XOR. Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax et des revendeurs connus y figuraient.
Environ trois mois sans divulgation : d'avril à juin, une vingtaine de versions ont été publiées sans aucune mention dans les changelogs. C'est le cœur de la rupture de confiance.
Outil à privilèges élevés : Claude Code dispose d'accès lecture/écriture au système de fichiers et d'exécution shell. Un comportement dissimulé dans un tel outil dépasse la simple télémétrie.
Claude Code est l'agent de codage IA en terminal d'Anthropic. Le fil de l'affaire : Anthropic insère discrètement du code de détection, un développeur le découvre par rétro-ingénierie, Anthropic s'excuse et annule le déploiement, Alibaba interdit l'outil, le NVDB chinois le classe comme risque grave de backdoor.
Février 2026 : Anthropic annonce publiquement investir dans des techniques anti-distillation (classificateurs, empreintes comportementales).
Mars 2026 : un mécanisme de détection dissimulé est déployé dans Claude Code sans divulgation publique.
2 avril : v2.1.91 est publiée avec le code de détection.
29 juin : v2.1.196 est la dernière version de la plage affectée.
30 juin : l'utilisateur Reddit LegitMichel777 expose la stéganographie ; Thereallo publie une analyse technique ; Adnane Khan valide v2.1.193/195/196 sur GitHub.
1er juillet : Thariq Shihipar, ingénieur Claude Code, reconnaît sur X qu'il s'agissait d'une « expérience » lancée en mars pour prévenir les abus de revendeurs et la distillation, et promet un rollback le lendemain.
2 juillet : v2.1.197 retire le code, sans mention explicite dans le changelog.
3–4 juillet : Reuters et TechCrunch rapportent qu'Alibaba interdira Claude Code à partir du 10 juillet et orientera ses équipes vers l'outil interne Qoder.
8 juillet : le NVDB chinois publie une alerte officielle. Le mécanisme de surveillance intégré transmettrait, sans consentement, des identifiants de localisation et d'identité — classé comme risque grave de backdoor de sécurité.
10 juillet : l'interdiction interne d'Alibaba entre en vigueur.
Recommandations NVDB : inspection complète des terminaux de développement, suppression des versions affectées ou mise à niveau vers la dernière version sûre, renforcement du contrôle des permissions sortantes et de la surveillance du trafic sur les réseaux métier critiques.
La communauté technique parle de stéganographie car il n'existait pas de canal de rapport séparé : l'outil manipulait le prompt système lui-même. Le chercheur Adnane Khan l'a qualifié de « canal d'information dissimulé intégré au prompt système ».
Déclencheur : ANTHROPIC_BASE_URL est configuré vers un endpoint non officiel.
Reconnaissance d'environnement : vérification du fuseau horaire (Asia/Shanghai ou Asia/Urumqi) et comparaison du nom d'hôte proxy à une liste noire de 147 entrées obfusquées XOR(key=91) + Base64.
Encodage dissimulé : en cas de fuseau chinois, le séparateur de date passe de 2026-06-30 à 2026/06/30. L'apostrophe de Today's date is est remplacée par des variantes Unicode (U+0027, U+2019, U+02BC) visuellement indiscernables, encodant trois drapeaux booléens. Environ 3 bits de données d'environnement sont cachés dans une phrase anglaise banale, transmis à chaque requête.
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest claude update
Le débat ne porte pas sur la collecte de données en soi, mais sur le fait qu'elle était non divulguée, stéganographique et ciblait des régions et des concurrents commerciaux précis.
Classification en risque grave de backdoor de sécurité. Le mécanisme de surveillance intégré transmettrait, sans consentement de l'utilisateur, des identifiants de région et d'identité vers des serveurs distants. Recommandations : inspection des terminaux de développement, suppression ou mise à niveau, renforcement du contrôle sortant.
L'ingénieur Claude Code a déclaré sur X : « This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release. » Cadrage en « expérience », pas en backdoor — objectif affiché : prévenir les abus de revendeurs non autorisés et la distillation de modèles.
Selon SCMP et Ars Technica, note interne : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » À partir du 10 juillet 2026, interdiction de Claude Code et des produits modèles Anthropic (Sonnet, Opus, Fable) ; bascule vers la plateforme interne Qoder.
| Source | Cadrage | Angle |
|---|---|---|
| NVDB / régulateurs chinois | Risque de backdoor / menace grave | Conformité, fuite de données |
| CNBC / Reuters | Mécanisme de surveillance intégré | Couverture réglementaire neutre + impact entreprise |
| The Register | Code dissimulé / stéganographie secrète | Responsabilité technique |
| Ars Technica | Traçage de type spyware | Crise de confiance |
| Cybernews | « a nothing burger » (certains développeurs) | Réaction excessive, ingénierie anti-distillation standard |
| Anthropic | Expérience non divulguée | Anti-abus légitime |
Nuance importante : les rapports publics n'ont pas confirmé de fuite de données ni de préjudice financier direct. Le risque documenté concerne la surveillance non divulguée, l'exposition réglementaire et le risque de suspension de compte pour les utilisateurs de proxies signalés.
Selon SCMP et Ars Technica, Alibaba a ajouté Claude Code à sa liste de logiciels à haut risque après la découverte des risques de backdoor. À partir du 10 juillet 2026, interdiction de Claude Code et de l'ensemble des produits modèles Anthropic ; orientation des employés vers Qoder.
Anthropic a témoigné devant le comité bancaire du Sénat américain que l'équipe Qwen d'Alibaba aurait généré environ 28,8 millions d'interactions via quelque 25 000 comptes frauduleux pour distiller les capacités de Claude. En février 2026, une publication de l'université de Pékin et de l'Académie des sciences de Chine signalait des traces de distillation de modèles étrangers dans les principaux modèles chinois. Claude Opus 4.8 s'est parfois identifié comme Qwen/DeepSeek lors de tests — contexte dans lequel la détection d'empreinte des utilisateurs chinois devient particulièrement sensible. C'est le cadre plus large dans lequel Anthropic a construit cette détection dissimulée.
Vérifier la version : claude --version — si 2.1.91–2.1.196, agir immédiatement.
Vérifier le proxy : echo $ANTHROPIC_BASE_URL — un endpoint non officiel est la condition de déclenchement.
Mettre à jour : npm install -g @anthropic-ai/claude-code@latest ou claude update pour obtenir la version 2.1.197 ou supérieure.
Désinstallation complète (optionnel) : sur macOS/Linux, nettoyer ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code.
Audit sortant en entreprise : scanner les endpoints de services IA non autorisés sur les postes de développement et mettre en place un contrôle du trafic sortant conformément aux recommandations NVDB.
Évaluer les alternatives : Qoder, Cursor, Codex CLI ou agents auto-hébergés selon vos exigences de conformité.
strings, nécessite une rétro-ingénierie complète du binaire.Mélanger Claude Code, navigateur et clés API de production sur un ordinateur portable personnel brouille les frontières de privilèges et complique l'audit sortant. Pour une CI/CD iOS et l'automatisation d'agents IA en production, la location cloud Mac Mini VpsMesh offre un nœud macOS dédié isolé, un contrôle root et une disponibilité 24h/24 — plus fiable que de mélanger bureau personnel et secrets de production. Consultez les tarifs de location Mac Mini M4 et le centre d'aide pour le déploiement.
Conclusion : Anthropic a retiré le code en v2.1.197+. La restauration de la confiance dépend de chaque organisation. Une partie de la communauté technique y voit une ingénierie anti-distillation standard ; régulateurs et entreprises y voient un risque grave de backdoor non divulguée. La mise à jour est impérative ; la poursuite d'utilisation relève de votre politique de conformité.
Avertissement : cet article s'appuie sur les communiqués publics du NVDB, les déclarations d'Anthropic et des recherches de sécurité indépendantes, à titre informatif uniquement. Il ne constitue ni un avis juridique ni une conclusion d'audit de sécurité.
Dans les versions v2.1.91–2.1.196, Anthropic a déployé une empreinte stéganographique non divulguée. Le NVDB chinois l'a classée comme risque de backdoor ; Anthropic parle d'expérience anti-distillation et a retiré le code en v2.1.197.
De v2.1.91 (2 avril 2026) à v2.1.196 (29 juin 2026). Mettez à jour vers v2.1.197 ou supérieur.
Non. L'empreinte dissimulée ne s'active que lorsque ANTHROPIC_BASE_URL pointe vers un proxy ou une passerelle non officielle.
Exécutez claude --version dans le terminal, ou npm list -g @anthropic-ai/claude-code pour une installation npm globale.
Si vous êtes sur une version affectée, mettez à jour immédiatement. Les entreprises soumises à des exigences de conformité peuvent en outre désinstaller et auditer le trafic sortant. Pour un environnement de développement isolé, consultez les tarifs de location Mac Mini M4.
Modification du séparateur de date dans le prompt système et substitution d'apostrophes Unicode visuellement indiscernables pour encoder des signaux de fuseau horaire et de domaine proxy.
Après les signalements de backdoor, Alibaba l'a ajouté à sa liste de logiciels à haut risque et oriente ses employés vers l'outil interne Qoder à partir du 10 juillet 2026.
Non. Aucune version affectée ne documentait ce mécanisme dans son changelog — c'est au cœur de la crise de confiance.
Anthropic a retiré le code en v2.1.197+. La confiance continue dépend de la tolérance au risque et des politiques de conformité de chaque organisation.
La distillation consiste à entraîner un modèle à partir des sorties d'un autre. Anthropic dit viser les revendeurs non autorisés et les pipelines de distillation — contexte du conflit plus large avec les laboratoires IA chinois. Pour le déploiement, consultez notre centre d'aide.