Claude Code est-il un logiciel espion ? L'empreinte Unicode dissimulée d'Anthropic

Injection navigateur silencieuse · Stéganographie de prompt · Anti-distillation · Runbook de protection en six étapes

Prompt système Claude Code montrant la stéganographie apostrophe U+2019

Si vous utilisez Claude Code ou Claude Desktop, deux incidents de 2026 méritent votre attention. Selon des rapports de reverse engineering, Claude Code réécrit silencieusement la ligne Today's date is... lorsque ANTHROPIC_BASE_URL pointe hors de l'endpoint officiel — encodant les signaux de fuseau horaire chinois et de proxy via des apostrophes Unicode visuellement identiques. Parallèlement, Claude Desktop aurait injecté des manifestes Native Messaging dans plusieurs navigateurs. Cet article distingue les deux cas, cartographie la table Unicode, couvre le motif anti-distillation et le débat Hacker News, et fournit un runbook en six étapes ainsi que huit FAQ.

01

Claude Code est-il un logiciel espion ? Deux incidents distincts

Réponse courte : pas un spyware classique, mais Anthropic aurait opéré une classification utilisateur délibérément dissimulée et non divulguée dans un outil développeur. L'intention (anti-distillation) et la méthode (stéganographie) doivent être jugées séparément. Ne confondez pas ces deux récits proches mais distincts — les lecteurs HN et sécurité repèrent les erreurs factuelles immédiatement.

  1. A

    Incident A · Injection navigateur silencieuse de Claude Desktop (avril 2026) : Le consultant vie privée Alexander Hanff (The Register) a allégué que l'installation de Claude Desktop sur macOS écrit silencieusement com.anthropic.claude_browser_extension.json dans Chrome, Edge, Brave, Arc, Vivaldi, Opera et Chromium — trois ID d'extension pré-autorisés à appeler chrome-native-host hors du bac à sable navigateur avec privilèges utilisateur complets. Des répertoires sont créés même pour des navigateurs non installés ; supprimer le fichier peut le restaurer au redémarrage. Noah Kenney (Digital 520) a confirmé la reproductibilité ; Antiy Labs a publié une analyse de risque dédiée. Anthropic n'a pas répondu formellement en public ; des builds ultérieurs ont ajouté un toggle d'autorisation, mais le modèle de permissions reste controversé.

  2. B

    Incident B · Stéganographie de prompt dans Claude Code (30 juin 2026) : Un développeur a reverse-engineeré les binaires Claude Code, publié sur thereallo.dev, amplifié via Reddit et Hacker News. Lorsque ANTHROPIC_BASE_URL ≠ api.anthropic.com, la ligne de date du prompt système est altérée — pas par défaut à chaque conversation. Le fil HN a atteint la page d'accueil en quelques heures : 350+ points, 100+ commentaires.

  3. 03

    Étiquettes différentes : L'incident A a reçu les tags « spyware » / « backdoor » ; l'incident B « stéganographie de prompt » / « canal discret ».

  4. 04

    Réponse d'Anthropic : Aucune réponse publique formelle sur A ; sur B, plusieurs médias rapportent qu'Anthropic a reconnu le code et l'a retiré dans Claude Code 2.1.197 (1er juillet 2026) — sans mention dans le changelog.

  5. 05

    Audit de version : Les reverse engineers ont vérifié 2.1.193, 2.1.195 et 2.1.196. Les listes domaine/mot-clé utilisent Base64 + obfuscation XOR(91) — environ 147 règles.

Note de formulation : Cet article emploie « selon les rapports », « allégué » et « résultats de reverse engineering » partout. Ne présentez pas l'intention du fournisseur comme un fait établi.

02

Comment fonctionne l'empreinte Claude Code ?

Précondition : déclenchement uniquement lorsque ANTHROPIC_BASE_URL pointe vers un proxy, une passerelle, un revendeur ou une couche compatible OpenAI. L'endpoint officiel api.anthropic.com laisse le prompt intact.

Comparaison incident A vs B

DimensionIncident A : Injection navigateurIncident B : Stéganographie de prompt
ProduitClaude Desktop (macOS)Claude Code (CLI)
SourceAlexander Hanff / The Registerthereallo.dev → Reddit → HN
ChronologieAvril 2026 (à partir du ~18/04)30 juin 2026
DéclencheurInstallation/démarrage Claude DesktopBase URL non officielle uniquement
ComportementManifeste Native Messaging + chrome-native-hostSéparateur de date + échange apostrophe Unicode

Correspondance apostrophe Unicode (incident B)

Condition détectéeDateApostropheUnicode
Par défaut (aucune correspondance)2026-06-30' apostrophe ASCIIU+0027
Domaine org/revendeur lié à la Chine2026-06-30' guillemet apostropheU+2019
Mot-clé labo IA2026-06-30ʼ modifier letter apostropheU+02BC
Domaine et labo2026-06-30ʹ modifier letter primeU+02B9
+ fuseau horaire Chine2026/06/30(comme ci-dessus)Asia/Shanghai · Asia/Urumqi

Les mots-clés incluent deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai — stockés avec Base64 + XOR(91). Pour un humain, le prompt semble ordinaire ; pour le backend Anthropic, un seul point de code apostrophe révèle : utilisateur VPN, fuseau horaire Chine, possiblement un labo IA chinois. Un canal discret classique.

Plus le modèle est capable, plus le fournisseur doit se contraindre — et cela ne devrait pas être un secret découvert uniquement par reverse engineering d'un binaire.

03

Vérifier et se protéger : runbook en six étapes

  1. 01

    Auditer ANTHROPIC_BASE_URL : Rechercher dans les configs shell et secrets CI des endpoints non officiels. L'incident B ne se déclenche que sur les routes proxy.

  2. 02

    Mettre à jour Claude Code : Utiliser la version 2.1.197+ (release du 1er juillet 2026 selon les rapports).

  3. 03

    Vérifier le fuseau horaire système : Confirmer si Asia/Shanghai ou Asia/Urumqi est intentionnel ; le séparateur de date / vs - encode le signal de fuseau horaire.

  4. 04

    Scanner les manifestes Native Messaging (incident A) : Vérifier ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json sur macOS.

  5. 05

    Supprimer et observer la recréation : Retirer le JSON, redémarrer Claude Desktop, documenter s'il réapparaît — essentiel pour les pistes d'audit entreprise.

  6. 06

    Moindre privilège entreprise : Traiter les agents desktop comme des programmes à haut privilège ; isoler les clés API de production des navigateurs personnels ; privilégier des nœuds Mac dédiés pour les chaînes CI sensibles.

bash
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
  f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
  [ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
04

Pourquoi Anthropic a-t-il fait cela ? Est-ce vraiment du spyware ?

Le consensus communautaire est mesuré : presque certainement anti-distillation et anti-revente non autorisée. Anthropic, OpenAI et Google ont tous exprimé publiquement des inquiétudes face aux concurrents qui récoltent les sorties API. Les revendeurs, proxys et labos liés à la Chine sont des suspects principaux. HN s'est divisé : défense anti-distillation raisonnable vs comportement proche du malware pour un outil dev.

L'intention est défendable ; la méthode ne l'est pas. Ponctuation invisible, code binaire obfusqué, zéro divulgation — dans un outil qui repose sur la confiance des développeurs.

  • Incident A : Altération non autorisée de logiciels tiers plus une surface d'attaque dormante pré-positionnée. Les chiffres Claude for Chrome d'Anthropic : 23,6 % de succès d'injection de prompt non atténuée, 11,2 % atténuée.
  • Incident B : Télémétrie non divulguée / classification utilisateur dissimulée.

Problème central : Aucun consentement éclairé, délibérément dissimulé — indépendamment de l'étiquette « spyware ».

05

Ce que cela signifie : faire confiance aux fournisseurs IA en 2026

  • Signal HN : Les découvertes thereallo.dev ont atteint 350+ points et 100+ commentaires en quelques heures.
  • Échelle du jeu de règles : ~147 motifs domaine/mot-clé obfusqués Base64 + XOR(91) ciblant les endpoints de labos IA chinois.
  • Risque combiné : Canal Native Messaging à haut privilège (A) plus empreinte de prompt non divulguée (B) élargit la surface de confiance des agents IA desktop.

Réponse pratique : méfiance par défaut et exiger des preuves ; combattre la distillation ouvertement avec toggles et documentation ; appliquer le moindre privilège ; voter avec vos pieds et la régulation (RGPD).

Exécuter Claude Desktop, navigateurs personnels et clés API de production sur un même portable brouille les frontières — et les manifestes supprimés peuvent réapparaître. Pour une CI/CD iOS et automatisation d'agents IA de niveau production, la location cloud Mac Mini VpsMesh offre des nœuds macOS isolés, contrôle root et disponibilité 24h/24 — un choix plus stable que de mélanger agents desktop personnels et secrets de production.

Sources

The Register ; Malwarebytes ; gHacks ; YOOTA ; thereallo.dev ; Tech Startups ; TMC Insight ; Developers Digest ; TechTimes (correctif 2.1.197) ; analyse de risque Antiy Labs.

FAQ

Questions fréquentes

Pas un spyware classique, mais l'empreinte de prompt non divulguée pour utilisateurs de proxys chinois a été retirée en 2.1.197. Mieux qualifié de canal discret non divulgué.

Uniquement avec ANTHROPIC_BASE_URL non standard — il vérifiait Asia/Shanghai et Asia/Urumqi et échangeait les séparateurs de date. Utilisateurs de l'endpoint officiel non concernés.

Non. L'injection Native Messaging Desktop d'avril 2026 (Hanff) est un produit et déclencheur distincts de la stéganographie Code de juin (thereallo.dev).

U+0027, U+2019, U+02BC, U+02B9 encodent défaut, correspondance domaine Chine, mot-clé labo IA, ou les deux — visuellement identiques pour les humains.

Probablement anti-distillation et anti-revente. Objectif légitime, dissimulation illégitime.

L'incident B concerne uniquement Claude Code avec Base URL personnalisée — pas les utilisateurs web Claude standard.

Supprimez com.anthropic.claude_browser_extension.json sous NativeMessagingHosts ; Desktop peut le recréer. Pour un hébergement d'agents isolé, voir tarifs location Mac Mini M4.

Pas obligatoire, mais Claude Code 24h/24, OpenClaw ou agents MCP bénéficient d'une location Mac Mini M4 avec launchd et isolation Keychain. Consultez notre centre d'aide.