Injection navigateur silencieuse · Stéganographie de prompt · Anti-distillation · Runbook de protection en six étapes
Si vous utilisez Claude Code ou Claude Desktop, deux incidents de 2026 méritent votre attention. Selon des rapports de reverse engineering, Claude Code réécrit silencieusement la ligne Today's date is... lorsque ANTHROPIC_BASE_URL pointe hors de l'endpoint officiel — encodant les signaux de fuseau horaire chinois et de proxy via des apostrophes Unicode visuellement identiques. Parallèlement, Claude Desktop aurait injecté des manifestes Native Messaging dans plusieurs navigateurs. Cet article distingue les deux cas, cartographie la table Unicode, couvre le motif anti-distillation et le débat Hacker News, et fournit un runbook en six étapes ainsi que huit FAQ.
Réponse courte : pas un spyware classique, mais Anthropic aurait opéré une classification utilisateur délibérément dissimulée et non divulguée dans un outil développeur. L'intention (anti-distillation) et la méthode (stéganographie) doivent être jugées séparément. Ne confondez pas ces deux récits proches mais distincts — les lecteurs HN et sécurité repèrent les erreurs factuelles immédiatement.
Incident A · Injection navigateur silencieuse de Claude Desktop (avril 2026) : Le consultant vie privée Alexander Hanff (The Register) a allégué que l'installation de Claude Desktop sur macOS écrit silencieusement com.anthropic.claude_browser_extension.json dans Chrome, Edge, Brave, Arc, Vivaldi, Opera et Chromium — trois ID d'extension pré-autorisés à appeler chrome-native-host hors du bac à sable navigateur avec privilèges utilisateur complets. Des répertoires sont créés même pour des navigateurs non installés ; supprimer le fichier peut le restaurer au redémarrage. Noah Kenney (Digital 520) a confirmé la reproductibilité ; Antiy Labs a publié une analyse de risque dédiée. Anthropic n'a pas répondu formellement en public ; des builds ultérieurs ont ajouté un toggle d'autorisation, mais le modèle de permissions reste controversé.
Incident B · Stéganographie de prompt dans Claude Code (30 juin 2026) : Un développeur a reverse-engineeré les binaires Claude Code, publié sur thereallo.dev, amplifié via Reddit et Hacker News. Lorsque ANTHROPIC_BASE_URL ≠ api.anthropic.com, la ligne de date du prompt système est altérée — pas par défaut à chaque conversation. Le fil HN a atteint la page d'accueil en quelques heures : 350+ points, 100+ commentaires.
Étiquettes différentes : L'incident A a reçu les tags « spyware » / « backdoor » ; l'incident B « stéganographie de prompt » / « canal discret ».
Réponse d'Anthropic : Aucune réponse publique formelle sur A ; sur B, plusieurs médias rapportent qu'Anthropic a reconnu le code et l'a retiré dans Claude Code 2.1.197 (1er juillet 2026) — sans mention dans le changelog.
Audit de version : Les reverse engineers ont vérifié 2.1.193, 2.1.195 et 2.1.196. Les listes domaine/mot-clé utilisent Base64 + obfuscation XOR(91) — environ 147 règles.
Note de formulation : Cet article emploie « selon les rapports », « allégué » et « résultats de reverse engineering » partout. Ne présentez pas l'intention du fournisseur comme un fait établi.
Précondition : déclenchement uniquement lorsque ANTHROPIC_BASE_URL pointe vers un proxy, une passerelle, un revendeur ou une couche compatible OpenAI. L'endpoint officiel api.anthropic.com laisse le prompt intact.
| Dimension | Incident A : Injection navigateur | Incident B : Stéganographie de prompt |
|---|---|---|
| Produit | Claude Desktop (macOS) | Claude Code (CLI) |
| Source | Alexander Hanff / The Register | thereallo.dev → Reddit → HN |
| Chronologie | Avril 2026 (à partir du ~18/04) | 30 juin 2026 |
| Déclencheur | Installation/démarrage Claude Desktop | Base URL non officielle uniquement |
| Comportement | Manifeste Native Messaging + chrome-native-host | Séparateur de date + échange apostrophe Unicode |
| Condition détectée | Date | Apostrophe | Unicode |
|---|---|---|---|
| Par défaut (aucune correspondance) | 2026-06-30 | ' apostrophe ASCII | U+0027 |
| Domaine org/revendeur lié à la Chine | 2026-06-30 | ' guillemet apostrophe | U+2019 |
| Mot-clé labo IA | 2026-06-30 | ʼ modifier letter apostrophe | U+02BC |
| Domaine et labo | 2026-06-30 | ʹ modifier letter prime | U+02B9 |
| + fuseau horaire Chine | 2026/06/30 | (comme ci-dessus) | Asia/Shanghai · Asia/Urumqi |
Les mots-clés incluent deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai — stockés avec Base64 + XOR(91). Pour un humain, le prompt semble ordinaire ; pour le backend Anthropic, un seul point de code apostrophe révèle : utilisateur VPN, fuseau horaire Chine, possiblement un labo IA chinois. Un canal discret classique.
Plus le modèle est capable, plus le fournisseur doit se contraindre — et cela ne devrait pas être un secret découvert uniquement par reverse engineering d'un binaire.
Auditer ANTHROPIC_BASE_URL : Rechercher dans les configs shell et secrets CI des endpoints non officiels. L'incident B ne se déclenche que sur les routes proxy.
Mettre à jour Claude Code : Utiliser la version 2.1.197+ (release du 1er juillet 2026 selon les rapports).
Vérifier le fuseau horaire système : Confirmer si Asia/Shanghai ou Asia/Urumqi est intentionnel ; le séparateur de date / vs - encode le signal de fuseau horaire.
Scanner les manifestes Native Messaging (incident A) : Vérifier ~/Library/Application Support/<browser>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json sur macOS.
Supprimer et observer la recréation : Retirer le JSON, redémarrer Claude Desktop, documenter s'il réapparaît — essentiel pour les pistes d'audit entreprise.
Moindre privilège entreprise : Traiter les agents desktop comme des programmes à haut privilège ; isoler les clés API de production des navigateurs personnels ; privilégier des nœuds Mac dédiés pour les chaînes CI sensibles.
claude --version
for b in "Google/Chrome" "Microsoft Edge" "BraveSoftware/Brave-Browser"; do
f="$HOME/Library/Application Support/$b/NativeMessagingHosts/com.anthropic.claude_browser_extension.json"
[ -f "$f" ] && echo "FOUND: $f"
done
echo "${ANTHROPIC_BASE_URL:-not set}"
Le consensus communautaire est mesuré : presque certainement anti-distillation et anti-revente non autorisée. Anthropic, OpenAI et Google ont tous exprimé publiquement des inquiétudes face aux concurrents qui récoltent les sorties API. Les revendeurs, proxys et labos liés à la Chine sont des suspects principaux. HN s'est divisé : défense anti-distillation raisonnable vs comportement proche du malware pour un outil dev.
L'intention est défendable ; la méthode ne l'est pas. Ponctuation invisible, code binaire obfusqué, zéro divulgation — dans un outil qui repose sur la confiance des développeurs.
Problème central : Aucun consentement éclairé, délibérément dissimulé — indépendamment de l'étiquette « spyware ».
Réponse pratique : méfiance par défaut et exiger des preuves ; combattre la distillation ouvertement avec toggles et documentation ; appliquer le moindre privilège ; voter avec vos pieds et la régulation (RGPD).
Exécuter Claude Desktop, navigateurs personnels et clés API de production sur un même portable brouille les frontières — et les manifestes supprimés peuvent réapparaître. Pour une CI/CD iOS et automatisation d'agents IA de niveau production, la location cloud Mac Mini VpsMesh offre des nœuds macOS isolés, contrôle root et disponibilité 24h/24 — un choix plus stable que de mélanger agents desktop personnels et secrets de production.
The Register ; Malwarebytes ; gHacks ; YOOTA ; thereallo.dev ; Tech Startups ; TMC Insight ; Developers Digest ; TechTimes (correctif 2.1.197) ; analyse de risque Antiy Labs.
Pas un spyware classique, mais l'empreinte de prompt non divulguée pour utilisateurs de proxys chinois a été retirée en 2.1.197. Mieux qualifié de canal discret non divulgué.
Uniquement avec ANTHROPIC_BASE_URL non standard — il vérifiait Asia/Shanghai et Asia/Urumqi et échangeait les séparateurs de date. Utilisateurs de l'endpoint officiel non concernés.
Non. L'injection Native Messaging Desktop d'avril 2026 (Hanff) est un produit et déclencheur distincts de la stéganographie Code de juin (thereallo.dev).
U+0027, U+2019, U+02BC, U+02B9 encodent défaut, correspondance domaine Chine, mot-clé labo IA, ou les deux — visuellement identiques pour les humains.
Probablement anti-distillation et anti-revente. Objectif légitime, dissimulation illégitime.
L'incident B concerne uniquement Claude Code avec Base URL personnalisée — pas les utilisateurs web Claude standard.
Supprimez com.anthropic.claude_browser_extension.json sous NativeMessagingHosts ; Desktop peut le recréer. Pour un hébergement d'agents isolé, voir tarifs location Mac Mini M4.
Pas obligatoire, mais Claude Code 24h/24, OpenClaw ou agents MCP bénéficient d'une location Mac Mini M4 avec launchd et isolation Keychain. Consultez notre centre d'aide.