Qualification officielle NVDB · mécanisme de stéganographie · interdiction Alibaba · vérification / mise à jour / désinstallation
En bref : Le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités (NVDB, MIIT) a publié une alerte : l'outil de programmation IA Claude Code d'Anthropic, versions v2.1.91 à v2.1.196, présente un risque de backdoor grave — un mécanisme de surveillance intégré pouvant renvoyer localisation et identifiants sans consentement. Exécutez immédiatement claude --version ; mettez à jour vers 2.1.197+ ou désinstallez. Cet article couvre la chronologie complète, qui est réellement touché (pas tous les utilisateurs), la stéganographie, les positions NVDB / Anthropic / Alibaba, le contexte de distillation USA-Chine, des checklists personnelles et entreprise, et 8 FAQ. Détails techniques : analyse approfondie de la stéganographie Claude Code.
Le 8 juillet 2026, le NVDB a publié une alerte officielle qualifiant le mécanisme de détection intégré de risque de backdoor grave. Mesures recommandées : inventorier tous les postes de développement, désinstaller ou mettre à jour vers une version sécurisée, renforcer le contrôle des flux sortants sur les segments réseau critiques.
| Élément | Contenu |
|---|---|
| Nature du risque | Mécanisme de surveillance intégré transmettant des données sensibles sans consentement |
| Données transmises | Localisation géographique, identifiants, etc. |
| Versions concernées | v2.1.91 à v2.1.196 |
| Période de publication | 2 avril au 29 juin 2026 |
| Version corrigée | v2.1.197 (parfois v2.1.198, 1er/2 juillet 2026) |
| Réaction entreprises | Alibaba et d'autres ont restreint ou interdit Claude Code ; remplacement : Qoder |
Février 2026 : Anthropic annonce des investissements en anti-distillation (classifieurs, empreintes comportementales, partage d'intel).
Mars 2026 : mécanisme de détection discret déployé en interne — sans annonce publique.
2 avril 2026 : sortie de v2.1.91, qui distribue le code.
29 juin 2026 : v2.1.196 — dernière version concernée.
30 juin 2026 : LegitMichel777 sur Reddit ; analyse technique de Thereallo ; rapport de reverse engineering d'Adnane Khan confirmant v2.1.193/195/196.
1er juillet 2026 : Thariq Shihipar sur X admet une « expérience » anti-abus/anti-distillation lancée en mars ; rollback annoncé pour le lendemain.
2 juillet 2026 : v2.1.197 retire le code — absent du changelog.
3-4 juillet 2026 : Reuters et TechCrunch : interdiction Alibaba à partir du 10 juillet.
8 juillet 2026 : alerte officielle NVDB — « risque de backdoor grave ».
10 juillet 2026 : interdiction interne Alibaba effective.
Chaîne narrative : Anthropic place un point de détection pour utilisateurs liés à la Chine → reverse engineering communautaire → excuses et rollback → interdiction Alibaba → qualification réglementaire en backdoor.
Précision essentielle : le mécanisme ne s'applique pas à tous les utilisateurs. Les titres du type « Claude Code espionne tout le monde » sont inexacts.
Il ne s'active que si la variable ANTHROPIC_BASE_URL redirige les requêtes API vers un endpoint non officiel — passerelle d'entreprise, proxy tiers, revendeur d'API. L'usage direct de api.anthropic.com ne déclenche pas ce chemin.
| Scénario | Détection active ? | Action recommandée |
|---|---|---|
api.anthropic.com officiel + version concernée | Non | Mettre à jour vers 2.1.197+ malgré tout — sérénité conformité |
ANTHROPIC_BASE_URL via proxy + version concernée | Oui | Mise à jour ou désinstallation immédiate ; audit egress historique |
| Tout endpoint + 2.1.197 ou plus | Non (retiré) | Surveiller changelog et politique entreprise |
| Postes dev entreprise (proxies mixtes) | Selon configuration | Audit ANTHROPIC_BASE_URL et distribution des versions |
claude --version echo $ANTHROPIC_BASE_URL npm install -g @anthropic-ai/claude-code@latest # ou claude update
La controverse porte sur la stéganographie, pas la télémétrie classique. Pas de canal de reporting séparé : c'est le prompt système envoyé au modèle qui est altéré. Adnane Khan le définit comme a covert information channel embedded in system prompts.
Après déclenchement, le code vérifie : (1) fuseau Asia/Shanghai ou Asia/Urumqi ; (2) correspondance du hostname de ANTHROPIC_BASE_URL avec une liste noire intégrée de 147 entrées — domaines tech chinois, mots-clés de labs IA (DeepSeek, Moonshot, Zhipu, MiniMax…), proxies API connus. Liste obfusquée par XOR (clé 91) + Base64.
| Signal | Manifestation | Signification |
|---|---|---|
| Séparateur de date | 2026-06-30 → 2026/06/30 | Fuseau Chine détecté |
| Variantes Unicode d'apostrophe (3 types) | Apostrophe dans Today's date is modifiée | Encodage : fuseau / domaine / lab IA |
1 bit de format de date + 3 variantes d'apostrophe encodent environ 3 bits d'information d'environnement dans des phrases anglaises apparemment normales, envoyées à chaque requête vers les serveurs Anthropic.
Stéganographie plutôt qu'un canal de télémétrie découvrable par l'utilisateur.
Aucune mention dans le changelog pendant près de trois mois.
Empreinte ciblant certaines régions et concurrents commerciaux.
L'outil dispose d'accès fichiers et exécution shell — la tolérance au comportement invisible doit être faible.
Conséquence documentée : risque de bannissement de compte, pas de fuite de données confirmée — éviter la dramatisation.
Qualification : risque de backdoor grave. Mécanisme de surveillance intégré renvoyant localisation et identifiants sans consentement. Mesures : audit des postes → désinstallation ou mise à jour → contrôle egress et monitoring du trafic.
Sur X (1er juillet) : « This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation... this should be fully rolled back in tomorrow's release. » — qualification d'« expérience », pas de « backdoor » ; objectif anti-revente et anti-distillation.
Contexte : Anthropic a accusé l'équipe Qwen d'Alibaba, dans un courrier au comité bancaire du Sénat américain, d'utiliser près de 25 000 comptes frauduleux et 28,8 millions d'interactions pour distiller Claude.
Selon SCMP et Ars Technica, note interne : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » À partir du 10 juillet 2026, interdiction pour tous les employés de Claude Code et des modèles Anthropic (Sonnet, Opus, Fable…) ; remplacement : Qoder.
| Source | Termes clés | Angle |
|---|---|---|
| NVDB / MIIT | backdoor / security backdoor risk / severe threat | Conformité et exfiltration |
| CNBC / Reuters | security backdoor / built-in monitoring | Reprise régulateur + réactions entreprises |
| The Register | covert code / secret steganography | Responsabilité technique + absence de divulgation |
| Ars Technica | spyware-like tracking / secret tracker | Crise de confiance + analyse politique |
| Anthropic | experiment / anti-abuse / anti-distillation | Défense légitime de la propriété du modèle |
Pas un incident isolé, mais un symptôme de la compétition IA de 2026 :
Exécuter claude --version — version entre 2.1.91 et 2.1.196 ?
Vérifier echo $ANTHROPIC_BASE_URL — proxy non officiel ?
Si concerné : npm install -g @anthropic-ai/claude-code@latest ou claude update.
Désinstallation complète : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (Windows : %USERPROFILE%\.claude…).
Endpoint officiel ou alternatives — voir comparatif des assistants IA de codage.
Inventaire logiciel de tous les postes dev — installations et versions Claude Code.
Audit ANTHROPIC_BASE_URL dans profils shell et configs CI.
Mise à jour forcée ou désinstallation — processus « logiciel à haut risque » type Alibaba.
Audit egress — trafic sortant vers endpoints IA non autorisés.
Évaluer alternatives internes (Tongyi Lingma, Qoder, Cursor…) et définir une whitelist conformité.
| Version | Publication | Statut |
|---|---|---|
| v2.1.91 | 2026-04-02 | Première version avec mécanisme discret |
| v2.1.196 | 2026-06-29 | Dernière version concernée |
| v2.1.197 / 2.1.198 | 2026-07-01/02 | Code de détection retiré |
v2.1.91–2.1.196 : code de détection non divulgué ; NVDB = risque de backdoor grave ; Anthropic = expérience anti-distillation, retirée en 2.1.197.
Non. Activation uniquement si ANTHROPIC_BASE_URL pointe vers proxy ou passerelle non officielle.
En 2.1.197+ avec endpoint officiel, risque fortement réduit pour les solo devs ; les entreprises doivent évaluer conformité et précédent Alibaba.
Classification logiciel à haut risque ; interdiction à tous les employés dès le 10 juillet ; bascule vers Qoder.
Sources primaires : v2.1.197 (1er juillet) ; certains médias chinois : v2.1.198. Recommandation : « 2.1.197 ou supérieur ».
Entraîner un modèle avec les sorties d'un autre. Anthropic ciblait revente non autorisée et pipelines de distillation — contexte motivationnel central.
Pour audit egress ou code sensible : Mac distant dédié + VNC — variables d'environnement et permissions en session graphique, résiliation en fin de projet.
Non. Aucun changelog concerné ne l'évoquait ; reconnaissance et rollback après exposition communautaire.
Cet article s'appuie sur l'alerte NVDB du MIIT et des reportages publics. Il est fourni à titre informatif pour l'orientation technique et conformité, sans valeur de conseil juridique ou d'audit de sécurité. Évaluez vos propres politiques avant toute désinstallation ou blocage de trafic.
La leçon centrale : un outil de programmation IA à haut privilège avec canal discret non divulgué — même motivé par l'anti-distillation — déclenche qualification réglementaire et interdictions d'entreprise. Proxies, clés API mixtes et Claude Code sur le poste principal sous-estiment le coût des audits de version et d'egress.
Pour valider Claude Code sur macOS ou comparer des alternatives sans polluer votre machine principale, un Mac distant VNCMac offre un nœud isolé : vérification de version, variables d'environnement et audit graphique des permissions via VNC. Consultez les forfaits Mac mini M4 — location à l'heure.