Si vous exécutez Claude Code sur une machine de dev ou en CI, arrêtez-vous et lancez claude --version. Les versions 2.1.91 à 2.1.196 embarquaient, selon le reverse engineering et l'alerte officielle chinoise, du code non documenté qui fingerprintait les utilisateurs de proxy via de la stéganographie dans les prompts système. Le NVDB du MIIT a publié le 8 juillet 2026 un avertissement formel ; l'interdiction interne d'Alibaba entre en vigueur le 10 juillet. Anthropic a retiré la logique en 2.1.197 sans l'évoquer dans les notes de version. Ce guide précise qui est exposé, comment le mécanisme fonctionnait, les réactions entreprises, et les étapes concrètes de mise à jour, d'audit et de désinstallation — en complément de notre article sur la stéganographie et le fingerprinting Claude Code et du comparatif des assistants de code IA 2026.
00En bref
- Versions concernées : Claude Code v2.1.91 (2 avr. 2026) à v2.1.196 (29 juin 2026). Corrigé à partir de v2.1.197+.
- Population à risque : Uniquement les utilisateurs dont
ANTHROPIC_BASE_URLpointe vers un proxy ou gateway non officiel. Les connexions directes àapi.anthropic.comn'activaient pas la branche, selon les rapports. - Comportement : Altération de la ligne
Today's date is …via apostrophes Unicode invisibles et séparateurs de date — canal dissimulé, pas de télémétrie classique. - Action réglementaire : Le NVDB/MIIT (8 juillet) classe cela comme risque de backdoor à gravité élevée ; Alibaba interdit Claude Code et les modèles Anthropic dès le 10 juillet.
- Action immédiate :
claude --version, mise à jour vers 2.1.197+, audit deANTHROPIC_BASE_URLdans shells et CI, revue du trafic sortant en environnement régulé.
01Qu'est-ce que Claude Code ?
Claude Code est l'agent de codage IA en terminal d'Anthropic (paquet npm @anthropic-ai/claude-code). Il lit les dépôts, exécute des commandes shell et appelle l'API Claude — distinct du chat web et de Claude Desktop. Par ses privilèges fichiers et réseau, tout comportement client non divulgué pèse plus lourd qu'un simple onglet navigateur. Pour le positionnement face à Cursor, Copilot et Gemini CLI, voir notre comparatif des assistants de codage IA 2026.
02Chronologie : de Reddit à l'alerte MIIT
L'affaire a déroulé en quatre vagues sur une dizaine de jours :
- 30 juin 2026 : LegitMichel777 signale sur Reddit une logique de détection dissimulée. Thereallo publie une analyse reverse engineering ; le chercheur Adnane Khan confirme la branche en v2.1.193, 2.1.195 et 2.1.196.
- 1er juillet 2026 : L'ingénieur Anthropic Thariq Shihipar admet sur X qu'il s'agissait d'une expérience lancée en mars contre les revendeurs non autorisés et la distillation de modèles ; rollback promis dans la prochaine release.
- 1–2 juillet 2026 : Claude Code v2.1.197 sort sans le code de stéganographie — le changelog officiel ne mentionne pas la suppression.
- 8 juillet 2026 : La plateforme cybersécurité NVDB (MIIT) publie un avis formel : Claude Code v2.1.91–2.1.196 qualifié de backdoor de sécurité à potentiel de dommages graves.
- 10 juillet 2026 : L'interdiction interne d'Alibaba sur Claude Code et les produits modèles Anthropic entre en vigueur ; les équipes sont orientées vers l'outil interne Qoder.
Le mécanisme Unicode en profondeur est traité dans notre article sur la stéganographie et le marquage fingerprint Claude Code.
03Comment fonctionnait le fingerprinting
Selon Thereallo, LegitMichel777, Adnane Khan et Vincent Schmalbach, le pipeline comptait quatre étapes :
- Lire
process.env.ANTHROPIC_BASE_URL. Si vide ou API officielle, ligne de date standard. - Sinon, vérifier le fuseau système (
Asia/Shanghai/Asia/Urumqi) et comparer le hostname du proxy à une table de règles obfusquée. - Décoder la table : 147 entrées en base64 + XOR(91), couvrant domaines tech chinois, mots-clés de labs IA (DeepSeek, Moonshot, Zhipu, MiniMax, etc.) et gateways de relais API connus.
- Encoder le résultat dans le prompt système en remplaçant les séparateurs de date (
2026-06-30→2026/06/30) et l'apostrophe deToday'spar l'une de quatre variantes Unicode visuellement identiques.
| Signal | Encodage dans le prompt système | Unicode / format |
|---|---|---|
| Proxy par défaut (hors liste) | Apostrophe ASCII dans Today's | U+0027 |
| Domaine gateway connu | Right single quotation mark | U+2019 |
| Mot-clé lab IA dans le hostname | Modifier letter apostrophe | U+02BC |
| Correspondance domaine et mot-clé | Modifier letter prime | U+02B9 |
| Fuseau Chine détecté | Échange séparateur de date | - → / |
function renderDateLine(date) {
if (!customBaseUrl()) return `Today's date is ${date}.`;
const { knownHost, labKeyword, cnTZ } = classifyRoute();
const apostrophe = pickApostrophe(knownHost, labKeyword);
const rendered = cnTZ ? date.replaceAll("-", "/") : date;
return `Today${apostrophe}s date is ${rendered}.`;
}
- Donnée citable 1 : Logique de stéganographie présente depuis v2.1.91 (2 avr. 2026), encore détectable en v2.1.196 à la divulgation.
- Donnée citable 2 : Table de domaines obfusquée d'environ 147 règles, masquée via XOR(91) et encodage base64.
- Donnée citable 3 : Fil Hacker News dépassant 350 points et 100+ commentaires, partagé entre justification anti-distillation et objections sur la transparence des outils dev.
Ce n'est pas de la télémétrie standard. Intégrer des marqueurs de classification invisibles dans un prompt système — sans divulgation — correspond à ce qu'Adnane Khan a qualifié de « canal d'information dissimulé dans les prompts système ».
04Qui est réellement concerné ?
Précision essentielle : Ce mécanisme ne s'activait pas pour tous les utilisateurs de Claude Code. Il ne tournait que lorsque ANTHROPIC_BASE_URL routait le trafic API vers un point de terminaison non officiel — gateways d'entreprise, proxies tiers, revendeurs API ou relais domestiques. Les développeurs joignant api.anthropic.com directement n'entraient apparemment jamais dans ce chemin de code.
Les points de friction touchent un sous-ensemble large et spécifique :
- Utilisateurs de proxy et gateway : Les équipes routant Claude via reverse proxies ou relais de coût déclenchaient le fingerprinting à chaque requête — souvent sans le savoir.
- Chevauchement écosystème chinois : La table ciblait domaines et mots-clés de tech et labs IA chinois — fortement présents dans les environnements entreprise Asie-Pacifique.
- Outil à haut privilège : Claude Code lit les fichiers, exécute le shell, détient les clés API. Une classification sortante dissimulée dans le même binaire érode la frontière de confiance attendue d'un outil dev payant.
- Silence du changelog : La logique a persisté sur près de 20 versions d'avril à juin 2026 sans divulgation publique — les audits SBOM et conformité ne peuvent pas s'appuyer sur les seules release notes.
- Sanctions de compte incertaines : Les rapports publics cadrant le mécanisme comme anti-distillation. Anthropic n'a pas confirmé si l'analyse côté serveur a mené à des actions sur comptes ; le retentissement réglementaire et réputationnel est déjà réel.
05Ce qu'a dit Anthropic
L'ingénieur Anthropic Thariq Shihipar a répondu sur X le 1er juillet 2026. Sa déclaration, largement citée par The Register :
Anthropic a cadré le code comme une expérience non divulguée, pas une backdoor malveillante. La suppression en v2.1.197 est arrivée sans documentation changelog — un écart que les équipes sécurité entreprise et les régulateurs citent comme échec de confiance distinct. Si les serveurs Anthropic consommaient activement ces marqueurs reste non divulgué ; cet article ne présente pas de conséquences serveur non confirmées comme des faits établis.
06Répercussions entreprise : interdiction Alibaba et Qoder
Avant l'avis NVDB, Reuters et TechCrunch ont rapporté qu'Alibaba avait informé le personnel que Claude Code figurait sur une liste de logiciels à haut risque avec vulnérabilités de sécurité, à compter du 10 juillet 2026. L'interdiction couvre Claude Code et les produits modèles Anthropic dont Sonnet, Opus et la série Fable.
La consigne interne oriente les ingénieurs vers Qoder, la plateforme de codage IA d'Alibaba — exemple concret de la bascule vers des outils IA souverains et internes que cet incident accélère. Pour les entreprises hors Chine, la décision Alibaba montre la vitesse à laquelle une controverse client peut passer d'un fil Hacker News à une blocklist au niveau du conseil d'administration.
07Contexte : la guerre de la distillation IA
Cet incident s'inscrit dans la compétition IA États-Unis–Chine de 2026. Anthropic restreint l'accès direct depuis la Chine et certaines régions, mais les développeurs contournent via VPN, paiements étrangers et proxies API. En février 2026, Anthropic a investi publiquement dans l'anti-distillation — classificateurs, empreintes comportementales, partage de renseignements. L'entreprise a écrit au US Senate Banking Committee accusant l'équipe Qwen d'Alibaba d'avoir utilisé environ 25 000 comptes frauduleux et 28,8 millions d'interactions pour distiller les capacités de Claude.
DeepSeek, Moonshot, Zhipu et MiniMax apparaissent dans la table de domaines obfusquée — pas par hasard. Le mécanisme de stéganographie s'interprète comme un front de ce conflit de distillation, pas une erreur d'ingénierie isolée. Savoir si ce contexte justifie une modification dissimulée du prompt est précisément ce que débattent régulateurs, entreprises et la communauté technique.
08Comparatif médias : comment les sources cadrer l'affaire
| Source | Cadrage clé | Accent narratif |
|---|---|---|
| NVDB / MIIT | Risque backdoor ; dommages graves | Surveillance non divulguée ; exfiltration de signaux de localisation et d'identité |
| CNBC / Reuters | Backdoor sécurité ; surveillance intégrée | Reporting réglementaire neutre + réaction en chaîne entreprise |
| The Register | Code dissimulé ; stéganographie secrète | Responsabilité technique ; suppression changelog non documentée |
| Ars Technica | Tracking type spyware ; tracker secret | Crise de confiance vs positionnement anti-surveillance d'Anthropic |
| Anthropic | Expérience ; mesure anti-abus | Défense légitime contre revendeurs et distillation |
| Cybernews / communauté tech | « A nothing burger » | Sure réaction ; anti-distillation standard dans un contexte géopolitique tendu |
Les régulateurs disent backdoor ; Anthropic dit expérience ; une partie de la communauté technique estime que l'indignation dépasse le préjudice réel compte tenu du déclencheur étroit.
09Versions concernées et commandes de vérification
| Version | Date | Statut |
|---|---|---|
| v2.1.91 | 2026-04-02 | Première version avec logique de stéganographie (Reddit / reverse engineering) |
| v2.1.193 – v2.1.196 | 2026-06 | Logique encore reproductible à la divulgation |
| v2.1.196 | 2026-06-29 | Dernière release concernée dans l'avis NVDB |
| v2.1.197+ | 2026-07-01/02 | Stéganographie retirée (certains médias chinois citent v2.1.198 ; utilisez 2.1.197 ou plus récent) |
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update
Pour désinstaller complètement sur macOS/Linux : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Sous Windows : %USERPROFILE%\.claude et répertoires cache associés. Les équipes entreprise doivent aussi auditer les connexions sortantes vers des endpoints API IA non autorisés — la désinstallation seule ne prouve pas l'arrêt du trafic si les images CI portent encore d'anciennes versions.
10Ce que vous devez faire maintenant
Développeurs individuels
- Lancer
claude --versionimmédiatement ; mettre à jour vers 2.1.197+ si dans la plage concernée. - Vérifier si
ANTHROPIC_BASE_URLest défini dans le shell,~/.claude/settings.jsonou l'intégration IDE — documenter tout endpoint non officiel. - Si vous avez utilisé un gateway proxy pendant la fenêtre concernée, revoir le statut du compte Anthropic et envisager la rotation des clés API.
- Consulter l'aide NUKCLOUD si vous exécutez des agents sur nœuds Mac distants et avez besoin de conseils d'isolation.
Équipes IT et sécurité entreprise
- Inventorier chaque machine dev, runner CI et workspace cloud avec Claude Code installé ; épingler la version à 2.1.197+ ou désinstaller selon la politique.
- Auditer
ANTHROPIC_BASE_URLdans les coffres de secrets, images Docker et environnements GitHub Actions. - Activer le filtrage sortant sur les sous-réseaux développeurs ; alerter sur les connexions vers endpoints API IA non approuvés.
- Mettre à jour les listes blanches logicielles — suivre le précédent Alibaba si votre cadre de conformité traite le fingerprinting client dissimulé comme haut risque.
- Évaluer les alternatives (Cursor, Copilot, outils internes) avec une grille documentée de frontières de confiance, pas seulement la réputation de marque.
11Runbook de réponse en six étapes
-
01
Balayage des versions : Exécuter
claude --versionetnpm ls -g @anthropic-ai/claude-codesur chaque laptop, Mac partagé et runner CI. Signaler tout ce qui va de 2.1.91 à 2.1.196. -
02
Mettre à jour ou retirer : Installer
@anthropic-ai/claude-code@latest(≥ 2.1.197) ou désinstaller et purger les répertoires d'état~/.claude. Vérifier le binaire post-mise à jour car le changelog a omis ce correctif. -
03
Cartographier
ANTHROPIC_BASE_URL: Grep des profils shell, secrets CI etsettings.jsonpour endpoints API non officiels. Documenter les gateways approuvés dans la politique sécurité. -
04
Audit fuseau horaire : Confirmer les valeurs
TZattendues sur CI et boxes dev cloud. Le mécanisme combinait fuseau et détection proxy — documenter les choix intentionnels. -
05
Contrôles egress : Ajouter la surveillance du trafic sortant sur les VLAN développeurs. Bloquer ou alerter sur les relais API IA non autorisés ; aligner avec les recommandations NVDB sur les permissions egress du réseau cœur.
-
06
Isoler les hôtes agents : Exécuter Claude Code, Cursor et agents similaires sur du matériel dédié — pas sur les laptops du quotidien partageant sessions navigateur et Apple ID personnels. Pour des nœuds Mac bare metal rebuildables avec SSH et contrôle root, comparer les specs sur la page tarifs et provisionner via commander.
12Questions fréquentes
ANTHROPIC_BASE_URL pointait vers un proxy ou gateway non officiel.claude --version dans le terminal, ou npm ls -g @anthropic-ai/claude-code si installé via npm.Today's date is … pour encoder fuseau et signaux proxy.13En conclusion
Trois faits ne sont pas contestés : Anthropic a livré trois mois de code de fingerprinting non divulgué dans Claude Code ; le régulateur chinois l'appelle désormais un risque de backdoor ; de grandes entreprises l'interdisent déjà. Ce qui reste débattu, c'est la gravité. The Register et Ars Technica cadrer une crise de confiance ; Cybernews et une partie de la communauté technique parlent de « a nothing burger » — une tactique anti-distillation compréhensible que régulateurs et médias ont amplifiée dans un contexte géopolitique.
La vue équilibrée côté ingénierie : si vous n'avez jamais pointé ANTHROPIC_BASE_URL vers un proxy, votre risque pratique avec ce mécanisme précis était probablement nul. Si vous l'avez fait, vous étiez classifié silencieusement à chaque requête sans consentement ni mention changelog — raison légitime de mettre à jour, auditer et repenser où tournent les agents IA à haut privilège. Laptops partagés, voisins VPS bruyants et sessions SSH instables compliquent la réponse à incident. Pour des environnements Mac auditables et réinitialisables pour Claude Code, Cursor ou agents CI, les nœuds Apple Silicon dédiés NUKCLOUD éloignent les charges des machines personnelles — avec contrats explicites de région, specs et egress plutôt qu'un pool partagé opaque. Specs sur la page tarifs, test via commander et console.
14Références
- CNBC — La Chine alerte sur les risques IA liés à Claude Code d'Anthropic
- The Register — Chine : abandonner les anciennes versions Claude avec code backdoor
- The Register — Anthropic retire son code dissimulé contre concurrents chinois
- TechCrunch — Alibaba interdit Claude Code à ses employés
- Ars Technica — Tracker Claude secret après la posture anti-surveillance d'Anthropic
- thereallo.dev — Marquage stéganographique Claude Code (source reverse engineering)
Cet article s'appuie sur des rapports publics du MIIT/NVDB, les déclarations publiques d'Anthropic et la recherche sécurité indépendante. Il est fourni à titre informatif uniquement et ne constitue pas un conseil juridique ou d'audit sécurité.