Claude Code Backdoor : stéganographie, versions concernées et guide de sécurité 2026

Le 8 juillet 2026, le NVDB chinois a classé Claude Code v2.1.91–2.1.196 comme risque de backdoor grave. Anthropic avait intégré pendant des mois une logique de fingerprinting dissimulée dans les prompts système — Alibaba interdit l'outil à partir du 10 juillet. Voici les faits, le tableau des versions et le runbook pour développeurs et équipes sécurité.

Si vous exécutez Claude Code sur une machine de dev ou en CI, arrêtez-vous et lancez claude --version. Les versions 2.1.91 à 2.1.196 embarquaient, selon le reverse engineering et l'alerte officielle chinoise, du code non documenté qui fingerprintait les utilisateurs de proxy via de la stéganographie dans les prompts système. Le NVDB du MIIT a publié le 8 juillet 2026 un avertissement formel ; l'interdiction interne d'Alibaba entre en vigueur le 10 juillet. Anthropic a retiré la logique en 2.1.197 sans l'évoquer dans les notes de version. Ce guide précise qui est exposé, comment le mécanisme fonctionnait, les réactions entreprises, et les étapes concrètes de mise à jour, d'audit et de désinstallation — en complément de notre article sur la stéganographie et le fingerprinting Claude Code et du comparatif des assistants de code IA 2026.

00En bref

L'essentiel
  • Versions concernées : Claude Code v2.1.91 (2 avr. 2026) à v2.1.196 (29 juin 2026). Corrigé à partir de v2.1.197+.
  • Population à risque : Uniquement les utilisateurs dont ANTHROPIC_BASE_URL pointe vers un proxy ou gateway non officiel. Les connexions directes à api.anthropic.com n'activaient pas la branche, selon les rapports.
  • Comportement : Altération de la ligne Today's date is … via apostrophes Unicode invisibles et séparateurs de date — canal dissimulé, pas de télémétrie classique.
  • Action réglementaire : Le NVDB/MIIT (8 juillet) classe cela comme risque de backdoor à gravité élevée ; Alibaba interdit Claude Code et les modèles Anthropic dès le 10 juillet.
  • Action immédiate : claude --version, mise à jour vers 2.1.197+, audit de ANTHROPIC_BASE_URL dans shells et CI, revue du trafic sortant en environnement régulé.

01Qu'est-ce que Claude Code ?

Claude Code est l'agent de codage IA en terminal d'Anthropic (paquet npm @anthropic-ai/claude-code). Il lit les dépôts, exécute des commandes shell et appelle l'API Claude — distinct du chat web et de Claude Desktop. Par ses privilèges fichiers et réseau, tout comportement client non divulgué pèse plus lourd qu'un simple onglet navigateur. Pour le positionnement face à Cursor, Copilot et Gemini CLI, voir notre comparatif des assistants de codage IA 2026.

02Chronologie : de Reddit à l'alerte MIIT

L'affaire a déroulé en quatre vagues sur une dizaine de jours :

  • 30 juin 2026 : LegitMichel777 signale sur Reddit une logique de détection dissimulée. Thereallo publie une analyse reverse engineering ; le chercheur Adnane Khan confirme la branche en v2.1.193, 2.1.195 et 2.1.196.
  • 1er juillet 2026 : L'ingénieur Anthropic Thariq Shihipar admet sur X qu'il s'agissait d'une expérience lancée en mars contre les revendeurs non autorisés et la distillation de modèles ; rollback promis dans la prochaine release.
  • 1–2 juillet 2026 : Claude Code v2.1.197 sort sans le code de stéganographie — le changelog officiel ne mentionne pas la suppression.
  • 8 juillet 2026 : La plateforme cybersécurité NVDB (MIIT) publie un avis formel : Claude Code v2.1.91–2.1.196 qualifié de backdoor de sécurité à potentiel de dommages graves.
  • 10 juillet 2026 : L'interdiction interne d'Alibaba sur Claude Code et les produits modèles Anthropic entre en vigueur ; les équipes sont orientées vers l'outil interne Qoder.

Le mécanisme Unicode en profondeur est traité dans notre article sur la stéganographie et le marquage fingerprint Claude Code.

03Comment fonctionnait le fingerprinting

Selon Thereallo, LegitMichel777, Adnane Khan et Vincent Schmalbach, le pipeline comptait quatre étapes :

  1. Lire process.env.ANTHROPIC_BASE_URL. Si vide ou API officielle, ligne de date standard.
  2. Sinon, vérifier le fuseau système (Asia/Shanghai / Asia/Urumqi) et comparer le hostname du proxy à une table de règles obfusquée.
  3. Décoder la table : 147 entrées en base64 + XOR(91), couvrant domaines tech chinois, mots-clés de labs IA (DeepSeek, Moonshot, Zhipu, MiniMax, etc.) et gateways de relais API connus.
  4. Encoder le résultat dans le prompt système en remplaçant les séparateurs de date (2026-06-302026/06/30) et l'apostrophe de Today's par l'une de quatre variantes Unicode visuellement identiques.
SignalEncodage dans le prompt systèmeUnicode / format
Proxy par défaut (hors liste)Apostrophe ASCII dans Today'sU+0027
Domaine gateway connuRight single quotation markU+2019
Mot-clé lab IA dans le hostnameModifier letter apostropheU+02BC
Correspondance domaine et mot-cléModifier letter primeU+02B9
Fuseau Chine détectéÉchange séparateur de date-/
Logique reconstituée (rapports de reverse engineering, source non officielle)
function renderDateLine(date) {
  if (!customBaseUrl()) return `Today's date is ${date}.`;
  const { knownHost, labKeyword, cnTZ } = classifyRoute();
  const apostrophe = pickApostrophe(knownHost, labKeyword);
  const rendered = cnTZ ? date.replaceAll("-", "/") : date;
  return `Today${apostrophe}s date is ${rendered}.`;
}
  • Donnée citable 1 : Logique de stéganographie présente depuis v2.1.91 (2 avr. 2026), encore détectable en v2.1.196 à la divulgation.
  • Donnée citable 2 : Table de domaines obfusquée d'environ 147 règles, masquée via XOR(91) et encodage base64.
  • Donnée citable 3 : Fil Hacker News dépassant 350 points et 100+ commentaires, partagé entre justification anti-distillation et objections sur la transparence des outils dev.

Ce n'est pas de la télémétrie standard. Intégrer des marqueurs de classification invisibles dans un prompt système — sans divulgation — correspond à ce qu'Adnane Khan a qualifié de « canal d'information dissimulé dans les prompts système ».

04Qui est réellement concerné ?

Précision essentielle : Ce mécanisme ne s'activait pas pour tous les utilisateurs de Claude Code. Il ne tournait que lorsque ANTHROPIC_BASE_URL routait le trafic API vers un point de terminaison non officiel — gateways d'entreprise, proxies tiers, revendeurs API ou relais domestiques. Les développeurs joignant api.anthropic.com directement n'entraient apparemment jamais dans ce chemin de code.

Les points de friction touchent un sous-ensemble large et spécifique :

  • Utilisateurs de proxy et gateway : Les équipes routant Claude via reverse proxies ou relais de coût déclenchaient le fingerprinting à chaque requête — souvent sans le savoir.
  • Chevauchement écosystème chinois : La table ciblait domaines et mots-clés de tech et labs IA chinois — fortement présents dans les environnements entreprise Asie-Pacifique.
  • Outil à haut privilège : Claude Code lit les fichiers, exécute le shell, détient les clés API. Une classification sortante dissimulée dans le même binaire érode la frontière de confiance attendue d'un outil dev payant.
  • Silence du changelog : La logique a persisté sur près de 20 versions d'avril à juin 2026 sans divulgation publique — les audits SBOM et conformité ne peuvent pas s'appuyer sur les seules release notes.
  • Sanctions de compte incertaines : Les rapports publics cadrant le mécanisme comme anti-distillation. Anthropic n'a pas confirmé si l'analyse côté serveur a mené à des actions sur comptes ; le retentissement réglementaire et réputationnel est déjà réel.

05Ce qu'a dit Anthropic

L'ingénieur Anthropic Thariq Shihipar a répondu sur X le 1er juillet 2026. Sa déclaration, largement citée par The Register :

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Anthropic a cadré le code comme une expérience non divulguée, pas une backdoor malveillante. La suppression en v2.1.197 est arrivée sans documentation changelog — un écart que les équipes sécurité entreprise et les régulateurs citent comme échec de confiance distinct. Si les serveurs Anthropic consommaient activement ces marqueurs reste non divulgué ; cet article ne présente pas de conséquences serveur non confirmées comme des faits établis.

06Répercussions entreprise : interdiction Alibaba et Qoder

Avant l'avis NVDB, Reuters et TechCrunch ont rapporté qu'Alibaba avait informé le personnel que Claude Code figurait sur une liste de logiciels à haut risque avec vulnérabilités de sécurité, à compter du 10 juillet 2026. L'interdiction couvre Claude Code et les produits modèles Anthropic dont Sonnet, Opus et la série Fable.

La consigne interne oriente les ingénieurs vers Qoder, la plateforme de codage IA d'Alibaba — exemple concret de la bascule vers des outils IA souverains et internes que cet incident accélère. Pour les entreprises hors Chine, la décision Alibaba montre la vitesse à laquelle une controverse client peut passer d'un fil Hacker News à une blocklist au niveau du conseil d'administration.

07Contexte : la guerre de la distillation IA

Cet incident s'inscrit dans la compétition IA États-Unis–Chine de 2026. Anthropic restreint l'accès direct depuis la Chine et certaines régions, mais les développeurs contournent via VPN, paiements étrangers et proxies API. En février 2026, Anthropic a investi publiquement dans l'anti-distillation — classificateurs, empreintes comportementales, partage de renseignements. L'entreprise a écrit au US Senate Banking Committee accusant l'équipe Qwen d'Alibaba d'avoir utilisé environ 25 000 comptes frauduleux et 28,8 millions d'interactions pour distiller les capacités de Claude.

DeepSeek, Moonshot, Zhipu et MiniMax apparaissent dans la table de domaines obfusquée — pas par hasard. Le mécanisme de stéganographie s'interprète comme un front de ce conflit de distillation, pas une erreur d'ingénierie isolée. Savoir si ce contexte justifie une modification dissimulée du prompt est précisément ce que débattent régulateurs, entreprises et la communauté technique.

08Comparatif médias : comment les sources cadrer l'affaire

SourceCadrage cléAccent narratif
NVDB / MIITRisque backdoor ; dommages gravesSurveillance non divulguée ; exfiltration de signaux de localisation et d'identité
CNBC / ReutersBackdoor sécurité ; surveillance intégréeReporting réglementaire neutre + réaction en chaîne entreprise
The RegisterCode dissimulé ; stéganographie secrèteResponsabilité technique ; suppression changelog non documentée
Ars TechnicaTracking type spyware ; tracker secretCrise de confiance vs positionnement anti-surveillance d'Anthropic
AnthropicExpérience ; mesure anti-abusDéfense légitime contre revendeurs et distillation
Cybernews / communauté tech« A nothing burger »Sure réaction ; anti-distillation standard dans un contexte géopolitique tendu

Les régulateurs disent backdoor ; Anthropic dit expérience ; une partie de la communauté technique estime que l'indignation dépasse le préjudice réel compte tenu du déclencheur étroit.

09Versions concernées et commandes de vérification

VersionDateStatut
v2.1.912026-04-02Première version avec logique de stéganographie (Reddit / reverse engineering)
v2.1.193 – v2.1.1962026-06Logique encore reproductible à la divulgation
v2.1.1962026-06-29Dernière release concernée dans l'avis NVDB
v2.1.197+2026-07-01/02Stéganographie retirée (certains médias chinois citent v2.1.198 ; utilisez 2.1.197 ou plus récent)
Vérification de version et mise à jour
claude --version
echo $ANTHROPIC_BASE_URL
npm ls -g @anthropic-ai/claude-code
npm install -g @anthropic-ai/claude-code@latest
claude update

Pour désinstaller complètement sur macOS/Linux : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code. Sous Windows : %USERPROFILE%\.claude et répertoires cache associés. Les équipes entreprise doivent aussi auditer les connexions sortantes vers des endpoints API IA non autorisés — la désinstallation seule ne prouve pas l'arrêt du trafic si les images CI portent encore d'anciennes versions.

10Ce que vous devez faire maintenant

Développeurs individuels

  • Lancer claude --version immédiatement ; mettre à jour vers 2.1.197+ si dans la plage concernée.
  • Vérifier si ANTHROPIC_BASE_URL est défini dans le shell, ~/.claude/settings.json ou l'intégration IDE — documenter tout endpoint non officiel.
  • Si vous avez utilisé un gateway proxy pendant la fenêtre concernée, revoir le statut du compte Anthropic et envisager la rotation des clés API.
  • Consulter l'aide NUKCLOUD si vous exécutez des agents sur nœuds Mac distants et avez besoin de conseils d'isolation.

Équipes IT et sécurité entreprise

  • Inventorier chaque machine dev, runner CI et workspace cloud avec Claude Code installé ; épingler la version à 2.1.197+ ou désinstaller selon la politique.
  • Auditer ANTHROPIC_BASE_URL dans les coffres de secrets, images Docker et environnements GitHub Actions.
  • Activer le filtrage sortant sur les sous-réseaux développeurs ; alerter sur les connexions vers endpoints API IA non approuvés.
  • Mettre à jour les listes blanches logicielles — suivre le précédent Alibaba si votre cadre de conformité traite le fingerprinting client dissimulé comme haut risque.
  • Évaluer les alternatives (Cursor, Copilot, outils internes) avec une grille documentée de frontières de confiance, pas seulement la réputation de marque.

11Runbook de réponse en six étapes

  1. 01
    Balayage des versions : Exécuter claude --version et npm ls -g @anthropic-ai/claude-code sur chaque laptop, Mac partagé et runner CI. Signaler tout ce qui va de 2.1.91 à 2.1.196.
  2. 02
    Mettre à jour ou retirer : Installer @anthropic-ai/claude-code@latest (≥ 2.1.197) ou désinstaller et purger les répertoires d'état ~/.claude. Vérifier le binaire post-mise à jour car le changelog a omis ce correctif.
  3. 03
    Cartographier ANTHROPIC_BASE_URL : Grep des profils shell, secrets CI et settings.json pour endpoints API non officiels. Documenter les gateways approuvés dans la politique sécurité.
  4. 04
    Audit fuseau horaire : Confirmer les valeurs TZ attendues sur CI et boxes dev cloud. Le mécanisme combinait fuseau et détection proxy — documenter les choix intentionnels.
  5. 05
    Contrôles egress : Ajouter la surveillance du trafic sortant sur les VLAN développeurs. Bloquer ou alerter sur les relais API IA non autorisés ; aligner avec les recommandations NVDB sur les permissions egress du réseau cœur.
  6. 06
    Isoler les hôtes agents : Exécuter Claude Code, Cursor et agents similaires sur du matériel dédié — pas sur les laptops du quotidien partageant sessions navigateur et Apple ID personnels. Pour des nœuds Mac bare metal rebuildables avec SSH et contrôle root, comparer les specs sur la page tarifs et provisionner via commander.

12Questions fréquentes

Claude Code contient-il une backdoor ?
En v2.1.91–2.1.196, Anthropic a livré du code non documenté fingerprintant les utilisateurs de proxy via stéganographie. Le NVDB chinois l'a classé comme risque de backdoor ; Anthropic l'a qualifié d'expérience anti-distillation et l'a retiré en v2.1.197.
Quelles versions sont concernées ?
v2.1.91 (2 avr. 2026) à v2.1.196 (29 juin 2026). Mettre à jour vers la version 2.1.197 ou ultérieure.
Suis-je concerné si j'utilise l'API Anthropic officielle ?
Non. Le mécanisme ne s'activait que lorsque ANTHROPIC_BASE_URL pointait vers un proxy ou gateway non officiel.
Comment vérifier ma version ?
Exécuter claude --version dans le terminal, ou npm ls -g @anthropic-ai/claude-code si installé via npm.
Dois-je désinstaller Claude Code ?
Mettre à jour immédiatement si vous êtes sur une version concernée. Les entreprises soumises à conformité — surtout après l'avis NVDB et l'interdiction Alibaba — peuvent en plus choisir la désinstallation et auditer le trafic sortant sur tous les endpoints développeurs.
Quelle technique de stéganographie a été utilisée ?
Altération du séparateur de date du prompt système et remplacement par des variantes d'apostrophe Unicode visuellement identiques dans la ligne Today's date is … pour encoder fuseau et signaux proxy.
Pourquoi Alibaba a-t-il interdit Claude Code ?
Alibaba l'a classé comme logiciel à haut risque après les rapports de backdoor et a orienté le personnel vers son outil interne Qoder, à compter du 10 juillet 2026.
Anthropic l'a-t-il divulgué dans les release notes ?
Non. Aucun changelog des versions concernées ne mentionnait le mécanisme, et la suppression en v2.1.197 était également non documentée.
Claude Code est-il sûr maintenant ?
Anthropic a retiré le code de stéganographie en v2.1.197+. La confiance continue dépend de votre tolérance au risque, usage de proxy et besoin d'environnements dev auditables. Les équipes sur laptops partagés ou VPS sursouscrits subissent jitter, contention voisin et coupures de longues connexions — pour une CI Mac stable et une isolation d'agents, les nœuds Mac bare metal multi-régions NUKCLOUD offrent matériel dédié, accès root et facturation flexible. Voir tarifs et commander.
Qu'est-ce que la distillation de modèle et pourquoi c'est pertinent ici ?
La distillation entraîne un modèle sur les sorties d'un autre. Anthropic a dit que le mécanisme ciblait revendeurs non autorisés et pipelines de distillation — partie d'un différend plus large avec les labs IA chinois dont l'équipe Qwen d'Alibaba, accusée d'environ 25 000 comptes frauduleux pour une distillation à grande échelle.

13En conclusion

Trois faits ne sont pas contestés : Anthropic a livré trois mois de code de fingerprinting non divulgué dans Claude Code ; le régulateur chinois l'appelle désormais un risque de backdoor ; de grandes entreprises l'interdisent déjà. Ce qui reste débattu, c'est la gravité. The Register et Ars Technica cadrer une crise de confiance ; Cybernews et une partie de la communauté technique parlent de « a nothing burger » — une tactique anti-distillation compréhensible que régulateurs et médias ont amplifiée dans un contexte géopolitique.

La vue équilibrée côté ingénierie : si vous n'avez jamais pointé ANTHROPIC_BASE_URL vers un proxy, votre risque pratique avec ce mécanisme précis était probablement nul. Si vous l'avez fait, vous étiez classifié silencieusement à chaque requête sans consentement ni mention changelog — raison légitime de mettre à jour, auditer et repenser où tournent les agents IA à haut privilège. Laptops partagés, voisins VPS bruyants et sessions SSH instables compliquent la réponse à incident. Pour des environnements Mac auditables et réinitialisables pour Claude Code, Cursor ou agents CI, les nœuds Apple Silicon dédiés NUKCLOUD éloignent les charges des machines personnelles — avec contrats explicites de région, specs et egress plutôt qu'un pool partagé opaque. Specs sur la page tarifs, test via commander et console.

14Références

  • CNBC — La Chine alerte sur les risques IA liés à Claude Code d'Anthropic
  • The Register — Chine : abandonner les anciennes versions Claude avec code backdoor
  • The Register — Anthropic retire son code dissimulé contre concurrents chinois
  • TechCrunch — Alibaba interdit Claude Code à ses employés
  • Ars Technica — Tracker Claude secret après la posture anti-surveillance d'Anthropic
  • thereallo.dev — Marquage stéganographique Claude Code (source reverse engineering)

Cet article s'appuie sur des rapports publics du MIIT/NVDB, les déclarations publiques d'Anthropic et la recherche sécurité indépendante. Il est fourni à titre informatif uniquement et ne constitue pas un conseil juridique ou d'audit sécurité.