Alerte NVDB 2026 : risque de backdoor Claude Code (2.1.91–2.1.196) – analyse technique et guide développeur
Qui est concerné ? Les développeurs Mac/iOS et responsables IT qui utilisent Claude Code et ont reçu, le 8 juillet 2026, la qualification NVDB « risque grave ». Que contient ce guide ? Chronologie complète, décomposition technique en trois étapes, tableau comparatif NVDB/Anthropic/Alibaba, commandes terminal et checklist de conformité en sept étapes. Structure : tableaux de versions, matrice médiatique, matrice de risques, checklists personnelle et entreprise, FAQ en dix questions et parcours de validation sur Mac isolé.
📋 Sommaire
⚠️ Cet article s'appuie sur l'alerte NVDB du 8 juillet 2026, les reportages publics (IT之家, Beijing News, People's Daily, 36Kr) et le rapport de reverse engineering de thereallo.dev. Les motivations d'Anthropic relèvent d'inférences communautaires, non de confirmations réglementaires. Données arrêtées au 9 juillet 2026. Pour l'analyse technique approfondie, voir l'événement stéganographie Claude Code ; le présent article se concentre sur le cadre réglementaire et la conformité entreprise.
01 · Synthèse de l'alerte NVDB
Le 8 juillet 2026, la plateforme chinoise de partage des menaces et vulnérabilités (NVDB), placée sous l'égide du MIIT, a publié une alerte qualifiant l'outil de programmation IA Claude Code d'Anthropic de présenter un risque de backdoor, gravité élevée. Les versions concernées sont v2.1.91 à v2.1.196. L'outil intègre un mécanisme de surveillance capable, sans consentement explicite, de renvoyer vers des serveurs distants des informations sensibles telles que la géolocalisation et des identifiants utilisateur.
| Dimension | Élément clé |
|---|---|
| Qualification réglementaire | Première alerte NVDB officielle sur Claude Code, qualifiée « risque grave » (08/07/2026) |
| Versions affectées | 2.1.91 (02/04/2026) à 2.1.196 (29/06/2026), soit 106 versions mineures |
| Version corrigée | Anthropic publie 2.1.197 les 1–2 juillet ; dernière version au 08/07 : 2.1.204 |
| Mécanisme technique | Stéganographie dans le prompt système : séparateur de date + apostrophes Unicode + 147 règles XOR+base64 |
| Durée non divulguée | Déployé en mars 2026, exposé le 30 juin — environ trois mois sans mention dans le changelog ni la politique de confidentialité |
| Condition de déclenchement | Uniquement si ANTHROPIC_BASE_URL pointe vers un point de terminaison non officiel (proxy, passerelle, revente) |
| Réaction entreprise | Alibaba interdit Claude Code à partir du 10 juillet, recommande Qoder en remplacement |
| Chiffres clés | Discussion HN 350+ points ; distillation : 25 000 faux comptes, 28,8 M de conversations (accusation Anthropic) |
02 · Trois enjeux critiques : pourquoi agir immédiatement
- La qualification réglementaire est actée. Le « risque grave » du NVDB n'est pas un titre sensationnaliste : les entreprises chinoises soumises aux audits de conformité, à l'examen de la chaîne d'approvisionnement logicielle et aux listes blanches internes doivent désormais prouver que leurs postes de développement n'exécutent pas les versions 2.1.91–2.1.196 et que la surveillance des flux sortants a été renforcée. L'interdiction Alibaba du 10 juillet n'est qu'un précédent ; d'autres acteurs technologiques pourraient suivre.
- Un canal dissimulé échappe aux outils classiques. Selon le reverse engineering, le signal de surveillance est dissimulé dans la ponctuation du prompt système — le séparateur de date passe de
-à/, l'apostrophe deToday'salterne entre quatre variantes Unicode. Les pare-feu et solutions DLP inspectent rarement ce type de marqueur ; seul un reverse du binaire ou un test A/B des prompts système permet de le détecter. - Le mélange de versions sur la machine principale complique tout audit. Comparer les prompts système entre point de terminaison officiel et proxy, auditer
ANTHROPIC_BASE_URLet les résidus shell sur un MacBook qui exécute simultanément un VPN d'entreprise, plusieurs versions Node via Homebrew et un trousseau Keychain partagé peut fausser des semaines de diagnostic — comme détaillé dans l'analyse technique de la stéganographie, mais avec ici un angle réglementaire et conformité entreprise.
03 · Chronologie complète (février–juillet 2026)
| Date | Événement |
|---|---|
| Février 2026 | Tensions persistantes entre Anthropic et les acteurs IA chinois sur l'accès aux modèles et les contrôles à l'exportation (Fable 5) ; recours croissant aux passerelles proxy pour l'API Claude |
| Mars 2026 | Selon Thariq Shihipar a posteriori, l'équipe Claude Code déploie un mécanisme de surveillance « expérimental » visant la revente non autorisée et les attaques de distillation |
| Début avril 2026 | Anthropic accuse publiquement l'équipe Qwen d'Alibaba d'une attaque de distillation à l'échelle industrielle : environ 25 000 faux comptes, 28,8 millions de conversations (avril–juin) |
| 2 avril 2026 | Publication de Claude Code v2.1.91 intégrant la logique stéganographique ; aucune mention dans le changelog |
| Vers le 18 avril 2026 | Le conseiller en confidentialité Alexander Hanff révèle l'injection silencieuse du manifeste Native Messaging de Claude Desktop dans le navigateur (événement A, The Register) |
| Avril 2026 | Le consultant indépendant Noah Kenney confirme la reproductibilité de l'événement A ; Antiy Labs publie un rapport sur les canaux à privilèges élevés de Claude Desktop |
| Avril–juin 2026 | Itérations continues de Claude Code 2.1.92–2.1.196 ; la logique stéganographique persiste sans divulgation dans les release notes |
| 30 juin 2026 | Publication du rapport de reverse engineering sur thereallo.dev ; diffusion Reddit puis Hacker News (350+ points) |
| 1er juillet 2026 | Anthropic publie v2.1.197 ; selon la presse, retrait du code stéganographique — changelog silencieux |
| 2 juillet 2026 | Thariq Shihipar reconnaît la mesure « expérimentale » et annonce sa suppression ; le chercheur Adnane Khan valide indépendamment le mécanisme |
| 3–4 juillet 2026 | Circulation interne chez Alibaba : interdiction à partir du 10 juillet de Claude Code et de l'ensemble des produits Anthropic ; recommandation de Qoder ; couverture Wall Street CN, 36Kr, Yicai |
| 8 juillet 2026 | Publication de l'alerte NVDB, qualification « risque grave » ; reprise par IT之家, Beijing News, People's Daily, China Daily, CNBC |
| 10 juillet 2026 | Entrée en vigueur de l'interdiction Alibaba ; les employés doivent désinstaller Claude Code, Sonnet, Opus, Fable et les autres produits Anthropic |
04 · Points clés de l'alerte NVDB et recommandations
Selon les citations recueillies par IT之家, Beijing News et People's Daily, le NVDB indique que Claude Code peut rédiger et corriger du code de manière autonome, mais qu'il intègre un mécanisme de surveillance capable de renvoyer, sans consentement, la géolocalisation et des identifiants utilisateur vers des serveurs distants.
Le NVDB formule deux niveaux de recommandations :
- Audit des postes : inventorier immédiatement tous les terminaux de développement pour vérifier la présence des versions 2.1.91–2.1.196 ; en cas de détection, désinstaller ou mettre à jour vers une version sécurisée ayant supprimé le code concerné.
- Contrôle réseau : renforcer le contrôle des permissions de sortie et la surveillance du trafic des outils de développement sur les segments réseau critiques, afin d'empêcher toute exfiltration non autorisée de données sensibles.
Il s'agit de la première alerte réglementaire explicite du MIIT via le NVDB sur un outil de développement IA étranger — Claude Code passe du statut de « controverse communautaire » à celui d'obligation de conformité pour les entreprises.
05 · Condition de déclenchement : seul un ANTHROPIC_BASE_URL non officiel active le mécanisme
C'est le détail technique le plus important — et le plus souvent déformé par les titres de presse. Selon le rapport thereallo.dev et la validation indépendante d'Adnane Khan :
La logique stéganographique ne s'active que lorsque ANTHROPIC_BASE_URL pointe vers un point de terminaison autre que api.anthropic.com. Les scénarios typiques incluent :
- Passerelle API d'entreprise ou proxy inverse (redirection vers Anthropic)
- Services de revente d'API tiers (couche compatible OpenAI, nœuds relais domestiques)
- Configuration personnalisée dans
.zshrc,.bashrcou les variables d'environnement CI
Si vous vous connectez directement à https://api.anthropic.com, la ligne Today's date is... du prompt système n'est pas modifiée. Cette limite doit être clairement énoncée dans toute vérification des faits — il est inexact d'affirmer que « tous les utilisateurs de Claude Code sont surveillés ».
06 · Stéganographie en trois étapes : décomposition technique
Lorsque la condition de déclenchement est remplie, Claude Code intègre à chaque requête API trois couches de signaux dissimulés dans le prompt système. Pour le tableau Unicode détaillé, voir l'analyse complète de l'événement stéganographie ; nous reformulons ici les mécanismes essentiels dans le contexte de l'alerte NVDB :
Étape 1 : bascule du séparateur de date (signal géographique)
Si le fuseau horaire système est Asia/Shanghai ou Asia/Urumqi, le format de date passe de 2026-07-08 à 2026/07/08. L'œil humain et le LLM ne perçoivent guère la différence, mais les serveurs Anthropic peuvent l'interpréter.
Étape 2 : encodage par apostrophe Unicode (classification d'identité)
L'apostrophe de Today's alterne entre quatre caractères Unicode selon les conditions de correspondance :
| Condition de correspondance | Caractère apostrophe | Unicode |
|---|---|---|
| Par défaut (aucune correspondance) | ' apostrophe ASCII | U+0027 |
| Domaine d'institution ou revendeur chinois | ' apostrophe typographique droite | U+2019 |
| Mot-clé de laboratoire IA | ʼ apostrophe modificative | U+02BC |
| Domaine et laboratoire simultanément | ʹ prime modificative | U+02B9 |
Étape 3 : 147 règles de liste noire XOR+base64
La liste de domaines et de mots-clés est obfusquée par base64 + XOR(91), pour un total d'environ 147 règles couvrant deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai et d'autres chaînes associées aux laboratoires IA chinois. Le programme compare le nom d'hôte du proxy, les résultats DNS et d'autres informations de l'environnement utilisateur pour déterminer la combinaison Unicode à appliquer.
En résumé : il ne s'agit pas d'un téléversement classique de code source vers un serveur inconnu, mais d'une marque de classification invisible à l'œil nu insérée dans chaque prompt système, permettant au backend Anthropic d'identifier si la requête transite par un proxy lié à la Chine ou correspond à un scénario de distillation suspect.
07 · Frontière avec la télémétrie légitime : quatre distinctions
Anthropic et une partie de la presse qualifient ce mécanisme de « télémétrie anti-abus ». Du point de vue réglementaire et de la conformité entreprise, quatre éléments expliquent pourquoi il dépasse les limites de la télémétrie standard — et fondent la qualification NVDB de « risque de backdoor » :
- Absence de divulgation et de consentement éclairé. La télémétrie produit classique est documentée dans la politique de confidentialité, les conditions d'utilisation ou les paramètres, souvent avec une option de désactivation. La logique stéganographique de Claude Code, déployée en mars 2026 et exposée le 30 juin, est restée environ trois mois absente du changelog, des notes de version et de toute documentation utilisateur.
- Vecteur et protocole anormaux. La télémétrie conventionnelle transite par des champs analytics dédiés, des en-têtes HTTP ou un SDK standard ; ici, le signal est dissimulé dans les points de code Unicode de la ponctuation du prompt système — un canal dissimulé (covert channel) que pare-feu et DLP ne peuvent pas filtrer selon les règles habituelles.
- Déclenchement sélectif et asymétrique. La télémétrie standard s'applique généralement de manière uniforme (ou selon le niveau d'abonnement) ; ce mécanisme ne modifie le prompt que pour les utilisateurs ayant configuré un
ANTHROPIC_BASE_URLnon officiel — créant une surveillance asymétrique au sein d'une même version. - Obfuscation et résistance à l'analyse. La liste noire est encodée en base64+XOR(91), les apostrophes utilisent des caractères visuellement proches — une démarche clairement orientée vers l'évasion de l'analyse statique et de l'audit utilisateur, incompatible avec une détection d'abus transparente et auditable, et proche des pratiques malware-adjacent.
08 · Déclarations croisées : NVDB · Anthropic · Alibaba
| Acteur | Date | Position principale | Mesure prise |
|---|---|---|---|
| NVDB (MIIT) | 08/07/2026 | « Risque de backdoor, gravité élevée » ; transmission non consentie de données géographiques et d'identité | Recommandation d'audit, mise à jour ou désinstallation ; renforcement du contrôle des flux sortants |
| Anthropic Thariq Shihipar |
02/07/2026 | Reconnaissance d'une mesure « expérimentale » déployée en mars 2026 ; objectif : lutter contre la revente non autorisée et la distillation de modèles | Suppression annoncée dans la version du 2 juillet ; changelog sans mention explicite |
| Alibaba | Annonce 03/07 Effet 10/07 |
Évaluation globale du risque de backdoor ; inscription sur la liste des logiciels à haut risque ; interdiction de Claude Code et de l'ensemble des produits Anthropic en environnement professionnel | Désinstallation obligatoire pour tous les employés ; recommandation de Qoder comme alternative de programmation agentique |
09 · Contexte : la guerre de la distillation sino-américaine
Pour comprendre la motivation derrière la stéganographie de Claude Code, il faut la replacer dans le contexte géopolitique de l'IA au début 2026. Faits clés issus des reportages publics :
- Accusation d'Anthropic : l'équipe Qwen d'Alibaba aurait mené la plus vaste attaque de distillation jamais documentée, avec environ 25 000 faux comptes et 28,8 millions de conversations Claude entre avril et juin 2026 (CNBC, South China Morning Post, TechCrunch).
- Contre-offensive d'Alibaba : procédure contre le Département de la Défense américain pour retrait de la liste des entreprises militaires chinoises ; en parallèle, politique interne encourageant l'usage de Claude, GPT et d'autres modèles externes avec remboursement — certains développeurs consommant plusieurs centaines de dollars par semaine.
- Friction sur les contrôles à l'exportation : les modèles Anthropic comme Fable 5 sont soumis aux restrictions américaines ; les développeurs chinois recourent de plus en plus aux passerelles proxy — d'où la prévalence des
ANTHROPIC_BASE_URLnon officiels. Voir Fable 5, contrôles à l'export et alternatives. - Consensus communautaire (non officiel) : la stéganographie de Claude Code constituerait une contre-mesure anti-distillation — l'objectif est compréhensible, mais l'implémentation non divulguée, obfusquée et dissimulée dans la ponctuation a franchi la ligne rouge de la confiance des outils développeur, déclenchant la qualification réglementaire du NVDB.
10 · Vérification des faits : ce qui est confirmé, ce qui ne l'est pas
Entre l'alarmisme réglementaire et la minimisation des éditeurs, les lecteurs techniques ont besoin de distinctions précises :
| Affirmation courante | Résultat de vérification |
|---|---|
| « Tous les utilisateurs de Claude Code sont surveillés » | Inexact. Déclenchement uniquement si ANTHROPIC_BASE_URL ≠ api.anthropic.com ; connexion directe à l'API officielle non affectée |
| « Votre code source est téléversé vers un serveur inconnu » | Aucune preuve publique. Confirmé : marqueurs de classification intégrés dans le prompt système, transmis via les requêtes API normales vers les serveurs Anthropic |
| « Il s'agit d'un backdoor malveillant classique » | Partiellement exact. Le NVDB emploie le terme « backdoor » ; la communauté technique préfère « canal dissimulé » (covert channel). Pas d'exécution de code à distance ni de C2 persistant identifié |
| « Claude web est également concerné » | Non applicable. La logique stéganographique réside dans le binaire CLI de Claude Code, pas dans l'interface web Claude |
| « La v2.1.197 corrige tout définitivement » | Anthropic affirme le retrait, changelog non confirmatoire. Recommandation : v2.1.204+ et validation en environnement isolé |
| « Alibaba n'interdit que l'API, pas le client » | L'interdiction couvre le client Claude Code et l'ensemble des produits modèles Anthropic ; l'impact sur l'accès API dépend des politiques réseau internes de chaque entreprise |
11 · Tableau des versions : quoi traiter, quoi conserver
| Version | Date de publication | Logique stéganographique | Action recommandée |
|---|---|---|---|
< 2.1.91 | Avant le 02/04/2026 | Absente | Mettre à jour vers la dernière version par précaution |
| 2.1.91 – 2.1.196 | 02/04 au 29/06/2026 | Présente (périmètre NVDB) | Mise à jour ou désinstallation immédiate |
| 2.1.197 | 01/07/2026 | Retrait signalé (changelog non confirmatoire) | Mettre à jour et valider |
| 2.1.198 – 2.1.203 | 02/07 au 07/07/2026 | Absente selon les rapports | Utilisation recommandée |
| 2.1.204+ | À partir du 08/07/2026 | Absente selon les rapports | Version de référence |
12 · Formulations médiatiques comparées
| Source | Formulation clé | Angle éditorial |
|---|---|---|
| NVDB / People's Daily | « Risque de backdoor » « gravité élevée » | Conformité réglementaire, audit entreprise |
| IT之家 / Beijing News | « Mécanisme de surveillance » « transmission non consentie d'informations sensibles » | Mécanisme technique + chronologie interdiction Alibaba |
| 36Kr / 智东西 | « Première qualification officielle du MIIT » | Impact industriel, substitution locale (Qoder) |
| CNBC / China Daily | « backdoor risk » « unauthorized data transmission » | Perspective internationale, enjeux géopolitiques |
| Ars Technica | « covert tracking » « prompt steganography » | Profondeur technique, limites de confiance développeur |
| The Register | « changes software permissions without consent » (événement A) | Canal à privilèges élevés de Claude Desktop |
| TechCrunch | « distillation attack » « Alibaba ban » | Guerre de distillation et impact industriel de l'interdiction |
| Hacker News | « prompt steganography » « malware-adjacent » | Débat éthique au sein de la communauté développeur |
| thereallo.dev | « covert information channel » | Reverse engineering binaire, reconstitution au niveau fonction |
13 · Matrice d'évaluation des risques
| Contexte utilisateur | Stéganographie déclenchée ? | Risque réglementaire | Priorité d'action |
|---|---|---|---|
| API officielle + version 2.1.204+ | Non | Faible | Mises à jour de routine |
| API officielle + versions 2.1.91–2.1.196 | Non | Moyen (conformité version) | Mettre à jour vers 2.1.204+ |
| Proxy Base URL + versions 2.1.91–2.1.196 | Oui | Élevé | Mise à jour ou désinstallation immédiate |
| Proxy Base URL + version 2.1.197+ | Non selon les rapports | Moyen | Valider en environnement isolé avant usage |
| Réseau professionnel entreprise chinoise (toute version) | Selon Base URL | Élevé (conformité) | Suivre NVDB + politique interne ; envisager Qoder / Cursor |
| Employé Alibaba (après le 10/07) | — | Interdit | Désinstallation complète, migration vers Qoder |
14 · Terminal : audit de version, mise à jour et désinstallation complète
Les commandes suivantes s'exécutent dans le Terminal macOS. Sauvegardez les configurations utiles de ~/.claude avant toute désinstallation (sans y conserver de clés API en clair).
14.1 Vérifier la version installée
14.2 Auditer ANTHROPIC_BASE_URL
14.3 Mettre à jour vers la dernière version sécurisée
14.4 Désinstallation complète
15 · Checklist de conformité en sept étapes
- Inventorier les postes et les versions : exécuter
claude --versionsur chaque Mac de développeur, runner CI et nœud de build distant ; produire un registre et marquer les instances en 2.1.91–2.1.196. - Auditer ANTHROPIC_BASE_URL : inspecter les configurations shell, les coffres de secrets CI, Docker Compose et les ConfigMaps Kubernetes pour identifier tout proxy ou passerelle non officielle.
- Mettre à jour ou désinstaller immédiatement : sur les versions affectées, exécuter
npm install -g @anthropic-ai/claude-code@latestou appliquer la procédure de désinstallation complète (section 14). - Renforcer le contrôle des flux sortants : déployer des listes blanches de sortie pour les outils de développement sur les segments réseau critiques ; activer la surveillance TLS et les alertes d'anomalie.
- Évaluer les alternatives : les entreprises peuvent comparer Qoder (écosystème Alibaba), Cursor, GitHub Copilot et d'autres solutions — voir le comparatif des assistants IA de codage.
- Valider le correctif en environnement isolé : sur un nœud macOS propre, réinstaller Claude Code et effectuer un test A/B entre point de terminaison officiel et proxy ; comparer les diffs du prompt système pour confirmer l'absence de marqueurs stéganographiques.
- Mettre à jour la politique de sécurité et informer les équipes : intégrer l'alerte NVDB au processus de liste blanche logicielle interne ; notifier les employés concernés avec date limite de mise en conformité et conserver les traces d'audit.
16 · Checklist développeur individuel
Pour les développeurs indépendants, freelances et responsables techniques de petites structures — réalisable en une trentaine de minutes :
- Confirmation de version : exécuter
claude --version; si la version se situe entre 2.1.91 et 2.1.196, mettre à jour immédiatement vers 2.1.204+ ou désinstaller. - Audit Base URL : lancer
echo $ANTHROPIC_BASE_URLet rechercher dans tous les fichiers shell et.envde projet ; documenter toute utilisation de point de terminaison non officiel et le flux de données associé. - Fuseau horaire et chaîne proxy : vérifier si le fuseau est
Asia/ShanghaiouAsia/Urumqiet comprendre son interaction avec l'encodage du séparateur de date. - Nettoyage en cas de désinstallation : exécuter
npm uninstall -g @anthropic-ai/claude-codeet supprimer~/.claude. - Évaluation des alternatives : consulter le comparatif Cursor, Copilot et Gemini pour choisir un outil adapté à votre flux de travail.
- Validation isolée (recommandée) : sur un Mac de secours ou loué, reproduire le test A/B « officiel vs proxy » et conserver des captures comme preuve d'auto-audit.
17 · Checklist conformité entreprise (IT / sécurité)
Pour les équipes sécurité, IT et conformité — alignée sur l'alerte NVDB et les exigences d'audit de la chaîne d'approvisionnement :
- Inventaire des actifs : via MDM, outil de gestion de postes ou scripts Ansible, collecter en masse
claude --versionetANTHROPIC_BASE_URL; générer la liste des appareils affectés. - Mise à jour de la liste blanche logicielle : interdire l'installation des versions Claude Code 2.1.91–2.1.196 ; évaluer, à l'instar de l'interdiction Alibaba du 10 juillet, une désactivation globale des clients Anthropic.
- Politique d'egress réseau : appliquer des listes blanches de sortie API sur le VLAN de développement ; surveiller les connexions TLS vers des domaines autres que
api.anthropic.comet les résolutions DNS anormales. - Rotation des clés et configurations : si Claude API a transité par un proxy, évaluer le risque de compromission des clés et procéder à leur rotation ; nettoyer les variables Base URL dans les pipelines CI/CD.
- Communication interne et délai de mise en conformité : publier une note de sécurité précisant la qualification NVDB, la date limite et le responsable conformité ; conserver les accusés de réception.
- PoC d'alternatives : lancer des preuves de concept sur Qoder, Cursor, Copilot ou des modèles privatisés ; documenter les critères de sélection pour les audits.
- Acceptation et archivage : après validation en environnement isolé, archiver captures de version, journaux de désinstallation et tickets de modification des politiques réseau dans le dossier ISO 27001 ou équivalent.
18 · FAQ (dix questions)
Quelles versions sont visées par l'alerte NVDB ?
Claude Code v2.1.91 à v2.1.196. La v2.1.91 est sortie le 2 avril 2026, la v2.1.196 le 29 juin. Anthropic a publié la v2.1.197 les 1–2 juillet pour retirer le code concerné.
Tous les utilisateurs de Claude Code sont-ils surveillés ?
Non. Selon les rapports de reverse engineering, la stéganographie ne s'active que lorsque ANTHROPIC_BASE_URL pointe vers un point de terminaison autre que api.anthropic.com. Les utilisateurs en connexion directe à l'API officielle ne sont pas affectés.
S'agit-il d'une fuite de données ?
Aucune preuve publique n'indique un téléversement direct du code source ou des conversations. Ce qui est confirmé : des marqueurs de classification géographique et d'identité intégrés dans le prompt système — un canal dissimulé que le NVDB qualifie néanmoins de risque grave de backdoor.
Pourquoi Alibaba a-t-il interdit Claude Code ?
Début juillet 2026, après évaluation du risque de backdoor, Alibaba a inscrit l'outil sur sa liste de logiciels à haut risque et a interdit, à compter du 10 juillet, son usage en environnement professionnel, en recommandant Qoder en remplacement.
Quelle a été la réponse officielle d'Anthropic ?
Thariq Shihipar, membre de l'équipe Claude Code, a reconnu qu'il s'agissait d'une mesure expérimentale déployée en mars, visant la revente non autorisée et la distillation. Le code aurait été retiré le 2 juillet, sans mention explicite dans le changelog.
Quel est le principe technique de la stéganographie ?
Dans la ligne Today's date is..., le séparateur de date et l'apostrophe Unicode (U+0027 / U+2019 / U+02BC / U+02B9) encodent une classification, combinée à 147 règles de liste noire en base64+XOR(91).
Y a-t-il un lien avec l'injection navigateur de Claude Desktop ?
Deux incidents distincts. L'injection Native Messaging de Claude Desktop révélée en avril par Alexander Hanff constitue l'événement A ; la stéganographie du prompt système de Claude Code révélée en juin par thereallo.dev constitue l'événement B. L'alerte NVDB cible principalement l'événement B.
Comment les entreprises doivent-elles se conformer ?
Suivre les recommandations NVDB : inventorier les versions, mettre à jour ou désinstaller, renforcer le contrôle des flux sortants et la surveillance du trafic. Se référer aux sections 15 à 17 de cet article pour les checklists détaillées.
La version 2.1.197 suffit-elle ?
Anthropic affirme avoir retiré le mécanisme, mais le changelog ne le confirme pas explicitement. Nous recommandons la v2.1.204+ (au 8 juillet 2026) et une validation en environnement isolé avant toute reprise en production.
Le conflit de distillation sino-américain est-il lié ?
Oui. Anthropic accuse l'équipe Qwen d'Alibaba d'avoir mené une attaque de distillation avec environ 25 000 faux comptes et 28,8 millions de conversations. La communauté technique considère la stéganographie comme une contre-mesure anti-distillation, dont l'implémentation non divulguée a déclenché l'alerte réglementaire.
19 · Avertissement
Cet article s'appuie sur l'alerte NVDB, les reportages médiatiques publics et les rapports de reverse engineering communautaires. Il vise à aider développeurs et responsables IT à comprendre le risque et à agir en conformité. Il ne constitue ni un avis juridique ni une certification de sécurité. Les politiques d'Anthropic, les interdictions internes d'entreprise et les interprétations réglementaires peuvent évoluer — se référer aux annonces officielles les plus récentes. MacDate n'entretient aucun lien commercial avec Anthropic ou Alibaba ; les alternatives et services de location mentionnés servent uniquement à éclairer les décisions techniques.
20 · Mac isolé : le parcours de validation le plus maîtrisé
Pour produire, dans les délais de mise en conformité NVDB, une chaîne de preuves auditable — « nous avons mis à jour vers une version sécurisée, le prompt système ne contient plus de marqueur stéganographique, ANTHROPIC_BASE_URL pointe à nouveau vers le point de terminaison officiel » — il faut exécuter un test A/B complet dans un environnement macOS propre, snapshotable et destructible. Sur un MacBook principal, les contraintes sont réelles : cohabitation de plusieurs versions Node via Homebrew, tunnel VPN d'entreprise, trousseau Keychain et profils navigateur partagés peuvent rendre impossible de distinguer un résidu d'ancienne version d'une pollution de variables d'environnement ; pire, des cycles répétés d'installation/désinstallation de Claude Code peuvent déclencher la recréation du manifeste Native Messaging de l'événement A.
Il est possible d'exécuter npm install -g @anthropic-ai/claude-code sur un hôte Linux cloud, mais ce n'est qu'un parcours de validation temporaire — sans comportement natif Keychain, sans surface d'injection sous ~/Library/Application Support/, sans fidélité à l'écosystème CLI réel des développeurs macOS/iOS. Pour une conclusion reproductible, auditable et alignée sur la production, accomplir sur un Mac mini Apple Silicon loué à la journée le cycle « mise à jour → diff de prompt → désinstallation → destruction de l'environnement » coûte généralement moins de temps et de bande passante que de contaminer la machine principale. Tarification et accès SSH : guide tarifaire Mac mini M4. Si vous évaluez parallèlement la sécurité de l'orchestration agentique, croisez cette démarche avec l'incident de rançongicielle agentique JADEPUFFER sur Langflow.
21 · Sources
- NVDB / MIIT — Alerte de risque de backdoor Claude Code (08/07/2026)
- IT之家 — 工信部发布风险提示:Claude Code 存在安全后门,可能泄露用户敏感信息
- Beijing News (新京报) — 工信部监测发现 Claude Code 存安全后门隐患
- People's Daily (人民网) — Reportages sur l'alerte NVDB
- 36Kr / 智东西 — 工信部首次定调:Claude Code 危害严重 ; 突发,阿里全面禁用 Claude
- CNBC — Accusations d'Anthropic contre Alibaba sur la distillation de modèles
- China Daily — China's industry regulator flags 'backdoor' risk in Claude Code
- Ars Technica — Couverture de la stéganographie de prompt et du suivi dissimulé de Claude Code
- TechCrunch — Interdiction Alibaba et conflit de distillation
- The Register — Claude Desktop changes software permissions without consent (événement A)
- thereallo.dev — Rapport original de reverse engineering sur la stéganographie Claude Code
- Adnane Khan — Rapport de validation indépendante (v2.1.193 / 195 / 196 confirmées)
- TechTimes / Tech Startups — Correctif 2.1.197 et réponse de Shihipar
- Yicai / Wall Street CN — Interdiction Alibaba de Claude Code et alternative Qoder
- Antiy Labs (安天实验室) — Analyse des canaux navigateur à privilèges élevés de Claude Desktop
- Hacker News — Fil de discussion stéganographie Claude Code (350+ points)
Dernière mise à jour : 9 juillet 2026. Cet article sera révisé en cas de nouvelle alerte NVDB ou de communiqué de sécurité officiel d'Anthropic.