Claude Code backdoor expliqué (v2.1.91–2.1.196) : stéganographie, versions concernées et guide développeur

Environ 18 min de lecture · MACCOME

Public visé : développeurs et studios créatifs sur Mac qui intègrent Claude Code dans des workflows Xcode, Swift ou pipelines agentiques ; équipes techniques passant par des passerelles d'entreprise ou des proxies API ; responsables R&D évaluant la conformité. Le 8 juillet 2026, la plateforme NVDB du ministère chinois de l'industrie et des technologies a qualifié Claude Code v2.1.91–2.1.196 de présentant une backdoor à risque grave. Ce guide couvre : chronologie complète, points clés NVDB, condition de déclenchement ANTHROPIC_BASE_URL, mécanisme de stéganographie en trois étapes, réactions des acteurs, tableau de formulations médiatiques, commandes de vérification/mise à jour/désinstallation, et checklists personnelle (six étapes) et entreprise (quatre étapes).

bolt

TL;DR — conclusion en 30 secondes

  • Qualification réglementaire : le NVDB avertit le 8 juillet qu'une logique de surveillance non divulguée pouvait renvoyer des signaux de localisation et d'identité ; action immédiate recommandée.
  • Versions concernées : v2.1.91 (2 avril 2026) à v2.1.196 (29 juin 2026) ; correctif en v2.1.197+ (1–2 juillet).
  • Limite essentielle : le mécanisme ne s'appliquait pas à tous les utilisateurs — uniquement si ANTHROPIC_BASE_URL pointait hors de api.anthropic.com.
  • Réaction entreprise : Alibaba interdit Claude Code et les modèles Anthropic en interne à partir du 10 juillet, migration vers Qoder.
  • Action immédiate : exécutez claude --version et echo $ANTHROPIC_BASE_URL ; mettez à jour ou désinstallez si vous êtes dans la plage affectée.

Six tensions : de l'exposition Reddit à la qualification NVDB

Le 8 juillet 2026, le NVDB a publié un avertissement qualifiant Claude Code de présentant une backdoor à risque grave — première prise de position formelle d'un régulateur sur cet incident. Derrière une ligne de presse se cache une chaîne narrative complète : détection occulte déployée en mars → distribution à partir d'avril → exposition par reverse engineering en juin → retrait par l'éditeur en juillet → interdiction Alibaba → qualification NVDB. Si vous avez lu notre analyse technique de la stéganographie Claude Code, cet article centre la ligne réglementaire NVDB et les actions de remédiation ; les deux textes se complètent sans dupliquer l'intégralité du reverse engineering.

  1. Sensationnalisme vs faits techniques : de nombreux médias ont titré « Claude Code surveille tous les utilisateurs chinois », alors que le consensus reverse engineering indique : seuls ceux qui configurent ANTHROPIC_BASE_URL vers un endpoint non officiel déclenchaient la logique. Confondre ces cas nuit à la crédibilité des équipes sécurité et induit de mauvaises décisions chez les développeurs en API directe.
  2. Près de trois mois sans divulgation : la logique est distribuée depuis le v2.1.91 du 2 avril, persiste sur une vingtaine de versions, jamais mentionnée dans un changelog. Retirée silencieusement en v2.1.197, sans annonce claire — la stratégie « faire confiance mais vérifier » échoue ici.
  3. Stéganographie, pas télémétrie classique : pas de canal d'exfiltration dédié, mais altération du system prompt — ligne de date et apostrophes Unicode visuellement identiques. Adnane Khan la qualifie de canal covert intégré au prompt système.
  4. 147 règles obfusquées : liste de domaines et mots-clés de laboratoires IA stockée en Base64 + XOR(91), couvrant Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax, etc. — invisible à un simple strings sur le binaire.
  5. Comportement occulte sur un outil à privilèges élevés : Claude Code lit/écrit le filesystem, exécute des shells, intègre MCP. Sur un MacBook de studio créatif mêlant projets Xcode, clés App Store Connect et navigation personnelle, une empreinte non divulguée relève d'un risque backdoor, pas d'une collecte usage banale.
  6. Réaction entreprise concrète : Reuters et TechCrunch rapportent l'interdiction Alibaba à partir du 10 juillet. Les responsables qui classent encore Claude Code comme « outil personnel » risquent un écart d'audit brutal.

Définition en une phrase : ce n'est pas une fuite de données confirmée à grande échelle, mais la superposition d'un mécanisme de classification occulte non divulgué + qualification réglementaire + interdiction d'un géant tech — priorité aux vérifications de version et de base URL, pas à la panique ni à l'indifférence.

Dans notre matrice de décision des assistants IA 2026, ajoutez une ligne « comportement client occulte / incident réglementaire » — les benchmarks fonctionnels ne reflètent pas une altération de system prompt sur un chemin proxy.

Chronologie complète : février — 10 juillet 2026

  • Février 2026 : Anthropic annonce des investissements anti-distillation (classifieurs, empreintes comportementales, partage de renseignements).
  • Mars 2026 : déploiement interne silencieux du mécanisme de détection, sans divulgation publique.
  • 2 avril 2026 : publication de v2.1.91, début de la distribution du code de détection.
  • 2 avril — 29 juin : ~20 versions intermédiaires, logique persistante, changelog muet.
  • 29 juin 2026 : v2.1.196 — dernière version de la plage affectée.
  • 30 juin 2026 : Reddit — LegitMichel777 expose la logique ; Thereallo publie sur thereallo.dev ; Adnane Khan confirme v2.1.193/195/196.
  • 1er juillet 2026 : Thariq Shihipar (Anthropic) reconnaît l'« expérience » de mars, promet retrait le lendemain.
  • 2 juillet 2026 : v2.1.197 retire le code ; changelog sans mention explicite.
  • 3–4 juillet 2026 : Reuters, TechCrunch — Alibaba interdit Claude Code à partir du 10 juillet, orientation Qoder.
  • 8 juillet 2026 : avertissement officiel NVDB — backdoor à risque grave.
  • 10 juillet 2026 : interdiction Alibaba effective.

Points clés de l'avis NVDB

Selon IT之家, 新京报 et reprises internationales :

  • Nature du risque : mécanisme de surveillance intégré pouvant renvoyer des informations sensibles sans consentement.
  • Données concernées : localisation, identifiants — alignés narrativement avec les signaux fuseau/proxy/labo encodés par stéganographie.
  • Versions : v2.1.91 à v2.1.196 (2 avril — 29 juin 2026).
  • Recommandations : audit des postes de dev → désinstallation ou mise à niveau immédiate → renforcement du contrôle et de la surveillance du trafic sortant.
  • Formulation : « backdoor à risque grave » — tension avec le récit Anthropic d'« expérience ».

Qui est réellement concerné : ANTHROPIC_BASE_URL comme interrupteur

Point le plus mal compris et le plus important : le mécanisme ne visait pas tous les utilisateurs de Claude Code.

Condition de déclenchement : variable ANTHROPIC_BASE_URL pointant vers un endpoint non officiel — passerelle d'entreprise, proxy tiers, revendeur API, reverse proxy interne. Les développeurs sur api.anthropic.com par défaut n'activaient pas ce chemin.

Priorité d'action :

  • Équipes passant par revendeurs ou agrégateurs API
  • DevOps avec base URL personnalisée en CI/CD ou sur hôtes agent
  • Organisations avec proxy de conformité centralisé
  • Toute machine en 2.1.91–2.1.196 non mise à jour vers 2.1.197+

Risque plus faible : API officielle, version à jour, pas de ANTHROPIC_BASE_URL non standard — mais vérifiez quand même : les installations npm globales dérivent souvent de version.

Mécanisme technique : reconnaissance, 147 règles, stéganographie

Trois étapes : reconnaissance d'environnement → correspondance de règles → stéganographie dans le system prompt. Table Unicode complète et scission Incident A/B dans notre article stéganographie.

Étape 1 — Reconnaissance

  1. Fuseau horaire : Asia/Shanghai ou Asia/Urumqi
  2. Liste noire de domaines : hostname de ANTHROPIC_BASE_URL comparé à la liste intégrée

Environ 147 entrées (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach) : domaines tech chinois, mots-clés labos IA, passerelles de revente — stockage Base64 + XOR clé 91.

Étape 2 — Encodage stéganographique (~3 bit)

  • Séparateur de date : 2026-06-302026/06/30 si fuseau chinois
  • Apostrophe Unicode : dans Today's, bascule entre U+0027, U+2019, U+02BC, U+02B9 selon correspondances domaine/labo

Signal caché dans une phrase anglaise banale, envoyé à chaque requête API vers le serveur Anthropic.

Étape 3 — Classification côté serveur (inférée)

Usage probable : détection de revente non autorisée, pipelines de distillation, contrôle de compte. Conséquence documentée le plus souvent : risque de bannissement de compte, pas de fuite de fichiers utilisateur confirmée.

Quatre différences avec la télémétrie ordinaire

  1. Canal : stéganographie dans le system prompt, pas SDK télémétrie documenté
  2. Divulgation : ~3 mois sans changelog, retrait silencieux
  3. Ciblage : empreinte géographique et concurrentielle, pas métriques d'usage agrégées
  4. Contexte de privilèges : filesystem, shell, MCP — tolérance moindre au comportement invisible

Cybernews cite une partie de la communauté qualifiant l'affaire de « nothing burger » — nous présentons les formulations multiples pour un jugement informé.

Prises de position : NVDB, Anthropic, Alibaba

NVDB / MIIT

Backdoor à risque grave ; surveillance sans consentement ; audit, désinstallation ou mise à niveau ; contrôle du trafic sortant.

Anthropic / Thariq Shihipar

format_quote

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Traduction des enjeux : expérience, anti-revente, anti-distillation. Contexte : lettre au Sénat américain accusant l'équipe Qwen d'Alibaba d'environ 25 000 comptes frauduleux et 28,8 millions d'interactions — voir contexte financement Anthropic.

Alibaba (10 juillet 2026)

Selon SCMP et Ars Technica : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » Portée : Claude Code et modèles Anthropic (Sonnet, Opus, Fable) ; alternative interne Qoder.

Formulations médiatiques : backdoor, expérience, stéganographie

Source Terme clé Angle narratif
NVDB / MIIT backdoor / risque grave Conformité, exfiltration, injonctions officielles
CNBC / Reuters security backdoor / monitoring intégré Reprise neutre + réactions entreprises
The Register code covert / stéganographie secrète Responsabilité technique, mises à jour non divulguées
Ars Technica tracking type spyware / tracker secret Crise de confiance
Cybernews « a nothing burger » Ingénierie anti-distillation ; réaction exagérée
Anthropic experiment / anti-abus / anti-distillation Mesure défensive légitime

Contexte : guerre de distillation IA Chine–États-Unis 2026

  • Anthropic restreint l'accès direct depuis la Chine ; contournement via VPN, paiement étranger, proxies
  • Février 2026 : publication académique sur des traces de distillation dans des modèles chinois majeurs
  • Accusations contre DeepSeek, Moonshot, MiniMax, Alibaba ; Qwen : ~25 000 comptes, 28,8 M interactions
  • Opus 4.8 s'identifiant parfois comme Qwen/DeepSeek — critique de double standard
  • Accélération des stacks domestiques ; Qoder chez Alibaba comme pivot outillage dev

Consensus communautaire : l'intention anti-distillation est défendable ; la méthode — Unicode caché, listes obfusquées, changelog muet — érode plus vite la confiance que tout benchmark.

fact_check

Vérification des faits — cinq points avant décision

  • Pas de surveillance universelle : uniquement ANTHROPIC_BASE_URL non officiel.
  • Version correctrice : majorité des sources cite v2.1.197 ; certains médias chinois v2.1.198 — retenir « 2.1.197+ ».
  • « Backdoor » = qualification réglementaire : chercheurs parlent de canal covert ; Anthropic d'expérience.
  • Conséquence principale : contrôle de compte, pas fuite de données confirmée à grande échelle.
  • Dates de version : micro-écarts médiatiques sur v2.1.196 — se fier à claude --version.

Tableau des versions

Type Version Date Note
Première version avec logique occulte v2.1.91 2026-04-02 Début de distribution
Versions vérifiées par reverse engineering v2.1.193 / 2.1.195 / 2.1.196 juin 2026 Confirmées par Adnane Khan, Thereallo
Dernière version affectée v2.1.196 2026-06-29 Plafond NVDB
Version corrigée v2.1.197+ 2026-07-01/02 Code retiré ; changelog muet

Table de correspondance Unicode des apostrophes

Condition Format date Apostrophe Unicode
Défaut 2026-06-30 ' ASCII U+0027
Domaine revendeur lié Chine 2026-06-30 apostrophe typographique U+2019
Mot-clé labo IA (deepseek, moonshot, zhipu…) 2026-06-30 ʼ U+02BC
Domaine + labo 2026-06-30 ʹ U+02B9
+ fuseau Chine 2026/06/30 (selon niveau ci-dessus)

Commandes : version, base URL, mise à jour, désinstallation

bash
# 1. Vérifier la version Claude Code
claude --version

# 2. Vérifier un endpoint proxy déclencheur
echo $ANTHROPIC_BASE_URL

# 3. Mise à jour via npm global
npm install -g @anthropic-ai/claude-code@latest

# 4. Ou via la commande intégrée
claude update

Résidus à supprimer pour désinstallation complète :

  • macOS / Linux : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code
  • Windows : équivalents sous %USERPROFILE%

En entreprise : auditer le trafic sortant des postes de développement.

Checklist : six étapes personnelles, quatre étapes entreprise

Développeur individuel (six étapes)

  1. Version : claude --version — si 2.1.91–2.1.196, marquer haut risque.
  2. Base URL : echo $ANTHROPIC_BASE_URL — non vide et hors api.anthropic.com = chemin proxy historique.
  3. Mise à jour : cible v2.1.197+.
  4. Désinstallation optionnelle : npm uninstall + suppression ~/.claude*.
  5. Inspection prompt (optionnel) : capturer un fragment system prompt sur compte test — voir article stéganographie.
  6. Décision outillage : isoler l'agent hors MacBook quotidien (voir conclusion).

IT / sécurité entreprise (quatre étapes)

  1. Inventaire : scanners postes, CI runners, hôtes agent ; exporter configs ANTHROPIC_BASE_URL.
  2. Remédiation version : forcer 2.1.197+ ou désinstaller selon NVDB ; MDM anti-retour arrière.
  3. Audit egress : logs sortants, domaines de revente connus.
  4. Fournisseurs : mise à jour liste blanche IA ; dimension « incident réglementaire » dans la matrice assistants.

Trois données pour brief sécurité

  • 147 règles Base64+XOR(91), retirées en v2.1.197 — infrastructure délibérée.
  • 350+ votes HN, 100+ commentaires le 30 juin — ampleur supply-chain, pas rumeur de forum.
  • 10 juillet 2026 : interdiction Alibaba effective — action supply-chain réelle.

Conclusion : MacBook quotidien vs hôte agent isolé

L'incident illustre un objectif défendable atteint par un moyen indéfendable — NVDB dit backdoor, Anthropic dit expérience, la communauté dit stéganographie. Cette tension résume les risques supply-chain des outils IA en 2026.

Pour les studios créatifs et équipes Apple, les limites sont claires : (a) interdiction panique casse les hooks MCP déjà standardisés ; (b) ignorer version et base URL expose un écart en audit ; (c) faire tourner un agent à privilèges élevés sur le même MacBook que Safari personnel, clés App Store Connect et profils Chrome maximise le rayon d'explosion.

Après mise à jour, politique base URL et audit egress, le goulot devient le placement de l'hôte. Un Mac de développement convient à l'expérimentation ; un agent 24/7 mérite un nœud macOS dédié : pas de veille intempestive, launchd stable, réseau segmenté.

Pour SSH en minutes, coût mensuel prévisible et un environnement macOS où Claude Code reste isolé des navigateurs et clés de production, un Mac Mini M4 cloud MACCOME est souvent le meilleur compromis : Apple Silicon réel, uptime compatible agents, politique base URL et fuseau indépendante. Tarifs : page tarifs Mac Mini ; support : centre d'aide.

Exigez transparence, pas stéganographie. Traitez chaque agent CLI comme un logiciel à privilèges élevés — et déplacez-le dans une frontière que vous contrôlez.

Sources

gavel

Avertissement : analyse basée sur sources publiques NVDB, Anthropic, recherche indépendante et presse — ne constitue pas un avis juridique ni un audit sécurité. Les conclusions de reverse engineering restent des hypothèses reproductibles jusqu'à validation sur votre build.

FAQ

Claude Code contient-il vraiment une backdoor ?

En v2.1.91–2.1.196, logique de stéganographie non divulguée. NVDB : backdoor à risque grave ; Shihipar : expérience anti-distillation, retirée en v2.1.197. Terme technique précis : canal covert.

Quelles versions sont concernées ?

v2.1.91 (2 avril) à v2.1.196 (29 juin). Mettez à jour vers 2.1.197+. Tableau : section versions.

L'API officielle api.anthropic.com est-elle concernée ?

Non. Déclenchement uniquement si ANTHROPIC_BASE_URL pointe vers un proxy non officiel. Voir qui est concerné.

Comment vérifier ma version ?

claude --version ou npm list -g @anthropic-ai/claude-code. Si 2.1.91–2.1.196 : commandes de mise à jour.

Dois-je désinstaller Claude Code ?

Mettez à jour en priorité. Entreprises conformes : désinstallation + audit egress. Risque moindre si API directe et version à jour.

Quelle stéganographie était utilisée ?

Altération de Today's date is... : séparateur -/ ; apostrophes U+0027/U+2019/U+02BC/U+02B9. Détails : article stéganographie.

Pourquoi Alibaba a-t-il interdit Claude Code ?

Logiciel haut risque ; interdiction interne 10 juillet 2026 ; migration Qoder.

Anthropic l'a-t-il documenté dans les release notes ?

Non. Changelog muet sur toute la plage 2.1.91–2.1.196 ; retrait en 2.1.197 non annoncé clairement.

Claude Code est-il sûr aujourd'hui ?

Code retiré en 2.1.197+. Décision selon tolérance au risque. Isolation macOS : location Mac Mini MACCOME.

Lien avec la distillation de modèles ?

Anthropic cible revente et distillation ; accusation Qwen ~25 000 comptes. Contexte : financement Anthropic.