Public visé : développeurs et studios créatifs sur Mac qui intègrent Claude Code dans des workflows Xcode, Swift ou pipelines agentiques ; équipes techniques passant par des passerelles d'entreprise ou des proxies API ; responsables R&D évaluant la conformité. Le 8 juillet 2026, la plateforme NVDB du ministère chinois de l'industrie et des technologies a qualifié Claude Code v2.1.91–2.1.196 de présentant une backdoor à risque grave. Ce guide couvre : chronologie complète, points clés NVDB, condition de déclenchement ANTHROPIC_BASE_URL, mécanisme de stéganographie en trois étapes, réactions des acteurs, tableau de formulations médiatiques, commandes de vérification/mise à jour/désinstallation, et checklists personnelle (six étapes) et entreprise (quatre étapes).
TL;DR — conclusion en 30 secondes
ANTHROPIC_BASE_URL pointait hors de api.anthropic.com.claude --version et echo $ANTHROPIC_BASE_URL ; mettez à jour ou désinstallez si vous êtes dans la plage affectée.Le 8 juillet 2026, le NVDB a publié un avertissement qualifiant Claude Code de présentant une backdoor à risque grave — première prise de position formelle d'un régulateur sur cet incident. Derrière une ligne de presse se cache une chaîne narrative complète : détection occulte déployée en mars → distribution à partir d'avril → exposition par reverse engineering en juin → retrait par l'éditeur en juillet → interdiction Alibaba → qualification NVDB. Si vous avez lu notre analyse technique de la stéganographie Claude Code, cet article centre la ligne réglementaire NVDB et les actions de remédiation ; les deux textes se complètent sans dupliquer l'intégralité du reverse engineering.
ANTHROPIC_BASE_URL vers un endpoint non officiel déclenchaient la logique. Confondre ces cas nuit à la crédibilité des équipes sécurité et induit de mauvaises décisions chez les développeurs en API directe.strings sur le binaire.Définition en une phrase : ce n'est pas une fuite de données confirmée à grande échelle, mais la superposition d'un mécanisme de classification occulte non divulgué + qualification réglementaire + interdiction d'un géant tech — priorité aux vérifications de version et de base URL, pas à la panique ni à l'indifférence.
Dans notre matrice de décision des assistants IA 2026, ajoutez une ligne « comportement client occulte / incident réglementaire » — les benchmarks fonctionnels ne reflètent pas une altération de system prompt sur un chemin proxy.
Selon IT之家, 新京报 et reprises internationales :
ANTHROPIC_BASE_URL comme interrupteurPoint le plus mal compris et le plus important : le mécanisme ne visait pas tous les utilisateurs de Claude Code.
Condition de déclenchement : variable ANTHROPIC_BASE_URL pointant vers un endpoint non officiel — passerelle d'entreprise, proxy tiers, revendeur API, reverse proxy interne. Les développeurs sur api.anthropic.com par défaut n'activaient pas ce chemin.
Priorité d'action :
Risque plus faible : API officielle, version à jour, pas de ANTHROPIC_BASE_URL non standard — mais vérifiez quand même : les installations npm globales dérivent souvent de version.
Trois étapes : reconnaissance d'environnement → correspondance de règles → stéganographie dans le system prompt. Table Unicode complète et scission Incident A/B dans notre article stéganographie.
Asia/Shanghai ou Asia/UrumqiANTHROPIC_BASE_URL comparé à la liste intégréeEnviron 147 entrées (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach) : domaines tech chinois, mots-clés labos IA, passerelles de revente — stockage Base64 + XOR clé 91.
2026-06-30 → 2026/06/30 si fuseau chinoisToday's, bascule entre U+0027, U+2019, U+02BC, U+02B9 selon correspondances domaine/laboSignal caché dans une phrase anglaise banale, envoyé à chaque requête API vers le serveur Anthropic.
Usage probable : détection de revente non autorisée, pipelines de distillation, contrôle de compte. Conséquence documentée le plus souvent : risque de bannissement de compte, pas de fuite de fichiers utilisateur confirmée.
Cybernews cite une partie de la communauté qualifiant l'affaire de « nothing burger » — nous présentons les formulations multiples pour un jugement informé.
Backdoor à risque grave ; surveillance sans consentement ; audit, désinstallation ou mise à niveau ; contrôle du trafic sortant.
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
Traduction des enjeux : expérience, anti-revente, anti-distillation. Contexte : lettre au Sénat américain accusant l'équipe Qwen d'Alibaba d'environ 25 000 comptes frauduleux et 28,8 millions d'interactions — voir contexte financement Anthropic.
Selon SCMP et Ars Technica : « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » Portée : Claude Code et modèles Anthropic (Sonnet, Opus, Fable) ; alternative interne Qoder.
| Source | Terme clé | Angle narratif |
|---|---|---|
| NVDB / MIIT | backdoor / risque grave | Conformité, exfiltration, injonctions officielles |
| CNBC / Reuters | security backdoor / monitoring intégré | Reprise neutre + réactions entreprises |
| The Register | code covert / stéganographie secrète | Responsabilité technique, mises à jour non divulguées |
| Ars Technica | tracking type spyware / tracker secret | Crise de confiance |
| Cybernews | « a nothing burger » | Ingénierie anti-distillation ; réaction exagérée |
| Anthropic | experiment / anti-abus / anti-distillation | Mesure défensive légitime |
Consensus communautaire : l'intention anti-distillation est défendable ; la méthode — Unicode caché, listes obfusquées, changelog muet — érode plus vite la confiance que tout benchmark.
Vérification des faits — cinq points avant décision
ANTHROPIC_BASE_URL non officiel.claude --version.| Type | Version | Date | Note |
|---|---|---|---|
| Première version avec logique occulte | v2.1.91 | 2026-04-02 | Début de distribution |
| Versions vérifiées par reverse engineering | v2.1.193 / 2.1.195 / 2.1.196 | juin 2026 | Confirmées par Adnane Khan, Thereallo |
| Dernière version affectée | v2.1.196 | 2026-06-29 | Plafond NVDB |
| Version corrigée | v2.1.197+ | 2026-07-01/02 | Code retiré ; changelog muet |
| Condition | Format date | Apostrophe | Unicode |
|---|---|---|---|
| Défaut | 2026-06-30 |
' ASCII |
U+0027 |
| Domaine revendeur lié Chine | 2026-06-30 |
apostrophe typographique | U+2019 |
| Mot-clé labo IA (deepseek, moonshot, zhipu…) | 2026-06-30 |
ʼ |
U+02BC |
| Domaine + labo | 2026-06-30 |
ʹ |
U+02B9 |
| + fuseau Chine | 2026/06/30 |
(selon niveau ci-dessus) | — |
# 1. Vérifier la version Claude Code claude --version # 2. Vérifier un endpoint proxy déclencheur echo $ANTHROPIC_BASE_URL # 3. Mise à jour via npm global npm install -g @anthropic-ai/claude-code@latest # 4. Ou via la commande intégrée claude update
Résidus à supprimer pour désinstallation complète :
~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code%USERPROFILE%En entreprise : auditer le trafic sortant des postes de développement.
claude --version — si 2.1.91–2.1.196, marquer haut risque.echo $ANTHROPIC_BASE_URL — non vide et hors api.anthropic.com = chemin proxy historique.~/.claude*.ANTHROPIC_BASE_URL.L'incident illustre un objectif défendable atteint par un moyen indéfendable — NVDB dit backdoor, Anthropic dit expérience, la communauté dit stéganographie. Cette tension résume les risques supply-chain des outils IA en 2026.
Pour les studios créatifs et équipes Apple, les limites sont claires : (a) interdiction panique casse les hooks MCP déjà standardisés ; (b) ignorer version et base URL expose un écart en audit ; (c) faire tourner un agent à privilèges élevés sur le même MacBook que Safari personnel, clés App Store Connect et profils Chrome maximise le rayon d'explosion.
Après mise à jour, politique base URL et audit egress, le goulot devient le placement de l'hôte. Un Mac de développement convient à l'expérimentation ; un agent 24/7 mérite un nœud macOS dédié : pas de veille intempestive, launchd stable, réseau segmenté.
Pour SSH en minutes, coût mensuel prévisible et un environnement macOS où Claude Code reste isolé des navigateurs et clés de production, un Mac Mini M4 cloud MACCOME est souvent le meilleur compromis : Apple Silicon réel, uptime compatible agents, politique base URL et fuseau indépendante. Tarifs : page tarifs Mac Mini ; support : centre d'aide.
Exigez transparence, pas stéganographie. Traitez chaque agent CLI comme un logiciel à privilèges élevés — et déplacez-le dans une frontière que vous contrôlez.
Avertissement : analyse basée sur sources publiques NVDB, Anthropic, recherche indépendante et presse — ne constitue pas un avis juridique ni un audit sécurité. Les conclusions de reverse engineering restent des hypothèses reproductibles jusqu'à validation sur votre build.
FAQ
Claude Code contient-il vraiment une backdoor ?
En v2.1.91–2.1.196, logique de stéganographie non divulguée. NVDB : backdoor à risque grave ; Shihipar : expérience anti-distillation, retirée en v2.1.197. Terme technique précis : canal covert.
Quelles versions sont concernées ?
v2.1.91 (2 avril) à v2.1.196 (29 juin). Mettez à jour vers 2.1.197+. Tableau : section versions.
L'API officielle api.anthropic.com est-elle concernée ?
Non. Déclenchement uniquement si ANTHROPIC_BASE_URL pointe vers un proxy non officiel. Voir qui est concerné.
Comment vérifier ma version ?
claude --version ou npm list -g @anthropic-ai/claude-code. Si 2.1.91–2.1.196 : commandes de mise à jour.
Dois-je désinstaller Claude Code ?
Mettez à jour en priorité. Entreprises conformes : désinstallation + audit egress. Risque moindre si API directe et version à jour.
Quelle stéganographie était utilisée ?
Altération de Today's date is... : séparateur - → / ; apostrophes U+0027/U+2019/U+02BC/U+02B9. Détails : article stéganographie.
Pourquoi Alibaba a-t-il interdit Claude Code ?
Logiciel haut risque ; interdiction interne 10 juillet 2026 ; migration Qoder.
Anthropic l'a-t-il documenté dans les release notes ?
Non. Changelog muet sur toute la plage 2.1.91–2.1.196 ; retrait en 2.1.197 non annoncé clairement.
Claude Code est-il sûr aujourd'hui ?
Code retiré en 2.1.197+. Décision selon tolérance au risque. Isolation macOS : location Mac Mini MACCOME.
Lien avec la distillation de modèles ?
Anthropic cible revente et distillation ; accusation Qwen ~25 000 comptes. Contexte : financement Anthropic.