Public : développeurs utilisant Claude Code ou Claude Desktop via proxies, revendeurs ou passerelles personnalisées — et responsables sécurité qui doivent distinguer le bruit des faits reproductibles. Contenu : séparation nette entre incident A (injection Native Messaging, avril 2026) et incident B (stéganographie de prompt le 30 juin lorsque ANTHROPIC_BASE_URL n'est pas api.anthropic.com), tableau complet de correspondance Unicode des apostrophes, numéros de version cités et runbook de protection en six étapes. Sous-titre : de l'injection silencieuse dans le navigateur au canal covert caché dans une apostrophe — et ce que cela implique pour la confiance envers les éditeurs d'IA. Structure : six points de douleur, tableau comparatif des incidents, analyse technique, runbook, données chiffrées, pont Mac cloud isolé, FAQ.
Fin juin 2026, un développeur ayant reverse-engineeré Claude Code a publié sur thereallo.dev des conclusions selon lesquelles, lorsque ANTHROPIC_BASE_URL pointe ailleurs que api.anthropic.com, le CLI réécrit discrètement la ligne anodine Today's date is... dans son prompt système — en modifiant séparateurs de date et apostrophes Unicode visuellement identiques pour encoder si vous êtes dans un fuseau Chine et si votre endpoint correspond à des listes de domaines ou mots-clés labo IA obfusqués. Le fil a atteint 350+ points sur Hacker News et Reddit en quelques heures. C'est l'incident B. Ce n'est pas le même que l'incident A d'avril 2026, lorsque le consultant vie privée Alexander Hanff a rapporté dans The Register que Claude Desktop sur macOS écrit silencieusement com.anthropic.claude_browser_extension.json dans les répertoires Native Messaging de Chrome, Edge, Brave, Arc, Vivaldi, Opera et Chromium — pré-autorisant trois ID d'extension à appeler chrome-native-host hors sandbox navigateur. Le consultant indépendant Noah Kenney et Antiy Labs auraient confirmé la reproductibilité des affirmations techniques de Hanff.
Confondre les deux événements mène à de mauvaises décisions sécurité. L'un est un pont de privilèges local persistant ; l'autre, un canal de classification covert allégué dans les prompts sortants. Les deux partagent un schéma : comportement non opt-in explicitement, divulgué seulement après reverse engineering tiers — pas dans la doc produit ni les changelogs.
ANTHROPIC_BASE_URL personnalisé. Le trafic direct api.anthropic.com n'était pas altéré — point crucial pour les équipes en abonnement officiel.Définition en une ligne : ce n'est pas du keylogging classique, mais une paire de canaux coverts non divulgués allégués — pré-auth Native Messaging local plus stéganographie de prompt pour utilisateurs proxy — que les équipes sécurité doivent traiter comme incidents supply-chain et gouvernance des données jusqu'à vérification indépendante sur leurs builds.
Si vous avez déjà comparé Claude à Cursor et Copilot dans notre matrice de décision assistants IA 2026, ajoutez une ligne confiance/télémétrie. Les tableaux de parité fonctionnelle ne capturent pas si votre CLI réécrit les prompts système quand vous attachez une URL de passerelle.
Utilisez ce tableau en revue d'architecture quand quelqu'un demande « Claude Code est-il un spyware ? » sans préciser binaire, OS et route API.
| Dimension | Incident A : Claude Desktop | Incident B : Claude Code | Spyware classique | Télémétrie fournisseur divulguée |
|---|---|---|---|---|
| Produit | Claude Desktop (GUI macOS) | Claude Code (agent CLI) | Tout | Tout |
| Comportement allégué | Écrit com.anthropic.claude_browser_extension.json ; pré-auth 3 ID extension ; chrome-native-host hors sandbox ; recréation après suppression |
Réécrit Today's date is... avec échanges d'apostrophes Unicode et séparateurs de date si ANTHROPIC_BASE_URL personnalisé |
Exfiltration covert de fichiers, frappes, identifiants | Métriques d'usage documentées, crash reports, opt-out |
| Déclencheur | Installation / lancement Claude Desktop (selon Hanff) | ANTHROPIC_BASE_URL non par défaut uniquement |
Continu | Stipulé CGU / politique de confidentialité |
| Chronologie | Avril 2026 (~18/04 et suivants) | Divulgation 30/06/2026 ; retrait 2.1.197 (01/07) | N/A | N/A |
| Étiquette la plus juste | Modification non autorisée de logiciel tiers ; canal haute privilège dormant | Classification utilisateur covert non divulguée dans les prompts | Malware | Compromis accepté avec consentement |
Aucune ligne ne justifie de supprimer paniquement chaque abonnement Anthropic du jour au lendemain. Elles imposent de documenter quelle surface Anthropic chaque équipe utilise, quel chemin API chaque environnement emprunte, et ce qu'exige votre conformité quand des signaux de classification quittent le client sans notice explicite.
Le récit Anthropic 2026 plus large — financement Series H et positionnement IPO, poussée enterprise life-sciences, et restrictions export-control sur modèles frontier — rend ces incidents de confiance plus matériels, pas moins. Les acheteurs régulés et marché public demanderont si le marketing « security-first » correspond au comportement client.
Selon le rapport de reverse engineering thereallo.dev, la logique inspecte votre URL de base configurée contre des listes obfusquées. En cas de correspondance, elle encode des bits de classification dans la ligne de date du prompt système — lisible en anglais ordinaire, interprétable au niveau des points de code Unicode.
Étape 1 — séparateur de date : si le fuseau système est Asia/Shanghai ou Asia/Urumqi, le format passe des tirets aux barres obliques (par ex. 2026-06-30 devient 2026/06/30).
Étape 2 — échange d'apostrophe : l'apostrophe dans Today's devient un caractère visuellement proche selon la correspondance :
| Condition | Format date | Apostrophe | Unicode |
|---|---|---|---|
| Défaut (aucune correspondance domaine ou labo) | 2026-06-30 |
' apostrophe ASCII |
U+0027 |
| Domaine org/revendeur lié Chine | 2026-06-30 |
' guillemet simple typographique |
U+2019 |
| Mot-clé labo IA (deepseek, moonshot, zhipu, minimax, baichuan, stepfun, 01ai, etc.) | 2026-06-30 |
ʼ apostrophe lettre modificative |
U+02BC |
| Les deux domaine et mot-clé labo | 2026-06-30 |
ʹ prime lettre modificative |
U+02B9 |
+ fuseau Chine (Asia/Shanghai / Asia/Urumqi) |
2026/06/30 (séparateur slash) |
(selon palier ci-dessus) | — |
Les listes domaine et mots-clés seraient stockées en chaînes base64 XORées avec clé 91, totalisant de l'ordre de 147 règles de domaine. Pour un développeur parcourant les logs, le prompt semble de l'anglais banal. Pour un classifieur backend, un point de code d'apostrophe plus le séparateur de date révélerait usage proxy, contexte fuseau et affiliation revendeur ou labo.
Motivation (consensus communautaire, intention non prouvée) : Anthropic, OpenAI et Google ont alerté publiquement sur la distillation de modèles — concurrents récoltant sorties API pour entraîner des modèles plus petits. Revendeurs non autorisés et passerelles liées à la Chine sont des cibles plausibles. L'intention peut être défendable ; la méthode ne l'est pas. Cacher la classification dans la ponctuation, obfusquer les listes dans le binaire et omettre le changelog lors du retrait du code érode la confiance que requiert un outil développeur.
Si vous proxifiez Claude Code, capturez un fragment de prompt système et inspectez les points de code — pas le glyphe rendu :
# Coller le token "Today's" d'un prompt système capturé
token = "Today's" # remplacer par votre chaîne capturée
for ch in token:
print(repr(ch), hex(ord(ch)))
U+0027 est la baseline. U+2019, U+02BC ou U+02B9 avec une URL de base personnalisée corroborent les affirmations de reverse engineering sur builds antérieurs à 2.1.197. Associez toujours ces contrôles ponctuels au verrouillage de version et à la vérification de hash en environnement régulé.
Formulation juridique : cet article décrit un comportement allégué dans des travaux de reverse engineering et du journalisme tiers. Anthropic n'a pas publié de post-mortem technique complet sur l'incident B à la rédaction. Traitez les affirmations comme hypothèses reproductibles jusqu'à validation par votre équipe sécurité sur votre binaire et configuration exacts.
Exécutez ces étapes dans l'ordre. Ignorer l'inventaire, c'est découvrir une passerelle revendeur — et un manifeste Native Messaging — seulement après un questionnaire conformité.
ANTHROPIC_BASE_URL ou URLs proxy fournisseur.claude --version. Passez à 2.1.197 ou plus récent si vous comptez sur le build Anthropic du 1er juillet. Confirmez si la production utilise api.anthropic.com ou une passerelle tierce ; l'incident B ne s'appliquerait qu'aux URLs non par défaut.~/Library/Application Support/<Navigateur>/NativeMessagingHosts/com.anthropic.claude_browser_extension.json pour Chrome, Edge, Brave, Arc, Vivaldi, Opera et profils Chromium. Documentez contenu, ID extension et chemin chrome-native-host. Supprimez si la politique l'interdit ; attendez-vous à une recréation au redémarrage de Claude Desktop selon les rapports.Les étapes 3 et 5 sont où les clients MACCOME compressent le risque calendaire : un nœud cloud Mac Mini M4 loué peut héberger agents Claude Code dans une image macOS isolée sans toucher les profils Chrome personnels d'un portable de voyage.
Utilisez ces chiffres avec liens primaires dans mémos risque. Les dirigeants comprennent les points HN comme attention développeur ; les comités sécurité comprennent hôtes Native Messaging pré-positionnés comme surfaces d'escalade de privilèges latentes quel que soit l'exploit actuel.
Les agents IA desktop combinent accès shell, ponts navigateur et identifiants longue durée. Les exécuter sur le même MacBook que messagerie personnelle, extensions gestionnaire de mots de passe et clés API production maximise le rayon d'explosion quand un comportement fournisseur — allégué ou confirmé — franchit une ligne de confiance.
Un nœud cloud Mac Mini M4 loué dédié permet d'exécuter Claude Code avec persistance launchd, sidecars MCP et accès SSH compatible éditeurs distants — sans que Claude Desktop touche votre profil Chrome quotidien. Vous contrôlez fuseau horaire, politique URL de base et quels profils navigateur existent sur l'hôte.
Les alternatives VPS Linux économisent sur workloads CLI purs mais cassent quand vos scripts agent invoquent xcodebuild, notarisation Apple ou autres chaînes macOS-only déjà encodées dans le dépôt. La comparaison n'est pas Anthropic vs Apple ; c'est portable co-minglé vs hôte agent macOS isolé.
L'histoire stéganographie Claude Code de juin 2026 illustre des objectifs défendables mis en œuvre via dissimulation indéfendable. Anti-distillation et anti-revente sont des préoccupations sectorielles ; encoder signaux de classification dans ponctuation Unicode, obfusquer listes de règles et omettre divulgation changelog lors du retrait du code, c'est comment les éditeurs perdent la confiance développeur plus vite qu'un benchmark ne la restaure.
Les limites des alternatives évidentes sont tout aussi claires : (a) ignorer l'incident A laisse pré-auth Native Messaging sur postes macOS au privilège utilisateur complet ; (b) interdire Claude Code casse les équipes ayant standardisé hooks et workflows MCP ; (c) exécuter la même stack agent sur un portable mélangeant navigateurs personnels et secrets production amplifie l'impact au prochain comportement client non divulgué.
Quand vous avez inventorié binaires, verrouillé versions et décidé quelles URLs de base sont permises, le goulot suivant est généralement l'isolation d'hôte — pas un autre fil sur si U+02B9 compte comme spyware. Pour SSH en minutes, coût mensuel prévisible et environnement macOS où agents Claude Code tournent avec moindre privilège loin des profils navigateur quotidiens, un hôte cloud Mac Mini M4 dédié MACCOME est en général le meilleur fit : vrai Apple Silicon, uptime compatible launchd, segmentation compatible processus agent longue durée. Comparez régions et mémoire sur la page tarifs location Mac mini ; questions opérationnelles au centre d'aide location Mac mini.
Par défaut, méfiance jusqu'à comportement reproductible, documenté et désactivable. Exigez transparence plutôt que stéganographie. Et traitez chaque agent desktop comme logiciel haute privilège — car les éditeurs continueront d'apprendre cette leçon sur vos machines tant que vous n'aurez pas déplacé les agents vers des frontières que vous contrôlez.
The Register (Alexander Hanff, Native Messaging Claude Desktop, avril 2026) ; Malwarebytes, gHacks, YOOTA (suivi incident A) ; thereallo.dev (reverse engineering Claude Code original, 30 juin 2026) ; Tech Startups, TMC Insight, Developers Digest, TechTimes (couverture retrait 2.1.197) ; analyse de risque Antiy Labs (canal navigateur Claude Desktop).
FAQ
Claude Code est-il un logiciel espion ?
Pas au sens classique d'exfiltration de données, mais selon les rapports de reverse engineering, Claude Code intégrait une empreinte non divulguée et obfusquée dans les prompts système pour signaler les utilisateurs de proxies liés à la Chine lorsque ANTHROPIC_BASE_URL n'était pas api.anthropic.com. Anthropic a retiré le code en version 2.1.197. Le comportement relève d'un canal covert non divulgué plutôt que d'un spyware traditionnel.
Claude Code suit-il mon fuseau horaire ?
Selon le rapport thereallo.dev, Claude Code vérifiait Asia/Shanghai et Asia/Urumqi et basculait le séparateur de date de tirets vers barres obliques — mais uniquement avec un ANTHROPIC_BASE_URL non par défaut. Les endpoints officiels api.anthropic.com n'étaient pas modifiés.
Quelle est l'astuce Unicode de l'apostrophe ?
L'apostrophe dans Today's était alléguée échangée entre U+0027 (défaut), U+2019 (domaine lié Chine), U+02BC (mot-clé labo IA) et U+02B9 (domaine et labo) pour encoder des signaux de classification dans la ligne de date du prompt système.
Pourquoi Anthropic a-t-il ajouté cela ?
L'analyse communautaire et la discussion Hacker News suggèrent un objectif anti-distillation et de détection de revente API non autorisée — intention légitime mise en œuvre de manière alléguée cachée et obfusquée.
Est-ce la même affaire que le spyware Claude Desktop ?
Non. Incident A (avril 2026) : Claude Desktop sur macOS écrivant silencieusement manifestes Native Messaging com.anthropic.claude_browser_extension.json, divulgué par Alexander Hanff dans The Register. Incident B (30 juin 2026) : stéganographie de prompt Claude Code avec URL de base personnalisée.
Les utilisateurs réguliers de l'app web Claude sont-ils concernés ?
L'incident B ne se déclenchait que dans Claude Code lorsque ANTHROPIC_BASE_URL pointait ailleurs qu'api.anthropic.com. Utilisateurs app web officielle ou CLI endpoint par défaut : pas soumis à l'encodage Unicode de l'apostrophe décrit dans les rapports de reverse engineering.
Comment supprimer les manifestes Native Messaging Claude Desktop ?
Sur macOS, cherchez sous ~/Library/Application Support/<navigateur>/NativeMessagingHosts/ le fichier com.anthropic.claude_browser_extension.json dans profils Chrome, Edge, Brave, Arc, Vivaldi, Opera et Chromium. Supprimez si nécessaire ; selon les rapports, Claude Desktop peut recréer le fichier au redémarrage.
Quelles versions de Claude Code contenaient le code d'empreinte ?
Selon reverse engineering sur thereallo.dev, versions 2.1.193, 2.1.195 et 2.1.196 contenaient la logique. Anthropic l'a retirée en 2.1.197 publiée le 1er juillet 2026 ; le changelog public n'a pas mentionné la suppression.