Alerte NVDB : risque de backdoor Claude Code (2.1.91–2.1.196) — analyse technique et guide de remédiation pour développeurs

Le 8 juillet 2026, la plateforme chinoise NVDB (Network Vulnerability Database) a alerté sur un risque de backdoor grave dans Anthropic Claude Code, versions v2.1.91–2.1.196. Si vous utilisez des outils de codage IA, exécutez immédiatement claude --version. Cet article reconstitue la chronologie, explique la stéganographie dans les system prompts, compare les prises de position NVDB, Anthropic et Alibaba, situe le contexte de distillation USA-Chine, et fournit checklists, runbook en cinq étapes et dix FAQ.

Terminal affichant la vérification de version Claude Code, symbole de conformité sécurité des outils IA
À retenir :

Table des matières

I. Enjeu : qualification réglementaire vs détails techniques — les formulations erronées nuisent à la crédibilité

  1. Clickbait : « Claude Code surveille tous les utilisateurs » — faux. Seuls ceux qui configurent ANTHROPIC_BASE_URL vers un endpoint non officiel déclenchent le mécanisme.
  2. Backdoor vs expérience : le NVDB parle de « risque de backdoor grave » ; Anthropic d'« anti-abus / anti-distillation » ; les ingénieurs de « canal covert stéganographique ».
  3. Fenêtre de conformité : alerte NVDB le 8 juillet, interdiction Alibaba le 10 — les équipes IT doivent inventorier versions et egress en quelques jours.

La chaîne narrative : Anthropic intègre une détection ciblant les utilisateurs chinois → reverse engineering → excuses et rollback → interdiction Alibaba → alerte backdoor NVDB.

II. Synthèse de l'incident

Le 8 juillet 2026, le NVDB a publié une alerte sur Claude Code d'Anthropic, qualifiée de risque de backdoor grave.

ÉlémentContenu
NatureMécanisme de surveillance intégré sans consentement
Données renvoyéesRégion, identifiants et informations sensibles similaires
Versions concernéesv2.1.91 à v2.1.196
Période2 avril au 29 juin 2026
RecommandationDésinstaller ou mettre à jour ; renforcer le contrôle du trafic sortant
EntreprisesAlibaba et d'autres ont restreint l'usage
ÉditeurAnthropic : « expérimental », anti-distillation, retrait dans les versions récentes

III. Chronologie complète

DateÉvénement
Fév. 2026Anthropic annonce des investissements anti-distillation (classificateurs, empreintes)
Mars 2026Mécanisme de détection discret en production interne, sans divulgation
2026-04-02v2.1.91 — première version distribuant le code discret
Avr.–juin 2026~20 versions, logique maintenue, aucune mention au changelog
2026-06-29v2.1.196 — dernière version concernée
2026-06-30Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) documentent la stéganographie
2026-07-01Thariq Shihipar (Anthropic) reconnaît l'expérience, promet un rollback
2026-07-02v2.1.197 (parfois 2.1.198) — code retiré, changelog silencieux
2026-07-03/04Reuters/TechCrunch : Alibaba interdit Claude Code dès le 10 juillet, bascule Qoder
2026-07-08Le NVDB publie l'alerte backdoor
2026-07-10Interdiction interne Alibaba effective

IV. Qui est réellement concerné : condition de déclenchement

Le mécanisme ne s'applique pas à tous. Il s'active uniquement si ANTHROPIC_BASE_URL pointe vers un endpoint non officiel (passerelle entreprise, proxy, revente API). Les utilisateurs de api.anthropic.com ne déclenchent pas ce chemin.

La conséquence la plus probable est un risque de bannissement de compte, pas une fuite de données confirmée — l'accent doit rester sur la surveillance non divulguée et la conformité.

V. Mécanisme technique en détail

5.1 Reconnaissance de l'environnement

  1. Fuseau horaire : Asia/Shanghai ou Asia/Urumqi
  2. Liste noire de domaines : comparaison du hostname de ANTHROPIC_BASE_URL

Reverse engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach) : 147 entrées — géants tech chinois, mots-clés labos IA (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI, etc.) et passerelles proxy connues. Chiffrement XOR (clé 91) + Base64.

5.2 Stéganographie dans le system prompt

Pas de canal télémétrie séparé — altération du system prompt :

Adnane Khan : « a covert information channel embedded in system prompts ».

5.3 Distinction avec la télémétrie normale

  1. Stéganographie plutôt que télémétrie transparente
  2. ~3 mois sans divulgation au changelog
  3. Empreinte ciblée par région et concurrents
  4. Outil à privilèges fichiers et shell — attente de transparence plus élevée

5.4 Versions et commandes

TypeVersionDate
Première avec mécanismev2.1.912026-04-02
Dernière concernéev2.1.1962026-06-29
Correctifv2.1.197 (parfois 2.1.198)2026-07-01/02
# Vérifier la version claude --version # Vérifier le proxy echo $ANTHROPIC_BASE_URL # Mise à niveau npm install -g @anthropic-ai/claude-code@latest claude update

Désinstallation : macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code ; Windows — %USERPROFILE%\.claude et cache. Entreprises : audit egress sur postes de dev.

Chiffres clés : 147 domaines en liste noire ; ~20 versions non documentées ; 3 bits de stéganographie (1 bit date + 3 variantes d'apostrophe).

VI. Prises de position comparées

6.1 NVDB / MIIT

6.2 Anthropic / Thariq Shihipar

"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."

Qualifié d'« expérience », pas de « backdoor ». Contexte : Anthropic accuse Qwen d'Alibaba d'environ 25 000 comptes frauduleux et 28,8 millions d'interactions.

6.3 Alibaba

6.4 Vocabulaire des médias

SourceTermeAngle
NVDB / MIITbackdoor / severe threatConformité, exfiltration
CNBC / Reuterssecurity backdoor / monitoringRégulation + réaction entreprise
The Registercovert code / secret steganographyTechnique + responsabilité
Ars Technicaspyware-like trackingCrise de confiance
Cybernews« a nothing burger »Sur-réaction vs anti-distillation
Anthropicexperiment / anti-distillationBut défensif

VII. Contexte : guerre de distillation IA USA-Chine

VIII. Vérification des faits

  1. ⚠️ Tous les utilisateurs ne sont pas concernés — seulement avec ANTHROPIC_BASE_URL non officiel
  2. ⚠️ Version correctif : surtout v2.1.197, parfois 2.1.198 — recommander « 2.1.197+ »
  3. ⚠️ « Backdoor » est une qualification réglementaire, pas la seule technique
  4. ⚠️ Conséquence : risque de bannissement, pas de fuite confirmée
  5. ⚠️ Écarts de dates — changelog GitHub comme référence

IX. Matrice de décision

ScénarioDéclenchement ?ActionRisque
api.anthropic.com officielNonMettre à jour vers 2.1.197+ quand mêmeFaible
Proxy entreprise avec BASE_URLOuiMettre à jour/désinstaller ; auditer egressÉlevé
Fuseau Chine + proxyOui (double signal)Mise à niveau + alternatives (Qoder/Cursor)Élevé
Employé AlibabaRespecter l'interdiction interne, QoderConformité
Déjà v2.1.197+NonSurveiller transparence changelogMoyen

X. Checklists développeur et IT

Développeur individuel

IT entreprise

XI. Runbook en cinq étapes

  1. Version : claude --version ou npm list -g @anthropic-ai/claude-code.
  2. Endpoint : echo $ANTHROPIC_BASE_URL — tout sauf api.anthropic.com = priorité haute.
  3. Mise à niveau/désinstallation : npm install -g @anthropic-ai/claude-code@latest ou claude update ; supprimer ~/.claude.
  4. Audit egress (entreprise) : endpoints IA non autorisés sur postes de dev.
  5. Alternatives : Qoder, Cursor ou Mac cloud isolé pour workflows agent.

XII. FAQ

Q1 : Claude Code contient-il une backdoor ?

En v2.1.91–2.1.196 : stéganographie non divulguée. NVDB : risque grave ; Anthropic : expérience, retirée en v2.1.197.

Q2 : Quelles versions ?

v2.1.91 (2 avr. 2026) à v2.1.196 (29 juin 2026). Mise à jour v2.1.197+.

Q3 : API officielle surveillée ?

Non — seulement avec ANTHROPIC_BASE_URL non officiel.

Q4 : Vérifier la version ?

claude --version dans le terminal.

Q5 : Désinstaller ?

Versions concernées : mise à jour immédiate ; entreprises : désinstallation et audit egress en plus.

Q6 : Stéganographie ?

Séparateur de date et apostrophes Unicode dans le system prompt encodent les flags.

Q7 : Alibaba ?

Logiciel à haut risque, interdiction dès le 10 juillet, bascule Qoder.

Q8 : Changelog ?

Aucune divulgation dans versions concernées ou correctif.

Q9 : Sûr maintenant ?

v2.1.197+ sans le code ; usage selon politique de risque.

Q10 : Distillation ?

Anthropic : anti-revente/distillation ; accusation Qwen ~25 000 comptes.

XIII. Conclusion et avertissement

Trois fils à fusionner : régulation + technique stéganographique + contexte distillation. Pragmatique : vérifier version → vérifier endpoint → mettre à jour/désinstaller → auditer egress.

Exécuter Claude Code sur un PC non isolé ou VPS Linux pose des risques de transparence, egress et secrets. Pour scénarios conformité ou agents 7×24, un nœud Mac cloud VPSMAC M4 isole physiquement les workflows IA — SSH seul point d'entrée, clés API séparées des actifs de production, launchd pour stabilité, toolchain Xcode/Apple complète. Pour les équipes remplaçant Claude Code sans sacrifier l'expérience macOS native, c'est plus auditable qu'un VPS générique.

Avertissement : basé sur l'alerte NVDB et rapports publics ; pas un avis juridique ni un audit sécurité. Évaluez les mesures selon votre politique de sécurité.

XIV. Sources