Alerte NVDB : risque de backdoor Claude Code (2.1.91–2.1.196) — analyse technique et guide de remédiation pour développeurs
Le 8 juillet 2026, la plateforme chinoise NVDB (Network Vulnerability Database) a alerté sur un risque de backdoor grave dans Anthropic Claude Code, versions v2.1.91–2.1.196. Si vous utilisez des outils de codage IA, exécutez immédiatement claude --version. Cet article reconstitue la chronologie, explique la stéganographie dans les system prompts, compare les prises de position NVDB, Anthropic et Alibaba, situe le contexte de distillation USA-Chine, et fournit checklists, runbook en cinq étapes et dix FAQ.
- Qualification réglementaire : le NVDB signale un mécanisme intégré pouvant renvoyer région et identifiants sans consentement.
- Versions concernées : v2.1.91 (2 avr.) à v2.1.196 (29 juin) ; correctif dès v2.1.197+.
- Déclencheur : uniquement si
ANTHROPIC_BASE_URLpointe vers un endpoint non officiel — pas les utilisateurs API officielle. - Ripple entreprise : Alibaba interdit Claude Code dès le 10 juillet, bascule vers Qoder.
- Action immédiate : mise à niveau ou désinstallation → nettoyage local → audit du trafic sortant.
Table des matières
- I. Enjeu : régulation vs technique
- II. Synthèse de l'incident
- III. Chronologie complète
- IV. Qui est réellement concerné
- V. Mécanisme technique
- VI. Prises de position comparées
- VII. Contexte : distillation IA
- VIII. Vérification des faits
- IX. Matrice de décision
- X. Checklists
- XI. Runbook en cinq étapes
- XII. FAQ
- XIII. Conclusion et avertissement
- XIV. Sources
I. Enjeu : qualification réglementaire vs détails techniques — les formulations erronées nuisent à la crédibilité
- Clickbait : « Claude Code surveille tous les utilisateurs » — faux. Seuls ceux qui configurent
ANTHROPIC_BASE_URLvers un endpoint non officiel déclenchent le mécanisme. - Backdoor vs expérience : le NVDB parle de « risque de backdoor grave » ; Anthropic d'« anti-abus / anti-distillation » ; les ingénieurs de « canal covert stéganographique ».
- Fenêtre de conformité : alerte NVDB le 8 juillet, interdiction Alibaba le 10 — les équipes IT doivent inventorier versions et egress en quelques jours.
La chaîne narrative : Anthropic intègre une détection ciblant les utilisateurs chinois → reverse engineering → excuses et rollback → interdiction Alibaba → alerte backdoor NVDB.
II. Synthèse de l'incident
Le 8 juillet 2026, le NVDB a publié une alerte sur Claude Code d'Anthropic, qualifiée de risque de backdoor grave.
| Élément | Contenu |
|---|---|
| Nature | Mécanisme de surveillance intégré sans consentement |
| Données renvoyées | Région, identifiants et informations sensibles similaires |
| Versions concernées | v2.1.91 à v2.1.196 |
| Période | 2 avril au 29 juin 2026 |
| Recommandation | Désinstaller ou mettre à jour ; renforcer le contrôle du trafic sortant |
| Entreprises | Alibaba et d'autres ont restreint l'usage |
| Éditeur | Anthropic : « expérimental », anti-distillation, retrait dans les versions récentes |
III. Chronologie complète
| Date | Événement |
|---|---|
| Fév. 2026 | Anthropic annonce des investissements anti-distillation (classificateurs, empreintes) |
| Mars 2026 | Mécanisme de détection discret en production interne, sans divulgation |
| 2026-04-02 | v2.1.91 — première version distribuant le code discret |
| Avr.–juin 2026 | ~20 versions, logique maintenue, aucune mention au changelog |
| 2026-06-29 | v2.1.196 — dernière version concernée |
| 2026-06-30 | Reddit (LegitMichel777), Thereallo, Adnane Khan (GitHub) documentent la stéganographie |
| 2026-07-01 | Thariq Shihipar (Anthropic) reconnaît l'expérience, promet un rollback |
| 2026-07-02 | v2.1.197 (parfois 2.1.198) — code retiré, changelog silencieux |
| 2026-07-03/04 | Reuters/TechCrunch : Alibaba interdit Claude Code dès le 10 juillet, bascule Qoder |
| 2026-07-08 | Le NVDB publie l'alerte backdoor |
| 2026-07-10 | Interdiction interne Alibaba effective |
IV. Qui est réellement concerné : condition de déclenchement
Le mécanisme ne s'applique pas à tous. Il s'active uniquement si ANTHROPIC_BASE_URL pointe vers un endpoint non officiel (passerelle entreprise, proxy, revente API). Les utilisateurs de api.anthropic.com ne déclenchent pas ce chemin.
La conséquence la plus probable est un risque de bannissement de compte, pas une fuite de données confirmée — l'accent doit rester sur la surveillance non divulguée et la conformité.
V. Mécanisme technique en détail
5.1 Reconnaissance de l'environnement
- Fuseau horaire :
Asia/ShanghaiouAsia/Urumqi - Liste noire de domaines : comparaison du hostname de
ANTHROPIC_BASE_URL
Reverse engineering (LegitMichel777, Thereallo, Adnane Khan, Vincent Schmalbach) : 147 entrées — géants tech chinois, mots-clés labos IA (DeepSeek, Moonshot, Zhipu, MiniMax, Baichuan, StepFun, 01.AI, etc.) et passerelles proxy connues. Chiffrement XOR (clé 91) + Base64.
5.2 Stéganographie dans le system prompt
Pas de canal télémétrie séparé — altération du system prompt :
- Séparateur de date : fuseau Chine,
2026-06-30devient2026/06/30 - Apostrophes Unicode : dans
Today's date is, trois variantes visuellement proches encodent les indicateurs fuseau, domaine et labo
Adnane Khan : « a covert information channel embedded in system prompts ».
5.3 Distinction avec la télémétrie normale
- Stéganographie plutôt que télémétrie transparente
- ~3 mois sans divulgation au changelog
- Empreinte ciblée par région et concurrents
- Outil à privilèges fichiers et shell — attente de transparence plus élevée
5.4 Versions et commandes
| Type | Version | Date |
|---|---|---|
| Première avec mécanisme | v2.1.91 | 2026-04-02 |
| Dernière concernée | v2.1.196 | 2026-06-29 |
| Correctif | v2.1.197 (parfois 2.1.198) | 2026-07-01/02 |
Désinstallation : macOS/Linux — ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code ; Windows — %USERPROFILE%\.claude et cache. Entreprises : audit egress sur postes de dev.
Chiffres clés : 147 domaines en liste noire ; ~20 versions non documentées ; 3 bits de stéganographie (1 bit date + 3 variantes d'apostrophe).
VI. Prises de position comparées
6.1 NVDB / MIIT
- Qualification : risque de backdoor grave
- Surveillance sans consentement, renvoi de données sensibles
- Recommandation : inventorier les postes, mettre à jour/désinstaller, filtrer l'egress
6.2 Anthropic / Thariq Shihipar
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release."
Qualifié d'« expérience », pas de « backdoor ». Contexte : Anthropic accuse Qwen d'Alibaba d'environ 25 000 comptes frauduleux et 28,8 millions d'interactions.
6.3 Alibaba
- « As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. »
- À partir du 10 juillet 2026 — Claude Code et modèles Anthropic interdits
- Alternative interne : Qoder
6.4 Vocabulaire des médias
| Source | Terme | Angle |
|---|---|---|
| NVDB / MIIT | backdoor / severe threat | Conformité, exfiltration |
| CNBC / Reuters | security backdoor / monitoring | Régulation + réaction entreprise |
| The Register | covert code / secret steganography | Technique + responsabilité |
| Ars Technica | spyware-like tracking | Crise de confiance |
| Cybernews | « a nothing burger » | Sur-réaction vs anti-distillation |
| Anthropic | experiment / anti-distillation | But défensif |
VII. Contexte : guerre de distillation IA USA-Chine
- Anthropic bloque l'accès direct depuis la Chine ; contournement via VPN, proxy, cartes étrangères
- Fév. 2026 : article université de Pékin/CAS sur traces de distillation dans modèles chinois
- Anthropic a accusé DeepSeek, Moonshot, MiniMax, Alibaba, etc.
- Claude Opus 4.8 « se croyait Qwen/DeepSeek » — débat sur double standard
- Qoder comme exemple d'alternative interne
VIII. Vérification des faits
- ⚠️ Tous les utilisateurs ne sont pas concernés — seulement avec
ANTHROPIC_BASE_URLnon officiel - ⚠️ Version correctif : surtout v2.1.197, parfois 2.1.198 — recommander « 2.1.197+ »
- ⚠️ « Backdoor » est une qualification réglementaire, pas la seule technique
- ⚠️ Conséquence : risque de bannissement, pas de fuite confirmée
- ⚠️ Écarts de dates — changelog GitHub comme référence
IX. Matrice de décision
| Scénario | Déclenchement ? | Action | Risque |
|---|---|---|---|
| api.anthropic.com officiel | Non | Mettre à jour vers 2.1.197+ quand même | Faible |
| Proxy entreprise avec BASE_URL | Oui | Mettre à jour/désinstaller ; auditer egress | Élevé |
| Fuseau Chine + proxy | Oui (double signal) | Mise à niveau + alternatives (Qoder/Cursor) | Élevé |
| Employé Alibaba | — | Respecter l'interdiction interne, Qoder | Conformité |
| Déjà v2.1.197+ | Non | Surveiller transparence changelog | Moyen |
X. Checklists développeur et IT
Développeur individuel
- ☐
claude --version— version entre 2.1.91 et 2.1.196 ? - ☐
echo $ANTHROPIC_BASE_URL— endpoint non officiel ? - ☐ Mise à niveau v2.1.197+ ou désinstallation avec nettoyage
- ☐ Évaluer alternatives (Cursor, Qoder, etc.)
IT entreprise
- ☐ Inventorier installations et versions Claude Code
- ☐ Filtrage egress et monitoring trafic
- ☐ Mettre à jour whitelist/blacklist logicielle
- ☐ Alternatives internes (Qoder, Mac cloud isolé)
- ☐ Piste d'audit pour conformité
XI. Runbook en cinq étapes
- Version :
claude --versionounpm list -g @anthropic-ai/claude-code. - Endpoint :
echo $ANTHROPIC_BASE_URL— tout saufapi.anthropic.com= priorité haute. - Mise à niveau/désinstallation :
npm install -g @anthropic-ai/claude-code@latestouclaude update; supprimer~/.claude. - Audit egress (entreprise) : endpoints IA non autorisés sur postes de dev.
- Alternatives : Qoder, Cursor ou Mac cloud isolé pour workflows agent.
XII. FAQ
Q1 : Claude Code contient-il une backdoor ?
En v2.1.91–2.1.196 : stéganographie non divulguée. NVDB : risque grave ; Anthropic : expérience, retirée en v2.1.197.
Q2 : Quelles versions ?
v2.1.91 (2 avr. 2026) à v2.1.196 (29 juin 2026). Mise à jour v2.1.197+.
Q3 : API officielle surveillée ?
Non — seulement avec ANTHROPIC_BASE_URL non officiel.
Q4 : Vérifier la version ?
claude --version dans le terminal.
Q5 : Désinstaller ?
Versions concernées : mise à jour immédiate ; entreprises : désinstallation et audit egress en plus.
Q6 : Stéganographie ?
Séparateur de date et apostrophes Unicode dans le system prompt encodent les flags.
Q7 : Alibaba ?
Logiciel à haut risque, interdiction dès le 10 juillet, bascule Qoder.
Q8 : Changelog ?
Aucune divulgation dans versions concernées ou correctif.
Q9 : Sûr maintenant ?
v2.1.197+ sans le code ; usage selon politique de risque.
Q10 : Distillation ?
Anthropic : anti-revente/distillation ; accusation Qwen ~25 000 comptes.
XIII. Conclusion et avertissement
Trois fils à fusionner : régulation + technique stéganographique + contexte distillation. Pragmatique : vérifier version → vérifier endpoint → mettre à jour/désinstaller → auditer egress.
Exécuter Claude Code sur un PC non isolé ou VPS Linux pose des risques de transparence, egress et secrets. Pour scénarios conformité ou agents 7×24, un nœud Mac cloud VPSMAC M4 isole physiquement les workflows IA — SSH seul point d'entrée, clés API séparées des actifs de production, launchd pour stabilité, toolchain Xcode/Apple complète. Pour les équipes remplaçant Claude Code sans sacrifier l'expérience macOS native, c'est plus auditable qu'un VPS générique.
Avertissement : basé sur l'alerte NVDB et rapports publics ; pas un avis juridique ni un audit sécurité. Évaluez les mesures selon votre politique de sécurité.
XIV. Sources
- IT之家, 新京报, 36氪 — alertes NVDB
- CNBC — China warns about AI risks with Anthropic's Claude Code
- The Register — alerte backdoor et retrait du code discret
- TechCrunch — Alibaba reportedly bans employees from using Claude Code
- Ars Technica — Secret Claude tracker shocks users
- The Decoder — Hidden code in Claude Code secretly flagged Chinese users
- Thereallo — Claude Code Is Steganographically Marking Requests
- Vincent Schmalbach — Claude Code Is Quietly Fingerprinting China-Linked API Routers
- Cybernews — Claude Code attempts to detect Chinese users: Fair?