Alerte MIIT sur Claude Code : backdoor, stéganographie et conduite à tenir pour les équipes créatives et techniques
Le 8 juillet 2026, la plateforme chinoise NVDB (MIIT) a publié un avis qualifiant Claude Code — l'agent de programmation d'Anthropic — des versions v2.1.91 à v2.1.196 de risque de backdoor grave. Pour les studios de motion design, les agences interactives et les équipes produit qui ont adopté les agents IA en 2026, ce n'est pas qu'une alerte géopolitique lointaine : c'est la preuve qu'un outil à privilèges élevés peut dissimuler, pendant des mois, un canal d'information dans le texte même envoyé au modèle. Si vous routez Claude via un proxy d'entreprise ou un relais API, exécutez dès maintenant claude --version et echo $ANTHROPIC_BASE_URL. Ce guide détaille le mécanisme, les réactions d'Alibaba et d'Anthropic, et une matrice décisionnelle adaptée aux environnements où créativité et conformité doivent coexister.
L'essentiel (TL;DR)
- Régulateur : MIIT/NVDB, 8 juillet 2026 — backdoor, menace grave ; versions v2.1.91–2.1.196.
- Déclencheur : uniquement si
ANTHROPIC_BASE_URLpointe horsapi.anthropic.com; les utilisateurs API officielle ne sont pas dans la voie stéganographique. - Technique : reconnaissance fuseau horaire, liste noire de 147 entrées (XOR 91 + Base64), encodage dans le prompt système — pas de télémétrie classique.
- Réponses : Anthropic v2.1.197 (2 juillet) ; Alibaba interdit l'outil à partir du 10 juillet, orientation vers Qoder.
- Action : version → BASE_URL → mise à jour ou désinstallation → audit egress.
1. Trois tensions pour les studios et les équipes produit
- Confiance créative vs. opacité technique. Les pipelines créatifs 2026 mêlent génération de code, prototypage interactif et automatisation de build. Claude Code promettait fluidité — mais la NVDB rappelle qu'un agent shell peut cacher un comportement conditionnel. Sans préciser le rôle de
ANTHROPIC_BASE_URL, on risque soit la panique généralisée, soit une sous-estimation du risque pour les équipes passant par des relais régionaux. - Trois mois de silence dans les release notes. De v2.1.91 (avril) à v2.1.196 (juin), près de vingt versions sans mention. Pour une industrie créative sensible à la propriété intellectuelle et aux clauses client, l'absence de transparence pèse autant que la stéganographie elle-même.
- Réactions en chaîne côté grands comptes. L'interdiction Alibaba à partir du 10 juillet 2026 illustre comment un incident technique devient politique d'entreprise du jour au lendemain. Les agences travaillant avec des partenaires asiatiques doivent anticiper des demandes d'audit sur la chaîne d'outils IA.
2. Chronologie : de la distillation à l'alerte MIIT
| Date | Événement |
|---|---|
| Fév. 2026 | Anthropic annonce des investissements anti-distillation |
| Mars 2026 | Déploiement interne discret de la logique de détection |
| 2026-04-02 | Publication de v2.1.91 |
| Avr.–Juin 2026 | ~20 versions ; logique persistante ; changelog muet |
| 2026-06-29 | v2.1.196 — dernière version affectée |
| 2026-06-30 | Exposition Reddit (LegitMichel777), analyses Thereallo et Adnane Khan |
| 2026-07-01 | Thariq Shihipar reconnaît l'« expérience » sur X |
| 2026-07-02 | v2.1.197 retire le code (certaines sources CN citent v2.1.198) |
| 2026-07-03/04 | Reuters, TechCrunch : interdiction Alibaba, bascule Qoder |
| 2026-07-08 | MIIT/NVDB — avis officiel backdoor |
| 2026-07-10 | Interdiction interne Alibaba effective |
3. Points clés de l'avis NVDB
| Élément | Détail |
|---|---|
| Émetteur | MIIT — plateforme NVDB (partage menaces et vulnérabilités) |
| Date | 8 juillet 2026 |
| Produit | Claude Code (Anthropic, États-Unis) |
| Qualification | Risque de backdoor de sécurité, menace grave |
| Description | Mécanisme de surveillance transmettant sans consentement localisation et identifiants |
| Versions | v2.1.91 – v2.1.196 |
| Recommandation | Audit des terminaux → désinstallation ou mise à jour → contrôle egress et monitoring |
| Entreprises | Alibaba et d'autres acteurs restreignent ou interdisent l'outil |
4. Qui est réellement touché ?
Fait central souvent absent des titres : le mécanisme ne s'appliquait pas à tous les utilisateurs de Claude Code.
Activation uniquement lorsque ANTHROPIC_BASE_URL cible un endpoint non officiel — passerelle d'entreprise, proxy tiers, relais de revente API. Connexion directe à api.anthropic.com : pas de voie stéganographique.
La qualification NVDB reste sévère car elle concerne un canal dissimulé dans un CLI à privilèges, indépendamment du nombre d'utilisateurs déclenchés. Les conséquences documentées visent surtout sanctions de compte, non une fuite massive de fichiers locaux.
5. Mécanisme technique en trois étapes
Synthèse des travaux de LegitMichel777, Thereallo, Adnane Khan et Vincent Schmalbach :
Étape 1 : reconnaissance d'environnement
- Fuseau horaire :
Asia/ShanghaiouAsia/Urumqi - Nom d'hôte du proxy : comparaison à une liste intégrée (~147 entrées)
Domaines tech chinois, mots-clés laboratoires IA (DeepSeek, Moonshot, Zhipu, MiniMax, etc.), passerelles de revente connues. Obfuscation : Base64 + XOR(91).
Étape 2 : stéganographie dans le prompt système
- Séparateur de date : fuseau Chine →
2026/06/30au lieu de2026-06-30 - Apostrophes Unicode : dans
Today's date is— U+0027, U+2019, U+02BC, U+02B9
Adnane Khan : « a covert information channel embedded in system prompts » — une ligne anodine devient porteuse de signaux.
Étape 3 : traitement côté serveur
Les serveurs Anthropic décodent les signaux pour identifier proxies, revendeurs et pipelines de distillation — puis appliquent des restrictions de compte. Motif compréhensible ; mise en œuvre non déclarée — cœur de la crise de confiance.
6. Frontière avec la télémétrie ordinaire
- Stéganographie, non canal télémétrique auditables
- Zéro mention changelog sur ~3 mois
- Empreinte géo/concurrentielle ciblée
- CLI à privilèges élevés — attente de transparence renforcée
Analyse approfondie : événement stéganographie Claude Code.
7. Versions et commandes de vérification
| Jalon | Version | Date |
|---|---|---|
| Première version avec logique cachée | v2.1.91 | 2026-04-02 |
| Dernière version affectée | v2.1.196 | 2026-06-29 |
| Correctif | v2.1.197 (v2.1.198 selon médias CN) | 2026-07-01/02 |
| Référence sécurisée | v2.1.197 ou supérieur | |
# Vérifier la version
claude --version
# Vérifier le déclencheur proxy
echo $ANTHROPIC_BASE_URL
# Mise à jour
npm install -g @anthropic-ai/claude-code@latest
claude update
# Version npm
npm list -g @anthropic-ai/claude-code
Désinstallation — chemins résiduels :
- macOS/Linux :
~/.claude,~/.claude.json,~/.cache/claude-code,~/.config/claude-code - Windows :
%USERPROFILE%\.claude,%USERPROFILE%\.claude.json
8. Prises de position et comparaison médias
MIIT / NVDB
Backdoor, menace grave ; surveillance sans consentement ; audit terminal, mise à jour/désinstallation, contrôle egress.
Anthropic / Thariq Shihipar
« This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation. The team has landed stronger mitigations since then and we've actually been meaning to take this down for a while... this should be fully rolled back in tomorrow's release. »
Qualification expérience, non backdoor. Contexte : lettre au Sénat américain — équipe Qwen d'Alibaba, ~25 000 comptes frauduleux, 28,8 millions d'interactions.
Alibaba
« As Claude Code was recently discovered to carry back-door risks... added to a list of high-risk software with security vulnerabilities. » À partir du 10 juillet 2026, interdiction Claude Code et modèles Anthropic ; alternative Qoder.
Comparaison des formulations médias
| Source | Terme clé | Angle narratif |
|---|---|---|
| MIIT / NVDB | backdoor ; menace grave | Conformité, exfiltration |
| CNBC / Reuters | security backdoor ; monitoring mechanism | Régulation + réaction entreprises |
| The Register | covert code ; secret steganography | Responsabilité technique |
| Ars Technica | spyware-like tracking | Crise de confiance |
| Cybernews | « a nothing burger » | Sure réaction ; anti-distillation légitime |
| Anthropic | experiment ; anti-abuse | Défense légitime ; retrait prévu |
9. Contexte distillation et rivalité IA
Épisode d'une rivalité US-Chine 2026. Anthropic restreint l'accès depuis la Chine ; contournement par VPN et proxies. Recherche PKU/CAS (février 2026) sur traces de distillation. Accusations contre DeepSeek, Moonshot, MiniMax, Alibaba — ironie d'une détection « utilisateurs liés à la Chine ». Opus 4.8 s'identifiant parfois comme Qwen ou DeepSeek en test.
Qoder chez Alibaba incarne la bascule vers des stacks domestiques. Régulation, interdictions et « expérience » Anthropic forment une chaîne causale — au-delà du seul scandale espionnage.
10. Points de vigilance factuels
- Pas tous les utilisateurs — qualifier par
ANTHROPIC_BASE_URL. - v2.1.197 principal ; v2.1.198 dans certains médias CN — référence « 2.1.197+ ».
- « Backdoor » régulateur ; « stéganographie » technique ; « expérience » éditeur.
- Conséquence : risque compte, pas fuite massive confirmée.
- Dates médias légèrement divergentes —
claude --versionfait foi.
11. Matrice décisionnelle
| Scénario | Exposition | Action recommandée | Note |
|---|---|---|---|
| Développeur solo, API officielle | Faible | Mise à jour 2.1.197+ ; vérifier BASE_URL | Voie stéganographique inactive |
| Studio / DSI créatif | Élevée | Inventaire postes ; liste logiciels ; audit egress ; alternatives approuvées | Précédent Alibaba ; clauses client IA |
| Utilisateur proxy/relais | Élevée | Mise à jour ou désinstallation immédiate ; historique BASE_URL | Seule population avec déclencheur actif |
| API officielle, secteur régulé | Moyenne | Baseline version ; nœud dédié ; gouvernance outillage | Privilèges élevés même sans stéganographie |
12. Procédure en cinq étapes
- Version :
claude --version— intervalle v2.1.91–2.1.196 ? - BASE_URL :
echo $ANTHROPIC_BASE_URL; profils shell, IDE, CI. - Mise à jour :
npm install -g @anthropic-ai/claude-code@latestouclaude update. - Désinstallation : si politique l'exige — paquet + répertoires résiduels.
- Audit egress : filtrer et documenter le trafic vers endpoints IA non autorisés.
13. Checklist conformité entreprise
- Inventaire : installations Claude Code (focus 2.1.91–2.1.196) sur postes, CI, machines distantes.
- Variables d'environnement :
ANTHROPIC_BASE_URL, proxies, fichiers.env. - Gouvernance logicielle : listes autorisées/interdites ; référence classement Alibaba.
- Filtrage egress : allowlist domaines IA approuvés.
- Moindre privilège : séparer agents IA et secrets production.
- Réponse incident : version affectée + BASE_URL non officiel → revue compte, rotation credentials.
- Fournisseur : demander clarification sécurité Anthropic ; suivre NVDB.
- Communication interne : préciser le déclencheur — éviter la panique.
14. FAQ
Backdoor réelle ?
NVDB : risque grave. Technique : stéganographie v2.1.91–2.1.196. Anthropic : expérience mars, retirée v2.1.197.
Versions concernées ?
v2.1.91 à v2.1.196. Référence : 2.1.197+.
API officielle ?
Non concerné si pas de proxy via ANTHROPIC_BASE_URL.
Vérifier version ?claude --version.
Désinstaller ?
Individuel : mettre à jour. Entreprise : désinstaller + audit egress possible.
Stéganographie ?
Séparateur date + apostrophes Unicode dans le prompt système.
Alibaba ?
Haut risque ; 10 juillet 2026 → Qoder.
Changelog ?
Aucune mention jusqu'à l'exposition communautaire du 30 juin.
Sûr aujourd'hui ?
Code retiré en 2.1.197+ ; confiance = décision organisationnelle.
Distillation ?
Anti-revente et anti-distillation ; contexte Qwen et rivalité IA. FAQ complète en JSON-LD ci-dessus.
15. Sources
- CNBC : China warns about AI risks with Anthropic's Claude Code
- The Register : China — ditch older Claude versions
- The Register : Anthropic removing covert code
- Ars Technica : Secret Claude tracker
- TechCrunch : Alibaba bans Claude Code
- Thereallo : Steganographically Marking Requests
- IT之家 : avis MIIT NVDB
- 新京报 : alerte backdoor MIIT
- Cybernews : détection équitable ?
- Avis officiel MIIT NVDB (2026-07-08)
16. Avertissement
Cet article s'appuie sur des sources publiques (NVDB, Anthropic, recherche indépendante). Il est informatif et ne constitue pas un avis juridique ni un audit de sécurité. Dernière mise à jour : 2026-07-09.
17. Pont SFTPMAC Mac distant
L'alerte MIIT et l'interdiction Alibaba confirment : les agents IA de code entrent dans la gouvernance de la chaîne d'outils. Pour un studio ou une équipe produit, la réponse élégante n'est pas de renoncer à l'assistance IA, mais de séparer l'agent du poste quotidien : nœud Mac dédié, audit egress, synchronisation des livrables par SFTP/rsync.
Le Mac portable mélange variables d'environnement, proxies et identifiants navigateur — difficile à auditer par outil. Toute configuration passée de ANTHROPIC_BASE_URL hors endpoint officiel mérite une mise à jour en environnement isolé, loin des clés de signature et des assets clients.
Architecture recommandée : Mac distant dédié, politique egress, baseline version, disponibilité 7×24 — alignée avec l'analyse stéganographie et le guide JADEPUFFER. SFTPMAC location Mac distant : isolation SSH/SFTP, launchd, egress — plus maîtrisable qu'un correctif sur le laptop du directeur artistique.