Le 30 juin 2026, un chercheur en sécurité publiant sous le pseudonyme "Thereallo" a diffusé les résultats d'une rétro-ingénierie révélatrice : l'outil en ligne de commande Claude Code d'Anthropic intégrait silencieusement des signaux cachés dans ses prompts système depuis au moins trois mois, identifiant de manière secrète les utilisateurs dont les requêtes transitaient par des proxys liés à la Chine ou des infrastructures de laboratoires d'IA concurrents.
La technique employée est la stéganographie : dissimuler des informations dans un contenu qui paraît normal à un lecteur humain. Ce mécanisme était actif dans Claude Code depuis au moins la version 2.1.91, publiée le 2 avril 2026.
Points clés
- Claude Code intégrait des marqueurs stéganographiques dans ses prompts système pendant environ trois mois à partir de mars 2026
- Deux mécanismes : rotation de caractères Unicode et modification du séparateur de date selon le fuseau horaire et le nom du proxy
- Les listes de domaines ciblant les laboratoires chinois étaient obfusquées par chiffrement XOR et encodage base64
- Anthropic a confirmé le code, le qualifiant d'"expérience pour prévenir les abus de comptes et se protéger contre la distillation"
- Supprimé dans la version 2.1.197 le 2 juillet 2026, sans mention dans le journal de modifications officiel
- Contexte : partie d'une escalade plus large après 29 millions d'échanges illicites présumés par des entités affiliées à Alibaba
Fonctionnement du code caché
Le système de détection opérait via deux canaux d'encodage parallèles intégrés dans la génération des prompts système de Claude Code.
Le format de date comme signal : Le séparateur de date standard dans l'horodatage du prompt passait du tiret (« 2026-06-30 ») au slash (« 2026/06/30 ») lorsque le fuseau horaire du système d'exploitation était réglé sur Asia/Shanghai ou Asia/Urumqi.
Substitution d'apostrophe Unicode : Le caractère apostrophe dans la phrase "Today's" alternait entre quatre variantes Unicode visuellement identiques — l'apostrophe ASCII standard (U+0027), le guillemet simple fermant (U+2019), la lettre modificatrice apostrophe (U+02BC) et la lettre modificatrice prime (U+02B9) — encodant si le nom du proxy correspondait à une liste de domaines connus, une liste de mots-clés de laboratoires d'IA chinois, les deux, ou aucun.
Les listes de classification des domaines étaient elles-mêmes cachées dans le binaire Claude Code via chiffrement XOR suivi d'un encodage base64, ciblant les noms d'hôtes liés aux laboratoires d'IA chinois, aux entreprises concurrentes, aux revendeurs non autorisés et aux fournisseurs de passerelles commerciales.
Réponse d'Anthropic
Thariq Shihipar, ingénieur de l'équipe Claude Code, a reconnu publiquement l'existence du mécanisme après que la découverte a émergé sur Reddit et GitHub. "C'est une expérience que nous avons lancée en mars pour prévenir les abus de comptes de la part de revendeurs non autorisés et nous protéger contre la distillation," a-t-il écrit.
Anthropic a déclaré avoir développé "des mesures d'atténuation plus robustes" depuis mars et s'est empressé de supprimer le mécanisme stéganographique. La version Claude Code 2.1.197 a été publiée tôt le 2 juillet 2026, sans aucune mention de la suppression dans le journal des modifications officiel. La société a refusé de confirmer si ce comportement de traçage avait jamais été divulgué dans ses conditions de service ou sa politique de confidentialité.
Pourquoi le mécanisme rate sa cible
Les chercheurs en sécurité ont souligné un problème fondamental : tout adversaire sophistiqué peut contourner la détection facilement — en changeant le nom du proxy, en ajustant le fuseau horaire, en corrigeant le binaire, ou en enveloppant le processus dans un environnement propre.
La population que ce système capture de manière fiable n'est pas celle des laboratoires d'IA chinois menant des campagnes de distillation à grande échelle. Ce sont des développeurs légitimes utilisant des passerelles API d'entreprise, des routeurs de modèles locaux, des proxys de gestion des coûts tiers, ou des infrastructures de recherche — dont beaucoup ne se trouvent pas du tout en Chine. La nature secrète du code signifiait que ces développeurs n'avaient aucun moyen de savoir qu'ils étaient signalés, et aucun recours disponible.
Contexte : la guerre de la distillation
Le code stéganographique existait dans le cadre d'un conflit plus large et croissant entre Anthropic et les entreprises d'IA chinoises autour de la distillation non autorisée de modèles — la pratique consistant à utiliser les sorties d'un modèle frontier pour entraîner un modèle concurrent.
Dans des recherches publiées début 2026, Anthropic a révélé que DeepSeek, Moonshot AI (la société mère de Kimi K2) et MiniMax avaient mené des campagnes d'extraction à grande échelle contre Claude :
- DeepSeek : plus de 150 000 échanges ciblant les capacités de raisonnement et la notation des modèles de récompense
- Moonshot AI : plus de 3,4 millions d'échanges axés sur le raisonnement agentique, l'utilisation des outils, le codage et la vision par ordinateur
- MiniMax : plus de 13 millions d'échanges concentrés sur le codage agentique et l'orchestration des outils
Total : plus de 16 millions d'échanges illicites via environ 24 000 comptes frauduleux.
Le 10 juin 2026, Anthropic a escaladé davantage, accusant des entités affiliées à Alibaba d'une campagne encore plus vaste : 29 millions d'échanges via 25 000 comptes frauduleux entre avril et juin 2026. En novembre 2025, Anthropic avait déjà divulgué que des acteurs chinois parrainés par l'État avaient utilisé abusivement Claude Code pour de l'espionnage ciblant environ 30 entités dans le monde.
La suite
La suppression du code stéganographique referme un chapitre, mais la tension sous-jacente demeure. Anthropic déclare développer des garanties au niveau du produit et du modèle qui dégradent la qualité des sorties pour les cas de distillation, partager des indicateurs techniques avec des laboratoires partenaires et des fournisseurs cloud, et renforcer la vérification des comptes de recherche et d'éducation.
La société reconnaît qu'"aucune entreprise ne peut résoudre cela seule" et appelle à une réponse coordonnée à l'échelle de l'industrie.
Pour les développeurs de la région MENA et dans le monde, l'incident porte un message pratique : les outils d'IA à code source fermé distribués sous forme de binaires compilés peuvent intégrer une logique de classification secrète sans divulgation dans le journal de modifications. Tout routage via des proxys API d'entreprise, des passerelles régionales, ou des couches d'optimisation des coûts peut avoir entraîné un signalement silencieux — un rappel que la confiance des développeurs se gagne par la transparence, elle ne se présume pas.
Source : The Register