Claude Code d’Anthropic a secrètement intégré des marqueurs cachés pour signaler les utilisateurs liés à 147 domaines chinois et à des laboratoires d’IA, ont révélé des développeurs cette semaine.
Points clés
- Des développeurs ont découvert que Claude Code encodait des détails de proxy et de fuseau horaire dans des marqueurs Unicode invisibles, cachés dans les prompts système
- Le mécanisme comparait les configurations à 147 domaines chinois et à onze mots‑clés de laboratoires d’IA avant de modifier une ligne de date dans le prompt
- Anthropic a déclaré que ce code serait retiré dans la prochaine version de Claude Code après les alertes des développeurs et des chercheurs
Marqueurs cachés dans les prompts
Un développeur qui faisait de l’ingénierie inverse sur Claude Code version 2.1.196, en restaurant une fonctionnalité de contrôle à distance désactivée, a découvert un code obscurci, présent silencieusement depuis avril.
Les résultats sont apparus sur Reddit le 30 juin sous un pseudonyme et ont été confirmés dans un compte rendu technique publié sur GitHub.
Des analystes ont examiné trois versions distinctes de Claude Code et constaté que le mécanisme fonctionnait de façon identique dans chacune, sans aucune mention dans les notes de version malgré des mois de mises à jour. Il ne s’active que lorsqu’un utilisateur pointe Claude Code vers une adresse de serveur personnalisée au lieu de celle d’Anthropic. Une fois déclenché, l’outil lit le fuseau horaire du système et vérifie s’il correspond à deux villes liées à la Chine continentale.
L’adresse du proxy est ensuite comparée à une liste cachée de 147 domaines, obscurcie pour ne pas apparaître dans une recherche en texte brut et incluant Baidu, Alibaba, Ant Group et ByteDance, plus onze mots‑clés associés à des laboratoires chinois d’IA. Les résultats sont intégrés dans la phrase en apparence ordinaire « Today’s date is... », où un trait d’union devient une barre oblique pour un fuseau horaire chinois et où une apostrophe standard est remplacée par l’un de trois caractères quasi identiques.
Voir aussi : BitMine défie la baisse du marché avec un pari Ethereum de 43 M$, la stratégie vacille
Rupture de confiance chez les développeurs
Les développeurs ont réagi avec inquiétude une fois le mécanisme rendu public, soutenant qu’un outil ayant accès au code source et aux commandes shell doit à ses utilisateurs un niveau de transparence plus élevé qu’une simple fenêtre de chat. Un rapport de bug déposé sur le dépôt du projet a qualifié cette pratique de « fingerprinting » furtif et demandé quels autres signaux pouvaient être cachés aux utilisateurs. Des commentateurs ont souligné que ce contrôle pouvait être contourné simplement en changeant un nom d’hôte ou l’horloge du système.
Cela signifie qu’il étiquette surtout des développeurs ordinaires utilisant des proxys d’entreprise légitimes, plutôt que les opérateurs sophistiqués qu’il était censé détecter. Anthropic a déjà accusé des laboratoires chinois, dont DeepSeek, Moonshot AI et MiniMax, d’avoir utilisé plus de 24 000 comptes frauduleux et plus de 16 millions d’échanges pour copier le raisonnement et le comportement de codage de Claude plus tôt cette année.
Un ingénieur d’Anthropic a reconnu l’existence de ce code sur les réseaux sociaux et indiqué qu’il serait retiré dans la version publiée le lendemain, bien que l’entreprise n’ait pas encore publié de déclaration écrite officielle. Cet épisode s’ajoute à une série de questions de sécurité autour de Claude Code cette année.
Des chercheurs de Microsoft ont révélé en juin une faille d’injection de prompt dans son intégration GitHub, Check Point a signalé trois vulnérabilités distinctes en février, et le code source d’Anthropic a brièvement fuité en avril.
À lire ensuite : CZ affirme que Binance était à quelques jours de l’approbation MiCA avant que la politique ne s’en mêle





