2026 NVDB
CLAUDE_CODE_
BACKDOOR_
GUIDE_SECURITE.
Introduction : Si vous utilisez Claude Code sur Mac et que votre version est entre v2.1.91 et v2.1.196, exécutez claude --version immédiatement. Le 8 juillet 2026, la plateforme NVDB du MIIT chinois a publié une alerte : l'outil de programmation IA d'Anthropic présente un risque backdoor grave — un mécanisme de surveillance intégré peut transmettre localisation et identifiants sans consentement. Ce guide couvre la chronologie, la stéganographie, les réponses NVDB/Anthropic/Alibaba, le contexte distillation USA-Chine, 5 étapes + 10 FAQ.
TL;DR
- ● 8 juil. 2026 NVDB : v2.1.91–2.1.196, risque backdoor sévère
- ● Déclencheur : uniquement si
ANTHROPIC_BASE_URLnon officiel - ● Technique : stéganographie dans le system prompt, blacklist 147 domaines (XOR 91 + Base64)
- ● Alibaba : interdiction le 10 juil., bascule vers Qoder
- ● Action : mise à jour v2.1.197+, audit trafic sortant
1. Pourquoi ce n'est pas une simple polémique telemetry
- Outil à privilèges élevés + comportement dissimulé
- Aucune mention dans le changelog pendant ~3 mois ; liste de domaines obfusquée
- Qualification réglementaire officielle par le NVDB
2. Chronologie complète
| Date | Événement |
|---|---|
| Fév 2026 | Anthropic annonce des investissements anti-distillation |
| Mars 2026 | Mécanisme de détection déployé en secret |
| 2026-04-02 | v2.1.91 publiée |
| Avr–Juin | ~20 versions, changelog silencieux |
| 2026-06-29 | v2.1.196 dernière version affectée |
| 2026-06-30 | LegitMichel777 (Reddit), Thereallo, Adnane Khan (GitHub) valident v2.1.193/195/196 |
| 2026-07-01 | Thariq Shihipar sur X : « expérience », rollback promis |
| 2026-07-02 | v2.1.197 supprime la stéganographie |
| 2026-07-03/04 | Reuters/TechCrunch : interdiction Alibaba, Qoder |
| 2026-07-08 | Alerte officielle NVDB |
| 2026-07-10 | Interdiction Alibaba effective |
3. Qui est réellement concerné ?
Pas tous les utilisateurs. Uniquement si ANTHROPIC_BASE_URL pointe vers un point de terminaison non officiel. Les utilisateurs de api.anthropic.com ne déclenchent pas ce chemin.
4. Mécanisme technique en 3 étapes
4.1 Reconnaissance
- Fuseau :
Asia/ShanghaiouAsia/Urumqi - Correspondance hostname avec 147 entrées (Alibaba, Baidu, ByteDance, DeepSeek, Moonshot, Zhipu, MiniMax…), XOR clé 91 + Base64
4.2 Stéganographie
| Position | Normal | Variante | Signification |
|---|---|---|---|
| Séparateur date | 2026-06-30 | 2026/06/30 | Fuseau Chine |
| Apostrophe ×3 | ASCII ' | 3 variantes Unicode quasi identiques | Fuseau / domaine / labo IA |
Adnane Khan : "a covert information channel embedded in system prompts".
4.3 Commandes de vérification
Désinstallation complète : ~/.claude, ~/.claude.json, ~/.cache/claude-code, ~/.config/claude-code (macOS/Linux).
5. Réponses officielles
5.1 NVDB
- Qualification : risque backdoor sévère
- Recommandation : désinstaller/mettre à jour, contrôler le trafic sortant
5.2 Anthropic
"This is an experiment we launched in March that was meant to prevent account abuse from unauthorized resellers and protect against distillation..."
Lettre au Sénat US : ~25 000 comptes frauduleux, 28,8 millions d'interactions Qwen.
5.3 Alibaba
- 10 juillet 2026 : interdiction Claude Code et modèles Anthropic (Sonnet, Opus, Fable)
- Remplacement : Qoder
5.4 Tableau médias
| Source | Cadrage |
|---|---|
| NVDB | backdoor / severe threat |
| CNBC/Reuters | security backdoor / monitoring |
| The Register | covert steganography |
| Ars Technica | spyware-like tracking |
| Cybernews | "a nothing burger" |
| Anthropic | experiment / anti-distillation |
6. Contexte : guerre de distillation USA-Chine
- Recherche PKU/CAS (fév 2026) sur traces de distillation
- Accusations contre DeepSeek, Moonshot, MiniMax, Alibaba
- Claude Opus 4.8 s'identifiant comme Qwen/DeepSeek
7. Vérification des faits
- Seul
ANTHROPIC_BASE_URLnon officiel déclenche - Correctif : v2.1.197+ (parfois v2.1.198)
- « Backdoor » = qualification NVDB, pas seule définition technique
- Pas de fuite de données confirmée ; risque de bannissement de compte
8. 5 étapes à suivre
8.1 Développeurs individuels
claude --versionecho $ANTHROPIC_BASE_URL- Mise à jour immédiate
- Nettoyage des chemins résiduels si désinstallation
- Évaluer alternatives (Cursor, Qoder…)
8.2 IT entreprise
- Inventaire MDM
- Mise à jour forcée v2.1.197+ ou blocage
- Contrôle egress
- Monitoring DNS/HTTPS
- Mise à jour liste blanche logiciels
9. FAQ (10 questions)
Q1 : Backdoor ?
v2.1.91–196 : stéganographie non divulguée. NVDB : risque backdoor. Anthropic : expérience, supprimée v2.1.197.
Q2 : Versions ?
2.1.91–2.1.196. Mettre à jour 2.1.197+.
Q3 : API officielle ?
Non concerné.
Q4 : Vérifier version ?
claude --version
Q5 : Désinstaller ?
Mettre à jour ; entreprises peuvent désinstaller.
Q6 : Stéganographie ?
Date + apostrophes Unicode dans system prompt.
Q7 : Alibaba ?
Haut risque, 10 juil., Qoder.
Q8 : Changelog ?
Non.
Q9 : Sûr maintenant ?
v2.1.197+ ; décision organisationnelle.
Q10 : Distillation ?
Anti-revendeur/anti-distillation, conflit avec labs chinois.
10. Avertissement
Article informatif basé sur sources publiques NVDB et médias. Ne constitue pas un avis juridique.
11. Sources
- CNBC, Register, Ars Technica, TechCrunch, Reuters
- Thereallo, Adnane Khan, Vincent Schmalbach
12. Conclusion : isoler l'IA sur un nœud Mac dédié
Ne mélangez pas agents IA à haut privilège et secrets de production. MACGPU Mac mini M4 distant : environnement isolé, SSH, snapshot.