IA : ce code espion caché par Anthropic dans Claude pour traquer secrètement ses utilisateurs chinois
Pendant plusieurs mois, Claude Code a intégré un traqueur caché visant des profils liés à la Chine, sans avertir ses utilisateurs. Entre justificatif anti-fraude et soupçons de porte dérobée, l’affaire secoue Anthropic et fait réagir Alibaba.

Un traqueur caché enfoui dans l’assistant de programmation Claude Code a, pendant plusieurs mois, marqué discrètement certains utilisateurs soupçonnés d’être basés en Chine ou reliés à des laboratoires d’IA chinois. Derrière cette logique invisible pour l’œil humain, un enchaînement de vérifications de fuseau horaire, de proxys et de noms de domaine, sans la moindre mention dans la documentation ni demande de consentement.
Révélé en juin par le développeur Thereallo puis décortiqué par la communauté, ce dispositif a placé Anthropic au cœur d’une polémique mêlant lutte anti-fraude, secret industriel et rivalité technologique entre États-Unis et Chine. Pékin a réagi, Alibaba a banni l’outil en interne et l’éditeur affirme avoir supprimé le code incriminé. Reste à comprendre comment cette mécanique s’est retrouvée dans le produit, et ce qu’elle faisait concrètement.
Comment le traqueur caché de Claude Code a été intégré puis démasqué
D’après les analyses publiées par des chercheurs et développeurs, le mécanisme dormant est apparu début avril 2026 dans la version 2.1.91 de Claude Code. À chaque exécution, l’assistant vérifiait d’abord le fuseau horaire du système, en cherchant les valeurs « Asia/Shanghai » ou « Asia/Urumqi ». Il examinait ensuite l’adresse du proxy utilisé et la comparait à une liste de 147 entités chinoises, parmi lesquelles Baidu, Alibaba, ByteDance ou Ant Group. La liste elle-même n’était pas stockée en clair : elle était encodée en base64 puis brouillée par un chiffrement XOR, une technique de camouflage que l’on associe d’ordinaire aux malwares plutôt qu’à un outil destiné aux développeurs.
Une fois l’utilisateur identifié comme potentiellement lié à la Chine, le signal remontait vers les serveurs via un procédé de stéganographie. Concrètement, lorsqu’un utilisateur demandait l’heure ou la date, la réponse contenait presque toujours une apostrophe ou une ligne du type « Today’s date is 2026-06-30 ». En apparence, rien d’inhabituel. Sauf que plusieurs caractères Unicode, visuellement indiscernables, peuvent jouer le rôle d’apostrophe. Selon que l’utilisateur était repéré ou non, le modèle insérait une variante différente, invisible pour l’humain mais parfaitement détectable côté serveur. Thereallo a indiqué qu’il ne considérait pas ce mécanisme comme intrinsèquement malveillant, tout en pointant l’absence totale de documentation ou de note de version pour une fonctionnalité qui repose, justement, sur la confiance des développeurs.
Qui était visé par le traqueur caché et comment Anthropic et Alibaba ont réagi
Pour expliquer la présence de ce code, Anthropic met en avant la lutte contre les abus. L’ingénieur Thariq Shihipar a reconnu sur X qu’il s’agissait « d’une expérimentation lancée en mars, destinée à prévenir les abus de comptes par des revendeurs non autorisés et à protéger contre la distillation ». La distillation consiste à interroger massivement un modèle d’IA afin de récupérer ses réponses et d’entraîner, à moindre coût, un concurrent. L’éditeur avait déjà accusé des acteurs chinois comme DeepSeek, Moonshot AI ou MiniMax d’avoir siphonné des millions de réponses via des comptes frauduleux. Il avait aussi pointé, à propos du laboratoire Qwen d’Alibaba, près de 25 000 comptes liés au groupe et environ 28,8 millions d’échanges automatisés entre le 22 avril et le 5 juin 2026, présentés comme la plus grande attaque de distillation jamais subie par l’entreprise.
| Date | Événement | Acteur principal | Impact utilisateurs |
|---|---|---|---|
| Mars 2026 | Début de l’expérimentation anti-abus | Anthropic | Détection ciblée des utilisateurs liés à la Chine |
| 2 avril 2026 | Code caché intégré à la version 2.1.91 | Anthropic | Versions 2.1.91 à 2.1.196 impactées |
| Fin juin 2026 | Un développeur repère le traqueur caché | Thereallo | La controverse devient publique en ligne |
| 1er juillet 2026 | Correctif de Claude Code mis en production | Anthropic | Fin officielle du marquage silencieux |
| 8 juillet 2026 | Pékin dénonce la faille de sécurité | Ministère chinois de l’Industrie | Renforcement du discours réglementaire chinois |
| 10 juillet 2026 | Interdiction de Claude Code en interne | Alibaba | Migration annoncée vers Qoder, assistant maison |
La réaction des autorités chinoises ne s’est pas fait attendre. Anisi, le ministère chinois de l’Industrie et des Technologies de l’information a qualifié la faille de « menace sérieuse ». Côté entreprises, un mémo interne d’Alibaba cité par le South China Morning Post justifie le bannissement de l’outil en ces termes : « Comme Claude Code a été récemment découvert comme comportant des risques de porte dérobée, après une évaluation approfondie, Claude Code a désormais été ajouté à une liste de logiciels à haut risque présentant des vulnérabilités de sécurité », indiquait ce document. Le groupe a demandé à ses équipes de cesser d’utiliser l’assistant et de se tourner vers Qoder, son propre outil de développement. De son côté, Anthropic affirme avoir supprimé le traqueur dans les versions postérieures au 1er juillet 2026 et promet de revenir à un fonctionnement standard, tout en maintenant l’objectif affiché de se protéger contre la revente illégale de comptes et la distillation massive de ses modèles.
En bref
- Entre mars et juillet 2026, Anthropic a intégré puis retiré de Claude Code un mécanisme discret visant des utilisateurs liés à la Chine et à des labs d’IA chinois.
- Basé sur des marqueurs Unicode cachés et des vérifications de fuseau horaire et de proxy, ce traqueur caché a déclenché une controverse mondiale culminant avec le bannissement de l’outil par Alibaba.
- Entre enjeux de distillation, risques de porte dérobée et crise de confiance, l’affaire pose des questions brûlantes sur la transparence des agents IA dans les environnements de développement.






