Anthropic fait face à des critiques pour une surveillance clandestine dans Claude Code
Anthropic retire une fonctionnalité de surveillance cachée dans son outil de codage Claude Code, après que le mécanisme a été révélé publiquement et a suscité des critiques sur la transparence et la confiance des utilisateurs. Selon le texte source fourni par The Decoder, la fonctionnalité vérifiait discrètement si certains utilisateurs disposant de proxys actifs semblaient se trouver en Chine, passaient par des URL chinoises ou étaient connectés à des laboratoires d’IA chinois.
La controverse est notable non seulement en raison de ce que le code aurait fait, mais aussi de la manière dont il l’aurait fait. Le texte source indique que le système transmettait des signaux au moyen de modifications presque imperceptibles du prompt système de l’outil, une forme de stéganographie que les utilisateurs ordinaires ne pouvaient pas facilement détecter. Ce choix de conception a transformé ce qui aurait pu être un simple mécanisme d’application de politique en un débat plus large sur la télémétrie clandestine au sein d’un outil de développement d’IA disposant d’un large accès local.
Ce que la fonctionnalité cachée vérifiait apparemment
Le texte source de The Decoder indique que la fonctionnalité était présente depuis la version 2.1.91 de Claude Code, publiée le 2 avril 2026. Elle aurait recherché plusieurs indices associés à des schémas d’accès liés à la Chine. Parmi eux figuraient la correspondance du fuseau horaire du système avec Asia/Shanghai ou Asia/Urumqi, le fait qu’une URL de proxy pointe vers des domaines chinois et le fait que la connexion semble liée à un laboratoire d’IA chinois.
Plutôt que d’afficher ces vérifications directement dans des journaux ou des prompts visibles, le logiciel aurait encodé les résultats dans de subtiles variations de mise en forme. Le texte fourni indique que Claude Code modifiait le format de la date et changeait même le caractère apostrophe utilisé dans la phrase « Today’s date is. » Pour les utilisateurs, le prompt paraissait inchangé. En interne, toutefois, ces variations pouvaient transmettre un signal caché lisible par Anthropic.
Le rapport indique également que le code concerné était obfusqué à l’aide d’un chiffrement XOR avec la clé 91, ce qui le rendait plus difficile à repérer lors d’un examen superficiel. Selon le texte source, les notes de version de la 2.1.91 ne mentionnaient pas cette vérification.
Pourquoi la révélation a suscité de vives réactions
Les critiques les plus sévères se sont concentrées sur le consentement et la confiance. Claude Code n’est pas une simple application de consommation passive. C’est un outil de développement qui, selon le texte fourni, dispose d’un accès complet au système de fichiers et au shell. Dans ce contexte, tout mécanisme non divulgué qui examine les propriétés du système ou la configuration du proxy paraît particulièrement sensible.
L’utilisateur Reddit cité dans le texte source a qualifié la transmission clandestine de données système et de proxy, à l’insu de l’utilisateur, de violation fondamentale de la confiance. L’argument ne portait pas seulement sur l’existence de la fonctionnalité, mais aussi sur le fait qu’elle utilisait une signalisation cachée au niveau du prompt plutôt qu’un flux d’application clairement documenté. Pour les développeurs et les équipes d’entreprise qui évaluent les outils d’IA, cette distinction compte. La transparence sur ce qui est inspecté, ce qui est transmis et pourquoi est souvent aussi importante que l’objectif de sécurité lui-même.
Le texte source note également une objection pratique : le mécanisme aurait pu être facile à contourner pour des attaquants expérimentés, ce qui soulève la question de savoir si les coûts en matière de confiance surpassaient le bénéfice technique. Si une vérification clandestine peut être déjouée sans grande difficulté, l’effet restant risque d’être plus fort sur les utilisateurs ordinaires que sur les abuseurs sophistiqués.
L’explication d’Anthropic
Selon le texte fourni, Thariq Shihipar, employé d’Anthropic travaillant sur l’équipe Claude Code, a décrit la fonctionnalité sur X comme une expérience visant à empêcher l’abus de comptes par des revendeurs non autorisés et à protéger contre la distillation. Il a également indiqué que l’équipe avait depuis mis en place des mesures d’atténuation plus fortes et prévoyait déjà de supprimer l’ancien mécanisme.
La réponse rapportée est importante car elle présente l’affaire comme des contrôles de sécurité intermédiaires plutôt que comme une politique produit de long terme. Anthropic, selon le texte source, avait déjà fusionné une pull request pour supprimer la fonctionnalité, le retour arrière étant attendu dans la version du lendemain. Dans ce récit, les signaux cachés du prompt n’étaient pas défendus comme une norme permanente ou acceptable, mais traités comme une mesure expérimentale qui avait dépassé son utilité.
Néanmoins, cette explication n’efface pas le problème de gouvernance révélé par l’épisode. Les équipes de sécurité justifient souvent des contrôles temporaires en période de risque élevé. Mais lorsque ces contrôles fonctionnent de manière invisible dans des outils utilisés par des développeurs, le niveau d’exigence en matière de revue interne, de divulgation et d’audit devient bien plus élevé.
Le contexte géopolitique plus large
Le texte source de The Decoder replace la question de la surveillance dans un contexte politique et concurrentiel plus large. Anthropic n’offre pas ses modèles en Chine pour des raisons de sécurité nationale, selon le texte fourni. Dans le même temps, de nombreux développeurs chinois seraient amenés à accéder à Claude via des numéros de téléphone et des cartes de crédit étrangers.
Le rapport indique aussi qu’Anthropic a déjà accusé plusieurs sociétés chinoises d’IA, dont DeepSeek, Moonshot AI, MiniMax et Alibaba, d’avoir utilisé les sorties des modèles Claude sans autorisation pour entraîner leurs propres modèles. Si cette préoccupation fait partie du modèle de menace de l’entreprise, elle aide à expliquer pourquoi des schémas d’accès liés au proxy et à la localisation ont pu attirer l’attention.
Ce contexte est important, mais insuffisant pour trancher la question produit. Les entreprises d’IA évoluent de plus en plus à l’intersection des logiciels commerciaux, des contrôles à l’exportation, de la prévention des abus de plateforme et de la stratégie de protection des modèles. Des mesures conçues pour un objectif peuvent créer de nouvelles responsabilités ailleurs, en particulier lorsque l’outil concerné fonctionne au plus près des systèmes utilisateur et des flux de travail de développement.
Pourquoi cela compte au-delà d’une seule fonctionnalité
L’épisode illustre une tension plus profonde dans l’infrastructure de l’IA. Les fournisseurs de modèles veulent empêcher la fraude, la revente non autorisée et l’extraction de données d’entraînement. Les utilisateurs veulent des outils performants qui se comportent de manière prévisible et divulguent clairement leurs comportements de surveillance. À mesure que les assistants de codage alimentés par l’IA acquièrent des privilèges locaux plus puissants, cette tension est appelée à s’intensifier.
Ce qui s’est passé avec Claude Code est donc plus qu’un simple embarras produit de courte durée. C’est un signal d’alerte sur les standards que les outils d’IA avancés devront respecter. Des contrôles cachés qui seraient peut-être passés inaperçus dans un service web sont plus difficiles à justifier dans un logiciel capable d’inspecter des environnements locaux et d’exécuter des commandes.
Pour le marché dans son ensemble, la leçon est simple : les fonctions de sécurité dans les outils d’IA destinés aux développeurs doivent être visibles, vérifiables et proportionnées à la menace qu’elles visent à traiter. Le recul rapporté d’Anthropic peut clore ce chapitre précis, mais il n’éteindra pas le débat plus large sur le niveau d’application invisible que les utilisateurs accepteront de la part des systèmes de plus en plus intégrés à leur travail.
Cet article s’appuie sur le reportage de The Decoder. Lire l’article original.
Originally published on the-decoder.com

