L'organisme chinois de cybersécurité soutenu par le gouvernement a signalé une « porte dérobée de sécurité » dans l'outil de codage IA d'Anthropic, Claude Code, exhortant les utilisateurs à le désinstaller ou à mettre à jour vers la dernière version.
La Base de données nationale des vulnérabilités (NVDB), liée au ministère chinois de l'Industrie et des Technologies de l'information, a publié cet avertissement le 8 juillet via son compte WeChat.

La NVDB a indiqué que les versions concernées allaient de Claude Code 2.1.91 à 2.1.196. Elle a affirmé que ces versions pouvaient collecter les géolocalisations des utilisateurs et les données liées à leur identité, puis envoyer ces informations à des serveurs distants sans le consentement de l'utilisateur.
L'agence a qualifié le problème de « menace grave » et a demandé aux organisations de procéder immédiatement à un examen complet du système.
Avant que la NVDB ne rende l'information publique, le géant chinois de la technologie Alibaba avait déjà pris des mesures pour restreindre l'outil en interne. L'entreprise a informé ses employés la semaine dernière que Claude Code serait interdit pour un usage professionnel à partir du 10 juillet, enjoignant au personnel d'utiliser plutôt son propre assistant de codage interne, Qoder.
Alibaba a cité les mêmes préoccupations de sécurité liées à la porte dérobée signalées par la NVDB.
Cela ajoute une autre couche aux relations déjà tendues entre Alibaba et Anthropic. Anthropic a précédemment accusé Alibaba et d'autres entreprises chinoises d'utiliser une technique appelée « distillation » — l'entraînement de modèles IA plus petits sur les sorties de modèles plus avancés — pour copier les capacités de ses modèles.
Anthropic n'a pas émis de réponse publique formelle à l'avertissement de la Chine.
Cependant, l'ingénieur de Claude Code, Thariq Shihipar, a abordé la question sur X la semaine dernière après que les rapports ont fait surface pour la première fois dans les médias technologiques spécialisés.
Shihipar a déclaré que le suivi des données faisait partie d'une expérience lancée en mars. L'objectif était de prévenir l'abus de comptes par des revendeurs non autorisés et de se protéger contre la distillation de modèles.
Anthropic bloque l'accès à ses produits aux utilisateurs et aux entreprises en Chine et dans d'autres pays qu'elle considère comme adverses. Malgré cela, de nombreux développeurs chinois continuent d'utiliser Claude Code via des services VPN et des serveurs proxy à l'étranger.
La NVDB a également recommandé aux organisations de renforcer les contrôles sur l'accès aux réseaux externes et d'augmenter la surveillance du trafic pour prévenir les transferts de données non autorisés.
Au moment de la rédaction de cet article, Anthropic n'avait pas répondu aux demandes des médias pour commenter les allégations spécifiques de la NVDB.
L'article « La Chine affirme que l'outil de codage d'Anthropic envoyait secrètement vos données — Voici ce que nous savons » est paru en premier sur CoinCentral.

