Aujourd'hui, Anthropic peut être dit « doublement heureux ».
D'une part, il a publié le modèle « Claude Sonnet 5, le plus agentique à ce jour », dont les performances se rapprochent de celles d'Opus 4.8.
D'autre part, il a annoncé publiquement que le ministère américain du Commerce avait levé les contrôles à l'exportation sur ses Claude Fable 5 et Mythos 5. Anthropic rétablira l'accès à partir de demain et partagera bientôt les derniers développements.

Selon le contenu d'un accord signé par le secrétaire américain au Commerce, Howard Lutnick, depuis l'envoi des lettres concernées les 12 et 26 juin, Anthropic a travaillé en étroite collaboration avec le gouvernement américain pour prendre des mesures visant à traiter les risques liés à Claude Mythos 5 et Claude Fable 5.
Parmi ces engagements, Anthropic s'est engagé à identifier et traiter activement les risques de sécurité potentiels de ces modèles ; à maintenir une collaboration étroite avec le gouvernement américain concernant les accords, normes et calendriers de publication pour Mythos, Fable et les futurs modèles ; et à informer le gouvernement américain en cas de détection d'activités malveillantes.
Sur la base des actions entreprises et des engagements pris par Anthropic, ainsi que de l'évaluation par le Bureau de l'industrie et de la sécurité du ministère américain du Commerce des risques actuels de transfert liés à Claude Mythos 5 et Claude Fable 5, le ministère américain du Commerce a décidé de retirer les mesures de contrôle de la lettre du 12 juin.
Cela signifie que l'exportation, la réexportation et le transfert sur le territoire national, y compris les exportations et réexportations « réputées », de Claude Mythos 5 et Claude Fable 5 ne nécessiteront plus de licence à l'avenir.
Cependant, le ministère américain du Commerce se réserve le droit de réévaluer cette décision. Si la situation évolue ou si Anthropic ne respecte pas ses engagements, le ministère pourrait rétablir l'exigence de licence.

Cependant, pour les utilisateurs chinois, la joie n'est pas encore au rendez-vous.
Le même jour, la communauté des développeurs a débattu avec passion d'un autre sujet : quelqu'un a découvert que Claude Code collectait, à l'insu des utilisateurs, des informations locales sur les proxys et les fuseaux horaires, et intégrait ces informations dans les invites envoyées vers le cloud via une technique de « stéganographie ».
Révélations : Claude Code utiliserait un code invisible pour marquer les utilisateurs chinois
Récemment, quelqu'un a révélé qu'Anthropic avait secrètement intégré un morceau de code dans Claude Code.
Ce code détecte automatiquement si l'utilisateur utilise le fuseau horaire chinois, la situation actuelle du proxy réseau, et s'il est connecté à des environnements associés à certains laboratoires chinois d'IA.
Ensuite, il intègre ces informations de manière stéganographique dans l'invite système envoyée à l'IA.
Les utilisateurs chinois ne s'en aperçoivent absolument pas, mais Anthropic peut ainsi les identifier via ces empreintes digitales invisibles.
Un développeur a d'abord soulevé des doutes sur Reddit, puis a publié un rapport de vérification sur GitHub, affirmant avoir inspecté le code des trois versions 2.1.193, 2.1.195 et 2.1.196 de Claude Code et confirmé l'existence d'un mécanisme caché. Ce mécanisme a été qualifié de canal d'information dissimulé dans l'invite système.
Logique de détection
Selon le rapport, Claude Code détecte la variable d'environnement ANTHROPIC_BASE_URL, cette variable étant généralement activée lorsque l'utilisateur dirige Claude Code vers un proxy API personnalisé plutôt que vers le point de terminaison officiel api.anthropic.com. Lorsqu'un routage non officiel est détecté, le programme extrait le domaine du proxy, lit le fuseau horaire système de l'utilisateur, en vérifiant particulièrement s'il s'agit de Asia/Shanghai ou Asia/Urumqi.

Analyse réalisée avec GLM5.2
Le rapport indique que ce domaine est comparé à une liste décodée contenant 147 entrées. Cette liste comprend des domaines d'entreprises technologiques et de laboratoires d'IA chinois tels que Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun, ainsi qu'un grand nombre d'adresses de services de revente de Claude ou de miroirs API.
Méthode de transmission de l'information
Le cœur de la controverse réside dans le chemin de transmission de l'information.
Le rapport souligne que Claude Code ne configure pas de champ de télémétrie indépendant pour rapporter les données. Le vecteur des informations anormales est la phrase la plus insignifiante de l'invite système : « Today's date is... ».
Lorsque le fuseau horaire système est identifié comme étant chinois, le séparateur de date passe d'un trait d'union à une barre oblique, par exemple 2026-06-30 s'affiche comme 2026/06/30. L'apostrophe dans « Today's date » alterne simultanément entre plusieurs caractères Unicode similaires tels que ', ', ʼ, ʹ, etc., pour marquer si la requête actuelle correspond à un domaine de la liste, à des mots-clés de laboratoires d'IA, ou aux deux. Ces symboles sont difficiles à distinguer à l'œil nu dans une interface normale.
Pour l'utilisateur ordinaire, les symboles ', ', ʼ, ʹ sont presque impossibles à distinguer à l'œil nu, ce qui explique pourquoi ce mécanisme est resté caché si longtemps. Si l'analyse est exacte, chaque requête répondant aux critères transporte une telle marque, imperceptible, vers le serveur en amont.
Point de discorde
La collecte de données de télémétrie est courante dans l'industrie logicielle. Les entreprises d'IA, motivées par la prévention des abus, la limitation de la revente, l'évitement des risques de sanctions et la protection contre le « distillation » de leurs modèles, ont souvent des raisons suffisantes d'identifier le comportement des utilisateurs. De ce point de vue, il n'est pas difficile de comprendre la motivation d'Anthropic à vouloir limiter la revente illicite de l'accès à Claude sur le marché chinois.
Le point de discorde est la méthode de mise en œuvre, et non l'objectif lui-même.
Pour les mécanismes de télémétrie divulgués publiquement, les développeurs disposent d'un droit à l'information et d'un choix suffisants : ils peuvent consulter la documentation, bloquer des points de terminaison spécifiques ou décider eux-mêmes d'accepter ou non une collecte de données donnée. Mais dissimuler des informations de marquage dans des différences de caractères presque impossibles à détecter dans l'invite modifie la prémisse de confiance entre l'utilisateur et l'outil. Pour un assistant de codage, une telle transgression a un coût significatif.
Contexte des autorisations
Claude Code intègre un système de permissions couvrant des opérations telles que la lecture de fichiers, l'exécution de commandes Bash et l'édition de fichiers. Parmi celles-ci, les opérations en lecture seule ne nécessitent pas d'approbation de l'utilisateur, tandis que les opérations impliquant l'exécution de commandes et la modification de fichiers nécessitent une confirmation d'autorisation.
Anthropic avait précédemment évoqué publiquement le problème potentiel de « l'approval fatigue » (fatigue d'approbation) de Claude Code, reconnaissant que la plupart des utilisateurs approuvent par habitude les demandes d'autorisation, et que désactiver complètement le mécanisme d'approbation des autorisations n'est pas sûr dans la grande majorité des scénarios.
Dans son propre blog d'ingénierie, l'entreprise a également documenté des cas réels de « agentic misbehavior » (comportement incontrôlé de l'agent), incluant la suppression accidentelle de branches git distantes, le téléchargement accidentel de jetons GitHub, et même des tentatives d'exécution d'opérations de migration sur des bases de données de production.
Un agent de codage opère à l'intérieur d'un dépôt de code, pouvant accéder au code source, à la structure des fichiers, aux détails du projet, voire à des clés exposées par inadvertance par l'utilisateur, et se voit conférer l'autorisation d'exécuter des commandes et de modifier des fichiers. Pour un tel outil, la confiance est le fondement même de son existence.
Si le côté client encode secrètement des métadonnées de routage dans l'invite, les utilisateurs ont naturellement des raisons de s'interroger : quelles autres informations sont enregistrées de manière similaire ? Existe-t-il d'autres logiques de détection non divulguées côté client ? Ces comportements ont-ils été documentés quelque part ?
Après la révélation de l'incident, un membre de l'équipe technique d'Anthropic, @trq212, a répondu concernant les raisons de l'implémentation du code, indiquant que ce code serait supprimé dans la nouvelle version publiée le lendemain.

Liens de référence :
https://news.ycombinator.com/item?id=48734373
https://thereallo.dev/blog/claude-code-prompt-steganography
https://x.com/IntCyberDigest/status/2071971609183678544?s=20
https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/
Cet article provient du compte WeChat officiel « Machine Heart » (ID : almosthuman2014), auteur : Focus sur l'IA






