C'est avéré : Claude Code espionne les utilisateurs, le fuseau horaire et les laboratoires chinois d'IA sont des mots-clés

marsbit发布于2026-07-01更新于2026-07-01

文章摘要

Aujourd'hui, Anthropic a connu une journée contrastée. D'un côté, la société a lancé Claude Sonnet 5, un modèle présenté comme très performant, et a annoncé que le département américain du Commerce levait les restrictions à l'exportation sur ses modèles Claude Fable 5 et Mythos 5, suite à des engagements de sécurité. D'un autre côté, une controverse majeure a émergé concernant Claude Code, l'assistant de programmation. Des développeurs ont exposé qu'il intégrerait discrètement un mécanisme de collecte de données des utilisateurs, notamment chinois. Selon des rapports publiés sur GitHub et Reddit, l'outil détecterait le fuseau horaire (comme Asia/Shanghai), l'utilisation de proxies ou de connexions à des domaines liés à des laboratoires d'IA chinois (Baidu, Alibaba, etc.). Ces informations seraient ensuite encodées de manière stéganographique dans l'invite système envoyée au modèle, par de subtiles variations de caractères (comme le format de la date ou le type d'apostrophe dans "Today's date"), rendant la pratique invisible à l'œil nu. Bien que la télémétrie soit courante, la méthode employée – non documentée et difficile à détecter – soulève de sérieuses questions sur la confiance et la transparence, surtout pour un outil ayant accès au code et aux commandes système. Anthropic a répondu qu'un correctif supprimant ce code serait déployé.

Aujourd'hui, Anthropic peut être dit « doublement heureux ».

D'une part, il a publié le modèle « Claude Sonnet 5, le plus agentique à ce jour », dont les performances se rapprochent de celles d'Opus 4.8.

D'autre part, il a annoncé publiquement que le ministère américain du Commerce avait levé les contrôles à l'exportation sur ses Claude Fable 5 et Mythos 5. Anthropic rétablira l'accès à partir de demain et partagera bientôt les derniers développements.

Selon le contenu d'un accord signé par le secrétaire américain au Commerce, Howard Lutnick, depuis l'envoi des lettres concernées les 12 et 26 juin, Anthropic a travaillé en étroite collaboration avec le gouvernement américain pour prendre des mesures visant à traiter les risques liés à Claude Mythos 5 et Claude Fable 5.

Parmi ces engagements, Anthropic s'est engagé à identifier et traiter activement les risques de sécurité potentiels de ces modèles ; à maintenir une collaboration étroite avec le gouvernement américain concernant les accords, normes et calendriers de publication pour Mythos, Fable et les futurs modèles ; et à informer le gouvernement américain en cas de détection d'activités malveillantes.

Sur la base des actions entreprises et des engagements pris par Anthropic, ainsi que de l'évaluation par le Bureau de l'industrie et de la sécurité du ministère américain du Commerce des risques actuels de transfert liés à Claude Mythos 5 et Claude Fable 5, le ministère américain du Commerce a décidé de retirer les mesures de contrôle de la lettre du 12 juin.

Cela signifie que l'exportation, la réexportation et le transfert sur le territoire national, y compris les exportations et réexportations « réputées », de Claude Mythos 5 et Claude Fable 5 ne nécessiteront plus de licence à l'avenir.

Cependant, le ministère américain du Commerce se réserve le droit de réévaluer cette décision. Si la situation évolue ou si Anthropic ne respecte pas ses engagements, le ministère pourrait rétablir l'exigence de licence.

Cependant, pour les utilisateurs chinois, la joie n'est pas encore au rendez-vous.

Le même jour, la communauté des développeurs a débattu avec passion d'un autre sujet : quelqu'un a découvert que Claude Code collectait, à l'insu des utilisateurs, des informations locales sur les proxys et les fuseaux horaires, et intégrait ces informations dans les invites envoyées vers le cloud via une technique de « stéganographie ».

Révélations : Claude Code utiliserait un code invisible pour marquer les utilisateurs chinois

Récemment, quelqu'un a révélé qu'Anthropic avait secrètement intégré un morceau de code dans Claude Code.

Ce code détecte automatiquement si l'utilisateur utilise le fuseau horaire chinois, la situation actuelle du proxy réseau, et s'il est connecté à des environnements associés à certains laboratoires chinois d'IA.

Ensuite, il intègre ces informations de manière stéganographique dans l'invite système envoyée à l'IA.

Les utilisateurs chinois ne s'en aperçoivent absolument pas, mais Anthropic peut ainsi les identifier via ces empreintes digitales invisibles.

Un développeur a d'abord soulevé des doutes sur Reddit, puis a publié un rapport de vérification sur GitHub, affirmant avoir inspecté le code des trois versions 2.1.193, 2.1.195 et 2.1.196 de Claude Code et confirmé l'existence d'un mécanisme caché. Ce mécanisme a été qualifié de canal d'information dissimulé dans l'invite système.

Logique de détection

Selon le rapport, Claude Code détecte la variable d'environnement ANTHROPIC_BASE_URL, cette variable étant généralement activée lorsque l'utilisateur dirige Claude Code vers un proxy API personnalisé plutôt que vers le point de terminaison officiel api.anthropic.com. Lorsqu'un routage non officiel est détecté, le programme extrait le domaine du proxy, lit le fuseau horaire système de l'utilisateur, en vérifiant particulièrement s'il s'agit de Asia/Shanghai ou Asia/Urumqi.

Analyse réalisée avec GLM5.2

Le rapport indique que ce domaine est comparé à une liste décodée contenant 147 entrées. Cette liste comprend des domaines d'entreprises technologiques et de laboratoires d'IA chinois tels que Baidu, Alibaba, Ant Group, ByteDance, Moonshot AI, MiniMax, Stepfun, ainsi qu'un grand nombre d'adresses de services de revente de Claude ou de miroirs API.

Méthode de transmission de l'information

Le cœur de la controverse réside dans le chemin de transmission de l'information.

Le rapport souligne que Claude Code ne configure pas de champ de télémétrie indépendant pour rapporter les données. Le vecteur des informations anormales est la phrase la plus insignifiante de l'invite système : « Today's date is... ».

Lorsque le fuseau horaire système est identifié comme étant chinois, le séparateur de date passe d'un trait d'union à une barre oblique, par exemple 2026-06-30 s'affiche comme 2026/06/30. L'apostrophe dans « Today's date » alterne simultanément entre plusieurs caractères Unicode similaires tels que ', ', ʼ, ʹ, etc., pour marquer si la requête actuelle correspond à un domaine de la liste, à des mots-clés de laboratoires d'IA, ou aux deux. Ces symboles sont difficiles à distinguer à l'œil nu dans une interface normale.

Pour l'utilisateur ordinaire, les symboles ', ', ʼ, ʹ sont presque impossibles à distinguer à l'œil nu, ce qui explique pourquoi ce mécanisme est resté caché si longtemps. Si l'analyse est exacte, chaque requête répondant aux critères transporte une telle marque, imperceptible, vers le serveur en amont.

Point de discorde

La collecte de données de télémétrie est courante dans l'industrie logicielle. Les entreprises d'IA, motivées par la prévention des abus, la limitation de la revente, l'évitement des risques de sanctions et la protection contre le « distillation » de leurs modèles, ont souvent des raisons suffisantes d'identifier le comportement des utilisateurs. De ce point de vue, il n'est pas difficile de comprendre la motivation d'Anthropic à vouloir limiter la revente illicite de l'accès à Claude sur le marché chinois.

Le point de discorde est la méthode de mise en œuvre, et non l'objectif lui-même.

Pour les mécanismes de télémétrie divulgués publiquement, les développeurs disposent d'un droit à l'information et d'un choix suffisants : ils peuvent consulter la documentation, bloquer des points de terminaison spécifiques ou décider eux-mêmes d'accepter ou non une collecte de données donnée. Mais dissimuler des informations de marquage dans des différences de caractères presque impossibles à détecter dans l'invite modifie la prémisse de confiance entre l'utilisateur et l'outil. Pour un assistant de codage, une telle transgression a un coût significatif.

Contexte des autorisations

Claude Code intègre un système de permissions couvrant des opérations telles que la lecture de fichiers, l'exécution de commandes Bash et l'édition de fichiers. Parmi celles-ci, les opérations en lecture seule ne nécessitent pas d'approbation de l'utilisateur, tandis que les opérations impliquant l'exécution de commandes et la modification de fichiers nécessitent une confirmation d'autorisation.

Anthropic avait précédemment évoqué publiquement le problème potentiel de « l'approval fatigue » (fatigue d'approbation) de Claude Code, reconnaissant que la plupart des utilisateurs approuvent par habitude les demandes d'autorisation, et que désactiver complètement le mécanisme d'approbation des autorisations n'est pas sûr dans la grande majorité des scénarios.

Dans son propre blog d'ingénierie, l'entreprise a également documenté des cas réels de « agentic misbehavior » (comportement incontrôlé de l'agent), incluant la suppression accidentelle de branches git distantes, le téléchargement accidentel de jetons GitHub, et même des tentatives d'exécution d'opérations de migration sur des bases de données de production.

Un agent de codage opère à l'intérieur d'un dépôt de code, pouvant accéder au code source, à la structure des fichiers, aux détails du projet, voire à des clés exposées par inadvertance par l'utilisateur, et se voit conférer l'autorisation d'exécuter des commandes et de modifier des fichiers. Pour un tel outil, la confiance est le fondement même de son existence.

Si le côté client encode secrètement des métadonnées de routage dans l'invite, les utilisateurs ont naturellement des raisons de s'interroger : quelles autres informations sont enregistrées de manière similaire ? Existe-t-il d'autres logiques de détection non divulguées côté client ? Ces comportements ont-ils été documentés quelque part ?

Après la révélation de l'incident, un membre de l'équipe technique d'Anthropic, @trq212, a répondu concernant les raisons de l'implémentation du code, indiquant que ce code serait supprimé dans la nouvelle version publiée le lendemain.

Liens de référence :

https://news.ycombinator.com/item?id=48734373

https://thereallo.dev/blog/claude-code-prompt-steganography

https://x.com/IntCyberDigest/status/2071971609183678544?s=20

https://www.internationalcyberdigest.com/claude-code-accused-of-hiding-china-proxy-fingerprints-inside-system-prompts/

Cet article provient du compte WeChat officiel « Machine Heart » (ID : almosthuman2014), auteur : Focus sur l'IA

热门币种推荐

相关问答

QQuel est l'événement principal qui a mis Anthropic sous le feu des projecteurs selon l'article ?

AL'article révèle qu'Anthropic a été critiqué pour avoir secrètement intégré un code dans Claude Code, son assistant de codage, qui collectait des informations comme le fuseau horaire et les détails du proxy des utilisateurs à leur insu, en les dissimulant dans les invites système via la stéganographie, ciblant notamment les utilisateurs chinois.

QComment Claude Code transmettait-il les informations collectées sans éveiller les soupçons ?

AClaude Code insérait les informations collectées (comme le fuseau horaire chinois ou l'utilisation d'un proxy spécifique) en modifiant subtilement des caractères dans l'invite système "Today's date is...", par exemple en changeant les tirets en barres obliques ou en utilisant différentes variantes du caractère apostrophe (', ʼ, ʹ), rendant la marque pratiquement invisible à l'œil nu.

QQuel a été la réaction d'Anthropic suite à la divulgation de cette pratique ?

AUn membre de l'équipe technique d'Anthropic, @trq212, a répondu en donnant des explications sur le code et a déclaré qu'il serait supprimé dans la nouvelle version du logiciel prévue pour le lendemain de la révélation.

QQuelle est la principale préoccupation soulevée par cet incident concernant la relation de confiance avec les outils d'assistance au codage ?

AL'incident soulève de sérieuses questions sur la confiance, car un assistant de codage a accès au code source, aux structures de fichiers et peut exécuter des commandes. Si le client peut dissimuler secrètement des métadonnées dans les invites, les utilisateurs peuvent légitimement se demander quelles autres informations sont collectées de manière non divulguée et si ces pratiques sont documentées.

QEn plus de la controverse sur Claude Code, quelle autre nouvelle importante concernant Anthropic est mentionnée dans l'article ?

AL'article mentionne également qu'Anthropic a annoncé que le département américain du Commerce avait levé les restrictions à l'exportation pour ses modèles Claude Fable 5 et Claude Mythos 5, permettant leur accès sans licence, suite aux engagements de l'entreprise concernant la gestion des risques de sécurité avec le gouvernement américain.

你可能也喜欢

Karpathy又封神,掀翻RAG,把你的笔记变成第二大脑

前OpenAI联合创始人安德烈·卡帕西提出了一种突破性的知识管理新范式“LLM-Wiki”,旨在解决信息过载时代个人知识库沦为“赛博木乃伊”的困境。他主张将个人笔记视为“不可变源代码”,而让大语言模型扮演“编译器”角色,将其一次性编译成结构化、逻辑自洽且持续更新的个人维基百科。 这一方法从根本上区别于当前主流的检索增强生成技术。RAG在每次查询时临时检索片段拼凑答案,存在无法理解全局、可能自我矛盾、知识链接易腐烂等问题。卡帕西的范式则将知识“编译”一次后持续保鲜,每次新增材料,AI会自动融合更新相关条目、修订综述、标记矛盾,使知识库始终保持鲜活与一致性。 其架构核心在于三层解耦:底层是记录原始灵感的“素材层”,中层是由用户定义格式的“规则层”,顶层则是由AI全权维护、结构化的“维基层”。用户日常只需进行三项操作:投入新素材、查询编译后的知识库,或定期让AI进行知识库“体检”以排查矛盾与缺口。这实现了认知生产关系的根本转移——人类从繁琐的知识搬运、整理与维护工作中解放出来,专注于核心的输入与审阅,而AI则承担了所有“记账”类杂活。 文章指出,这一构想实质上实现了计算机先驱范内瓦·布什在1945年设想的“Memex”记忆机器的愿景,其长久未能实现的核心障碍在于人工维护交叉引用与知识路径的成本过高。大语言模型的出现,近乎零成本地解决了这一维护难题。 卡帕西的“LLM-Wiki”是其关于人机协作系列思考的第三块拼图,其最终目的并非替代人类,而是将人类的注意力从机械的“记账”工作中解放出来,重新聚焦于决定阅读方向与思考深层意义这两件机器无法替代的事情上。

marsbit3分钟前

Karpathy又封神,掀翻RAG,把你的笔记变成第二大脑

marsbit3分钟前

Claude Science几周干完两年活,10倍科研提速真来了?

Anthropic近日推出Claude Science,这是一个面向科学家的AI工作台,旨在将科研流程整合为一条可审计的流水线,显著提升效率。据案例介绍,有神经科学家团队使用该工具将一篇长篇综述的写作时间从近两年压缩到几周。 Claude Science的关键在于整合碎片化的科研工具链。它能在同一环境中完成文献分析、计算、图表制作和论文撰写,支持本地或远程运行,并可自动调度算力资源,将分析任务扩展到数百个GPU。其突出特点是强调可复现性:生成的每张图都附带确切的生成代码、运行环境和完整对话历史,确保结果可追溯、可修改。 该平台采用多智能体协作架构,包括一个协调智能体和专门核查引用与计算的审查智能体,形成类似“AI内部同行评审”的机制,但坚持“人在回路”原则,关键决策需经用户授权。目前,Claude Science首先聚焦生命科学领域,已预置基因组、单细胞、蛋白质组等分析环境,并能连接60多个科学数据库。 在科研AI赛道,各厂商策略不同:Google依靠AlphaFold等独家模型,OpenAI侧重提升模型的科研判断力(如推出GeneBench-Pro基准测试),而Anthropic则专注于构建端到端、可审计的工作流。Claude Science的目标并非替代科学家,而是通过自动化繁琐流程,将科研真正融入实验室日常,同时解决科研中长期存在的可复现性难题。

marsbit7分钟前

Claude Science几周干完两年活,10倍科研提速真来了?

marsbit7分钟前

GoMining 发布 GoBTC Pay SDK 以扩展比特币支付

GoMining推出GoBTC Pay SDK Gen1版本及API,旨在将比特币支付集成到现实世界的产品与服务中。该技术基于比特币一层网络,支持快速、非托管的比特币交易,使商户、钱包提供商及生态合作伙伴能够在其网络上构建和扩展支付体验。 作为发布的一部分,GoMining正在接入首批最多10家商户和生态合作伙伴,开始将GoBTC Pay集成至其产品。GoMining CEO Mark Zalan表示,此举是为了让比特币在日常商业中无缝流通,而不仅仅作为资产持有。 GoBTC Pay直接在比特币网络结算,保持用户资产非托管。Gen1版本提供商户入驻工具、支付管理功能、基于Web的商户仪表板、在线支付连接器、公开开发者文档以及面向钱包提供商和机构合作伙伴的开放API。 该支付协议由GoMining基于Stratum V2协议的私有15EH/s内存池驱动,可优先处理GoBTC Pay交易,平均结算时间约为12小时。其激励机制旨在协调商户、钱包和矿工的利益:商户支付0.2%的交易费,由参与的钱包提供商和处理支付的GoMining矿池矿工均分。 此次发布是GoMining更大生态系统战略的开端,旨在推动比特币支付在商户和钱包中的实际应用。GoMining是全球算力排名前十的比特币矿商之一,通过代币化算力及支付方案,致力于让比特币的获取和使用更便捷安全。

TheNewsCrypto42分钟前

GoMining 发布 GoBTC Pay SDK 以扩展比特币支付

TheNewsCrypto42分钟前

交易

现货

热门文章

从H2A到A2A:AI Agent经济体与Crypto新机遇

6月17日,哈佛大学独立研究员、美国AI科学院(NAAI)通讯院士、比特币基金会终身会员韩锋做客火币HTX《大咖讲堂》第三期,以《从H2A到A2A》为主题,分享了其对Agent经济、Crypto基础设施及数字社会未来发展的思考。

17人学过发布于 2026.07.01更新于 2026.07.01

从H2A到A2A:AI Agent经济体与Crypto新机遇

相关讨论

欢迎来到HTX社区。在这里,您可以了解最新的平台发展动态并获得专业的市场意见。以下是用户对AI(AI)币价的意见。

活动图片