La Chine avertit les développeurs que Claude Code contient des vulnérabilités de type porte dérobée

La base de données nationale chinoise des vulnérabilités (CNVDB) a émis un avertissement urgent affirmant que certaines versions de l’outil de codage IA Claude Code d’Anthropic contiennent des « vulnérabilités de type porte dérobée » pouvant transmettre des données sensibles des utilisateurs vers des serveurs distants sans consentement.

L’organisme d’État a indiqué que l’alerte concerne les versions 2.1.91 (sortie le 2 avril) à 2.1.196 (sortie le 29 juin) de Claude Code. Il a exhorté les entreprises et les développeurs individuels à désinstaller immédiatement ces versions ou à passer à la version sécurisée la plus récente.

La CNVDB a allégué qu’un mécanisme de surveillance intégré dans ces versions peut collecter les données de localisation des utilisateurs et les identifiants liés à l’identité, puis les transmettre à des serveurs distants. Elle a recommandé aux organisations de « renforcer le contrôle des autorisations d’accès externes et la surveillance du trafic des outils de développement au sein des segments réseau essentiels. »

Contexte et tensions

Cet avertissement constitue la dernière escalade dans la dégradation des relations entre Anthropic et les entités technologiques chinoises. Fin juin, Anthropic a publiquement accusé le géant chinois de la tech Alibaba d’extraire illicitement les résultats de Claude pour améliorer ses propres modèles d’IA, décrivant cette action dans une lettre adressée à deux sénateurs américains comme la plus grande attaque contre son IA jamais observée. Peu après, Alibaba a interdit à ses employés d’utiliser Claude Code.

Les allégations de porte dérobée font également suite aux révélations selon lesquelles Anthropic avait intégré du code occulte, un système de stéganographie, dans Claude Code pour détecter la distillation de modèles par ses concurrents. L’ingénieur de Claude Code Thariq Shihipar a confirmé l’existence du système et a déclaré que des « mesures d’atténuation plus strictes » avaient depuis été mises en œuvre, le code secret ayant été supprimé dans la version 2.1.198 (sortie le 1er juillet). Interrogée sur le point de savoir si le mécanisme de surveillance mentionné par la Chine était le même système que celui divulgué dans ses conditions d’utilisation, Anthropic n’a pas répondu directement à la question.

Implications plus larges

L’avertissement de la CNVDB a un poids considérable dans le secteur technologique chinois. Les avertissements étatiques concernant des logiciels étrangers peuvent déclencher une adoption rapide d’alternatives nationales par les entreprises. Pour les entreprises étrangères d’IA opérant en Chine ou y vendant leurs produits, cet incident souligne à quel point les préoccupations liées à la localisation des données et la rhétorique de sécurité nationale façonnent de plus en plus l’environnement réglementaire des outils de développement d’IA.

Anthropic n’avait pas commenté publiquement les détails des allégations de porte dérobée de la CNVDB au moment de la publication.

Sources : The Register (8 juillet) ; China Daily (8 juillet)

Traduit par Lydie

Scroll to Top