L'autorite cyber chinoise a signale une "backdoor de securite" dans Claude Code d'Anthropic, l'outil de code IA populaire, et Alibaba l'a banni pour ses employes. Anthropic decrit le meme mecanisme comme une experience anti-abus. Selon CBS News, CNBC et Tom's Hardware, voici les faits, les deux versions et le correctif pratique. Pour le contexte, voyez notre guide agent de code IA.
Ce qui a ete signale
D'apres la couverture, le ministere chinois de l'Industrie et des Technologies de l'information (MIIT) a indique que sa plateforme de menaces cyber avait trouve que Claude Code contenait une backdoor de securite. L'affirmation : l'outil pouvait transmettre des informations sensibles - dont la localisation d'un utilisateur et des identifiants lies a son identite - vers les serveurs d'Anthropic sans consentement.
Alibaba a ensuite interdit a ses employes d'utiliser Claude Code pour le travail, a compter du 10 juillet, en orientant le personnel vers un outil alternatif.

Ce que dit Anthropic
La version d'Anthropic differe. Un ingenieur de l'equipe Claude Code, Thariq Shihipar, a reagi sur X en decrivant le mecanisme comme une experience lancee en mars pour empecher l'abus de compte par des revendeurs non autorises et se proteger contre la distillation de modele.
Autrement dit, les deux camps s'accordent sur l'existence d'un code pour detecter ou se trouvait un utilisateur - mais divergent sur son but : une backdoor de collecte de donnees dissimulee, selon l'alerte chinoise, contre une verification anti-abus, selon Anthropic. Nous ne sommes pas en position de trancher l'intention ; les deux descriptions sont publiques.
Quelles versions, et le correctif
La partie concrete et utile, c'est la plage de versions. D'apres la couverture :
- Affectees : Claude Code 2.1.91 a 2.1.196 (publiees du 2 avril au 29 juin 2026).
- Derniere version listee : 2.1.204 - hors de la plage signalee.
L'etape simple pour quiconque l'utilise : desinstaller les versions affectees ou passer a la version actuelle.
La lecon plus large
Quelle que soit l'intention ici, l'episode rappelle qu'un outil de code IA tourne sur votre machine avec un vrai acces - vos fichiers, votre environnement, et une connexion reseau vers un editeur. Cela merite un moment de reflexion securite des agents IA :
- Sachez ce qui quitte votre machine. Tout outil IA cloud envoie des prompts et du contexte a un serveur. Verifiez ce qu'un outil transmet et quand.
- Suivez la politique pour le code sensible. Sur du code reglemente ou confidentiel, appliquez les regles de votre organisation sur les outils IA autorises.
- Gardez les outils a jour. Utiliser la version actuelle est le moyen le plus simple d'eviter un build signale.
Ce qu'il faut retenir honnetement
Deux precautions. D'abord, c'est un litige en cours : une alerte gouvernementale et l'explication d'une entreprise, rapportees par des medias grand public, pas un audit independant tranche. Nous avons expose les deux camps sans en choisir un. Ensuite, le correctif est peu spectaculaire et identique dans les deux cas : mettez Claude Code a jour et sachez ce que vos outils envoient.
La lecture honnete : traitez tout assistant de code IA comme un logiciel avec acces et lien reseau, gardez-le a jour, et adaptez votre prudence a votre modele de menace. Si vous pesez des alternatives, notre comparatif Cursor vs Claude Code et le panorama meilleurs LLM de code 2026 peuvent aider.



