Le 30 juin 2026, un développeur connu sous le pseudonyme de Thereallo a fait ce que les développeurs font souvent : comme il n’était pas tout à fait tranquille sur ce qu’un logiciel faisait réellement sur sa machine, il a ouvert son code source.
Ce logiciel, c’est Claude Code — l’assistant de programmation lancé par Anthropic. Un collègue artificiel qui écrit du code, exécute des commandes, modifie des fichiers, le tout avec des permissions qui donnent le vertige : lecture de vos dossiers, exécution dans votre terminal, pilotage de votre navigateur.
Thereallo examinait le code source de la version 2.1.196 de Claude Code. À un moment, sa main s’est arrêtée.
Le programme contenait une fonctionnalité intégrée : à chaque requête envoyée à l’IA, il dissimule dans le texte des marqueurs invisibles à l’œil nu. En clair, de l’encre invisible — cachée dans une ligne du prompt système, sans la moindre mention dans les canaux officiels de communication.
Il a écrit un article de blog sur sa découverte. Six heures plus tard, son billet atteignait 1284 points et 362 commentaires sur Hacker News, et 31 votes sur Lobsters. La communauté tech tout entière s’est embrasée.
Comment fonctionne l’encre invisible ?
Pour saisir pourquoi cette découverte a suscité une telle alerte, il faut comprendre comment opère cette « encre invisible ».
À chaque session, Claude Code envoie au modèle d’IA une information contextuelle, par exemple : « la date d’aujourd’hui est le 2026-06-30 ». Rien d’anormal — l’IA doit connaître la date pour répondre à des questions temporelles.
Mais Thereallo a découvert qu’avant d’envoyer cette chaîne, le programme effectue une série de « vérifications ». Il regarde d’abord si le fuseau horaire de votre machine est réglé sur « Shanghai » ou « Ürümqi ». Si ce n’est pas le cas, il vérifie si vos requêtes réseau sont dirigées vers une certaine URL.
En fonction du résultat, le programme modifie subrepticement deux éléments dans la chaîne de date :
Premièrement, il remplace les tirets ’-’ par des barres obliques ’/’. « 2026-06-30 » devient « 2026/06/30 ».
Deuxièmement, il remplace les apostrophes anglaises par quatre variantes Unicode distinctes. À l’écran, ces apostrophes sont rigoureusement identiques — l’œil humain ne peut les différencier. Mais pour un ordinateur, ce sont quatre caractères différents, comme quatre tampons distincts.
En combinant les résultats des vérifications de fuseau horaire, d’URL et de correspondance de mots-clés, le système produit quatre « signatures invisibles » différentes. Quand les serveurs d’Anthropic reçoivent la requête, ils peuvent identifier le canal d’origine en décodant ces caractères invisibles.
Plus troublant encore : la liste des cibles de ce système est chiffrée. Les domaines et les mots-clés ne figurent pas en clair dans le code — ils sont dissimulés par un chiffrement XOR (une méthode de chiffrement basique) couplé à un encodage Base64. Thereallo a déchiffré le tout. La liste inclut :
Des mots-clés de laboratoires d’IA : deepseek, moonshot, minimax, zhipu (Zhipu AI), bigmodel, baichuan (Baichuan), stepfun (StepFun), 01ai (01.AI), dashscope (Alibaba Model Studio), volces (Volcano Engine).
Une liste de domaines encore plus large : au-delà des entreprises d’IA, on y trouve Baidu, Alibaba, Ant Group, ByteDance, Kuaishou, Xiaohongshu (RED), JD.com, Bilibili, iFlytek, et de nombreux autres domaines d’entreprises chinoises, ainsi qu’une série de sites proxy spécialisés dans la revente d’accès API.
Autrement dit, ce système de filigrane invisible cible en priorité les requêtes en provenance de Chine.
Pourquoi Anthropic fait-elle cela ?
Avant de coller l’étiquette « sournois » sur Anthropic, prenons le temps de comprendre ses motivations. Elles sont en réalité assez claires.
Le modèle Claude d’Anthropic n’est pas officiellement disponible en Chine continentale. Mais dans les faits, un très grand nombre d’utilisateurs chinois accèdent à Claude via des intermédiaires, des serveurs rebonds, des comptes partagés. Il s’est constitué un vaste marché gris — certains médias rapportent que le prix de revente de l’API Claude sur le marché chinois peut descendre jusqu’à un dixième du tarif officiel.
Ce qui inquiète encore plus Anthropic, c’est la « distillation de modèles ». Le terme est technique, mais l’idée est simple : utiliser des millions de conversations avec Claude pour entraîner un autre modèle d’IA — se servir des œuvres du maître comme manuel pour former l’élève. Fin juin 2026, Anthropic a publiquement accusé Alibaba d’avoir systématiquement distillé le modèle Claude via 25 000 faux comptes et 28,8 millions d’échanges.
Mettez-vous à la place d’Anthropic : votre modèle sert de matériel pédagogique à vos concurrents, votre service payant est revendu à prix cassé par des intermédiaires, et vous ne pourriez pas chercher un moyen de détecter ces comportements ?
C’est exactement la raison d’être de ce système de marquage invisible — apposer un « code d’identification » sur les requêtes passant par des canaux non officiels, pour permettre au backend de distinguer les requêtes normales des requêtes suspectes.
« Si on le dit, ça ne marche plus » — est-ce un argument recevable ?
C’est précisément là que le bât blesse.
La chaîne logique d’Anthropic est celle-ci : nous devons détecter les abus → mais si nous annonçons publiquement « nous détectons les abus », les fraudeurs trouveront des contournements → nous sommes donc contraints d’agir discrètement.
Cela semble raisonnable. Mais l’un des commentaires les plus appréciés sur Hacker News, signé civet_java, frappe exactement au point faible de ce raisonnement :
« Qu’un fournisseur de service ait besoin de cela pour des raisons commerciales ne le dispense pas d’une divulgation transparente. Si une divulgation honnête rend votre solution inefficace, c’est que votre solution elle-même pose problème — ce n’est pas la faute de l’utilisateur. »
Ce commentaire a recueilli une large approbation. Il met au jour une contradiction fondamentale : un système anti-fraude qui a besoin de tromperie pour être efficace fonde son efficacité sur l’ignorance des utilisateurs. C’est comme si un supermarché installait des caméras cachées dans les cabines d’essayage pour attraper les voleurs — attraper les voleurs est légitime, mais la caméra cachée est en soi une érosion de la confiance.
Une critique plus acerbe encore est venue de l’utilisateur kiproping, avec un avertissement en pente glissante. Son commentaire s’est détaché parmi plus de 300 contributions :
« On commence par justifier avec ‘la menace chinoise’, ensuite ce sera ‘les utilisateurs qui jailbreakent’, ‘les opposants à Dario’ (le CEO d’Anthropic) — la pente a déjà commencé à glisser. »
S’ensuivit un enchaînement :
- « Vous oubliez ‘pour protéger les enfants’. »
- « Qui va protéger les enfants chinois d’Internet ! » (ironique)
Cet échange en chaîne, sous ses airs de plaisanterie, touche avec précision le malaise que beaucoup ressentent sans le formuler : dès qu’une entreprise accepte la logique « la fin justifie les moyens opaques », le champ d’application de cette logique ne va que s’élargir, jamais se restreindre de lui-même. Aujourd’hui, on dissimule du code de surveillance parce que « des concurrents chinois distillent notre modèle » ; demain, on en dissimulera davantage parce que « certains utilisateurs contournent nos restrictions de sécurité avec des prompts de jailbreak ». Et après-demain ?
Qui a raison ?
Soyons justes : la menace à laquelle fait face Anthropic n’a rien d’imaginaire.
J’ai vérifié les informations publiques : Anthropic subit bel et bien un abus systémique à grande échelle. Les chaînes de revente d’API sur le marché chinois sont une réalité documentée. La distillation de modèles est passée de la théorie à la pratique — elle est désormais utilisée comme arme concurrentielle. Si vous tenez une boutique et que vous découvrez que quelqu’un passe chaque jour par la porte de derrière pour emporter vos marchandises et ouvrir une succursale à côté, l’envie de marquer vos produits est compréhensible.
Mais un utilisateur de Lobsters, bitshift, apporte une perspective plus mesurée :
« Je ne pense pas que cela érode la confiance autant que l’auteur le prétend. Si vous avez déjà accepté qu’un programme closed source exécute des commandes sur votre machine… je ne sais pas quoi vous dire. Anthropic a intérêt, pour sa réputation, à ne pas aller trop loin, mais choisir Claude, c’est déjà accepter ce deal. »
Ce point de vue a sa logique — quand vous remettez les clés de votre maison à un logiciel propriétaire, l’exigence de transparence est d’emblée relativisée. Et il est vrai qu’Anthropic n’a rien fait de malveillant dans cette affaire — un « marquage anti-fraude », pas de vol de code, pas d’exfiltration de fichiers, pas de surveillance comportementale.
Mais la contre-argumentation est tout aussi solide : la confiance n’est pas une carte de crédit à découvert illimité sous prétexte que « de toute façon, vous m’avez déjà fait confiance ». C’est précisément parce que les utilisateurs confient à cet outil des permissions considérables — lecture des fichiers, exécution de commandes, modification du code, accès réseau — qu’il se doit d’être transparent envers eux. La confiance s’accumule dans les détails les plus anodins, et c’est dans les détails les plus anodins qu’elle s’érode.
La vraie question : qui fixe les règles ?
Au cœur de cette controverse se trouve un vide de gouvernance propre à l’ère de l’IA :
Jusqu’où une entreprise d’IA peut-elle rester opaque envers ses utilisateurs lorsqu’elle protège ses intérêts commerciaux ? Qui fixe cette limite ?
Aujourd’hui, la réponse est : l’entreprise d’IA elle-même. Anthropic a décidé seule que « détecter les canaux de distribution chinois » était un objectif suffisamment important. Elle a décidé seule que « les marqueurs invisibles ne nuisent pas aux utilisateurs ». Elle a décidé seule qu’« il n’est pas nécessaire de mentionner cela dans le journal des mises à jour ». Aucune supervision externe, aucun standard sectoriel, aucun consentement utilisateur.
Mais l’utilisateur, c’est la personne qui fait tourner ce programme sur sa propre machine.
Je n’écris pas ces lignes pour conclure qu’Anthropic est coupable ou que les utilisateurs réagissent de façon excessive. Si cette controverse a atteint 1284 points sur Hacker News, c’est précisément parce que les deux camps ont des arguments qui tiennent — Anthropic subit des pertes commerciales réelles qu’elle doit contrer, et les utilisateurs ont des raisons réelles d’exiger de la transparence.
Ce qui mérite vraiment réflexion, c’est ceci : si « l’honnêteté rendrait la solution inefficace » devient un motif acceptable d’opacité, alors n’importe quelle entreprise d’IA pourra demain, avec la même logique, faire tout ce qu’elle juge « nécessaire » sans que ses utilisateurs en soient informés. Ce n’est pas du catastrophisme. Le siècle dernier, les entreprises technologiques ont transformé l’argument « pour améliorer l’expérience utilisateur » en prétexte universel de collecte de données personnelles. Cette rhétorique, nous la connaissons par cœur.
L’encre invisible n’est pas le problème. Ne pas révéler son existence, c’est cela, le problème.
Image : illustration de l’article de blog de Thereallo, montrant le principe technique des marqueurs invisibles intégrés dans le prompt système de Claude Code par substitution de caractères Unicode. Source : thereallo.dev
Liens de référence :
- https://thereallo.dev/blog/claude-code-prompt-steganography
- https://news.ycombinator.com/item?id=48734373
- https://lobste.rs/s/qs2sxd/claude_code_is_steganographically
- https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks
- https://www.tomshardware.com/tech-industry/artificial-intelligence/anthropic-claims-that-chinas-alibaba-illicitly-distilled-its-models-from-april-to-june-2026-says-effort-involved-25-000-fake-accounts-and-28-8-million-exchanges-on-claude