Un chercheur a découvert que Claude Code, l'outil de développement d'Anthropic, intègre depuis le mois d'avril un mécanisme de marquage invisible des requêtes API. Ce comportement, absent de toute note de version, cible les utilisateurs passant par un proxy en Chine ou via des labs d'IA concurrents.

©Mijansk786 / Shutterstock
©Mijansk786 / Shutterstock

L'affaire a émergé le 30 juin 2026 sur le subreddit r/ClaudeAI, via un utilisateur identifié comme "LegitMichel777", en train de passer au crible le binaire de Claude Code 2.1.196 pour rétablir une fonctionnalité désactivée. Un second chercheur, publiant sous le pseudo "Thereallo", a confirmé les mêmes conclusions de façon indépendante le même jour.

De l'Unicode dissimulé dans le prompt système

Claude Code insère dans chaque session une ligne transmise au modèle : "Today's date is 2026-06-30". Deux éléments de cette phrase peuvent être modifiés discrètement, sans notification d'aucune sorte.

Le premier concerne le format de la date. Si le fuseau horaire système est Asia/Shanghai ou Asia/Urumqi, le tiret bascule vers le slash : 2026/06/30. Le second porte sur l'apostrophe du mot "Today's". Selon le type de proxy détecté, elle est remplacée par l'un de ces trois caractères Unicode distincts - \u2019, \u02BC ou \u02B9 - correspondant respectivement à un domaine chinois connu, un lab d'IA chinois, ou les deux simultanément. Ces variantes sont indiscernables visuellement dans la grande majorité des polices de caractères, mais parfaitement lisibles côté serveur.

Du côté des labs, Deepseek, Moonshot, Zhipu, Baichuan, Dashscope sont en ligne de mire avec en prime les domaines baidu.com, alibaba-inc.com, bytedance.net. Dans cette liste, stockée dans le binaire via un double encodage (XOR clé 91 et base64), on retrouve aussi plusieurs revendeurs non officiels de l'API comme anyrouter.top ou claude-code-hub.app. L'objectif est d'empêcher son extraction par une simple analyse de chaînes de caractères dans le binaire.

Une opacité difficile à justifier sur le fond

Anthropic cherche à contenir la revente non autorisée de l'API Claude ainsi que la "distillation de modèle", laquelle consiste à utiliser les réponses d'un modèle commercial pour entraîner un LLM rival. En ciblant des proxies pointant vers des labs comme DeepSeek ou Zhipu, Anthropic met donc en œuvre des outils de protection commerciale.

En revanche, la méthode, elle, reste assez discutable. Ce comportement n'est mentionné dans aucune note de version depuis son introduction le 2 avril 2026, en version 2.1.91. Le code de détection est volontairement obfusqué dans le binaire. Les développeurs qui confient à Claude Code un accès complet à leur système de fichiers et à leur interpréteur de commandes n'ont aucun moyen de connaître l'existence de ce marquage. Pour l'heure, Anthropic n'a formulé aucune réponse publique sur ces révélations.

Soulignons que le mécanisme ne s'active que si la variable d'environnement ANTHROPIC_BASE_URL est définie, ce qui implique que l'utilisateur redirige ses appels API vers un endpoint tiers. Les utilisateurs connectés directement à l'API officielle ne sont pas concernés. Dans les faits, il suffit de changer de nom d'hôte ou modifier le binaire pour contourner la détection. Le dispositif pénalise surtout les développeurs légitimes qui passent par un proxy pour des raisons valables.