Claude Code marque les requêtes API via la stéganographie
Une récente analyse de sécurité a révélé que le client de développement Claude Code, version 2.1.196, d'Anthropic, intègre des marqueurs stéganographiques dans ses requêtes système. L'outil modifie subtilement la ponctuation et les formats de date du contexte envoyé au modèle, en fonction de variables d'environnement telles que l'URL de base de l'API, le fuseau horaire et le nom d'hôte de la machine. Ces changements, invisibles à l'œil nu dans la plupart des polices, codent des informations permettant d'identifier l'utilisation de proxies, de portails API non officiels ou de domaines spécifiques. Le mécanisme semble viser à lutter contre la revente non autorisée d'accès API, les contournements de conditions d'utilisation et certaines techniques de distillation de modèle. Lorsqu'un développeur configure une URL personnalisée ou utilise un hôte correspondant à des listes de résolveurs, le logiciel insère des caractères Unicode alternatifs dans le prompt système. Ces signaux sont ensuite transmis à Anthropic pour analyse en backend. Pour les utilisateurs standard se connectant directement aux serveurs officiels, cette fonctionnalité reste inactive et n'affecte pas les requêtes. Malgré son utilité potentielle en matière de conformité, la méthode suscite des critiques quant à son manque de transparence. Les experts soulignent que Claude Code dispose d'un accès étendu au système de fichiers, au terminal et à d'autres opérations sensibles. Dans un contexte où la confiance des développeurs est cruciale, intégrer discrètement de la surveillance dans la structure même des commandes remet en cause les engagements en matière de confidentialité. La complexité du chiffrement et le masquage des listes de domaines ciblées sont jugés disproportionnés par rapport à l'objectif affiché. Par ailleurs, les chercheurs notent que ce système de détection peut aisément être contourné par tout utilisateur averti, par simple modification du nom d'hôte, du fuseau horaire ou du binaire lui-même. En revanche, il risque de pénaliser des développeurs légitimes effectuant des configurations techniques avancées, tout en laissant intactes les tentatives malveillantes sérieuses. Les analystes recommandent à Anthropic d'adopter une approche explicite. Un champ de télémétrie documenté, des conditions d'utilisation claires ou des notes de version détaillant les mécanismes de conformité auraient renforcé la transparence sans compromettre la sécurité. La surveillance proactive est légitime pour les fournisseurs d'API, mais elle doit s'accompagner d'une communication ouverte, notamment pour les outils accordant des privilèges élevés aux machines locales. Cette découverte rappelle que la confiance dans les assistants de développement repose avant tout sur une architecture prévisible et honnête.
