La Base de données nationale chinoise sur les vulnérabilités (NVDB), plateforme de cybersécurité rattachée au ministère chinois de l'Industrie et des Technologies de l'information, a mis en garde les utilisateurs contre une faille de sécurité présente dans Claude Code, l'outil d'intelligence artificielle développé par Anthropic pour générer, déboguer et analyser du code informatique.

Une désinstallation recommandée « sans tarder »

Dans son communiqué, la NVDB affirme avoir « récemment détecté que l'outil de codage basé sur l'IA Claude Code comportait des risques liés à des failles de sécurité, constituant une menace grave », rapporte CNBC. L'autorité recommande aux institutions et utilisateurs concernés de procéder immédiatement à une vérification approfondie, puis de désinstaller le logiciel sans tarder ou de le mettre à jour vers la dernière version, dans laquelle le code de porte dérobée aurait été supprimé.

Ces allégations avaient déjà circulé la semaine précédente dans la presse spécialisée. Alibaba en a tiré les conséquences en interne : le groupe technologique chinois a annoncé à ses employés que l'utilisation de Claude Code serait interdite à compter du 10 juillet, pour des raisons de sécurité, selon des sources proches du dossier.

Côté Anthropic, la version des faits diffère sensiblement. Thariq Shihipar, ingénieur chez Claude Code, a répondu sur X aux informations selon lesquelles l'outil suivrait certaines données des utilisateurs chinois. Il évoque une fonctionnalité expérimentale, et non une porte dérobée délibérée : « Il s'agit d'une expérience que nous avons lancée en mars dans le but d'empêcher les abus de comptes par des revendeurs non autorisés et de nous protéger contre la distillation. »

L'ingénieur précise que des mesures de protection plus strictes ont depuis été mises en place, et que la suppression de cette fonctionnalité était prévue de longue date. « L'équipe a mis en place des mesures de protection plus strictes depuis lors et nous avions en fait l'intention de supprimer cette fonctionnalité depuis un certain temps [...] Elle devrait être entièrement supprimée dans la mise à jour de demain », a-t-il écrit.

Cette affaire s'inscrit dans une relation déjà tendue entre Anthropic et les entreprises chinoises. L'entreprise ne souhaite pas que les utilisateurs et sociétés basés en Chine utilisent ses outils d'IA, et a par le passé accusé Alibaba, ainsi que d'autres sociétés chinoises, d'avoir imité ses modèles pour en copier les capacités, un procédé qu'Anthropic qualifie de distillation.

Ces interdictions n'empêchent cependant pas un usage détourné : les outils d'Anthropic restent accessibles en Chine via un VPN ou des services de proxy tiers.