Alibaba débranche Claude Code

Alibaba débranche Claude Code
Alexandre P. dans News - mis à jour le 06-07-2026

Alibaba a banni Claude Code pour backdoor supposée, et ce feuilleton géopolitique cache un vrai angle mort technique. Quels risques prend-on vraiment avec un agent CLI closed-source ?

Un géant chinois qui bannit un outil américain, on range ça dans la case géopolitique et on passe à autre chose. Sauf que cette fois, le détail technique concerne tous ceux qui lancent un agent CLI sur leur machine.

Que s'est-il passé exactement ?

Alibaba a interdit à ses employés d'utiliser Claude Code à partir du 10 juillet 2026.

L'info a été sortie par la presse chinoise, puis confirmée par Reuters, le South China Morning Post et The Information. Donc ce n'est pas une rumeur de forum.

Dans une note interne datée du 3 juillet, Alibaba parle de "back-door risks" et classe Claude Code dans une liste de logiciels à haut risque. La consigne est claire : désinstaller les produits Anthropic et basculer sur Qoder, l'agent de code maison d'Alibaba.

Voilà pour les faits confirmés. Maintenant, le reste demande qu'on trie.

Ce fameux "backdoor", on en sait quoi au juste ?

Là, il faut être précis, parce que le mot "backdoor" fait beaucoup de travail dans les titres.

Ce qui est documenté :

  • Un utilisateur Reddit (LegitMichel777) a reverse-engineeré Claude Code le 30 juin.
  • Il a trouvé du code obscurci, présent silencieusement depuis la version 2.1.91 sortie le 2 avril.
  • Ce code n'était pas mentionné dans les release notes.
  • Le mécanisme lisait le fuseau horaire système et la configuration proxy ou API, puis comparait ça à des listes cachées d'identifiants liés à des entreprises chinoises (Alibaba, Baidu, ByteDance).

Donc oui, il y avait bien du code non documenté qui servait à détecter si vous étiez un utilisateur chinois ou rattaché à un labo d'IA chinois.

Ce qui n'est pas établi :

  • Aucune firme de cybersécurité tierce n'a validé indépendamment l'analyse.
  • Personne n'a confirmé que ces données partaient réellement quelque part, ni où.

Entre "code de détection non documenté" et "backdoor qui exfiltre vos secrets", il y a un gouffre que la plupart des articles franchissent sans preuve. Le premier point est vérifié. Le second reste une extrapolation tant qu'une analyse sérieuse et reproductible n'est pas publiée.

La version d'Anthropic tient-elle la route ?

Anthropic n'a pas nié l'existence du code.

Un ingénieur de la boîte (Thariq Shihipar) a expliqué sur X qu'il s'agissait d'un "experiment" lancé en mars, destiné à bloquer l'abus de comptes par des resellers non autorisés et à se protéger contre la distillation.

Petit rappel pour ceux qui débarquent : la distillation, c'est entraîner un modèle sur les sorties d'un autre modèle. En clair, cloner les capacités d'un modèle cher en le faisant parler.

Anthropic dit avoir mis en place des mitigations plus solides depuis, et avoir retiré ce code vers le 1er juillet.

Est-ce crédible ? En partie, oui. Anthropic bloque officiellement la Chine depuis longtemps, et des développeurs chinois continuent d'accéder à Claude via VPN et filiales étrangères. Un mécanisme anti-contournement, sur le principe, ça se défend.

Mais un anti-abus qui tourne en local, obscurci, et absent des release notes, ça pose un vrai problème de transparence. Car ce n'est pas le comportement qui pose question, c'est la méthode.

Pourquoi ce ban tombe maintenant ?

Parce qu'il n'arrive pas dans le vide.

Depuis des semaines, Anthropic et Alibaba se tirent dessus. Le 10 juin, Anthropic a écrit au Senate Banking Committee américain pour accuser des opérateurs liés au labo Qwen d'Alibaba d'avoir mené la plus grosse attaque de distillation connue contre Claude.

Les chiffres avancés par Anthropic :

  • Environ 25 000 comptes frauduleux.
  • 28,8 millions d'interactions générées entre avril et juin.

Alibaba dément.

Donc quand Alibaba sort une note sur les "risques de sécurité" de Claude Code, c'est autant une riposte qu'une précaution. Chacun tient l'autre par un dossier.

Et je note au passage qu'Anthropic avait déjà nommé DeepSeek, Moonshot et MiniMax en février pour des campagnes similaires. Le sujet distillation n'est pas nouveau, il structure toute la posture défensive des labos frontière.

Le vrai sujet pour un dev freelance, il est là

Oublions deux minutes le feuilleton US-Chine.

Ce qui devrait vous intéresser, c'est la nature de l'objet dont on parle.

Claude Code, OpenCode, n'importe quel agent CLI, ce n'est pas une API distante à qui vous envoyez un prompt. C'est un process qui tourne sur votre machine, avec un accès très large :

  • Votre filesystem.
  • Vos variables d'environnement.
  • Vos clés API stockées en local.
  • Votre configuration réseau et vos proxies.

J'utilise ces outils tous les jours, j'ai même forké un plugin pour brancher OpenCode sur LM Studio. Donc je ne crache pas dans la soupe. Mais je sais exactement le niveau de permission que je donne quand je lance un de ces agents.

Et l'affaire Alibaba met le doigt sur un angle mort partagé par tout le monde : quand vous lancez un binaire closed-source avec ce niveau d'accès, vous ne lisez pas son code. Vous faites confiance.

Ce qui a été trouvé chez Claude Code, c'était de la détection géographique. Aujourd'hui c'est ça. La vraie question n'est pas "est-ce que c'était malveillant", c'est "comment vous le sauriez si ça l'était".

La souveraineté, argument valable ou paravent marketing ?

Attention, le discours souverainiste chinois n'est pas neutre non plus.

Pousser Qoder en interne, c'est aussi une manière très pratique pour Alibaba de verrouiller son écosystème et de justifier le basculement de ses équipes vers du maison. Alibaba a tout intérêt à cette histoire de backdoor, elle sert son agenda produit.

Donc je ne vais pas relayer le narratif "les outils américains sont dangereux, vive le local" comme s'il tombait du ciel.

Mais sur un point précis, l'argument tient techniquement : un outil closed-source qui tourne au cœur de votre workflow d'ingénierie et qui embarque du code obscurci non documenté, c'est un risque supply chain réel. Pas un fantasme. Ce constat vaut pour un labo chinois comme pour votre stack à vous.

La souveraineté comme slogan, non. La souveraineté comme lecture du risque d'accès, oui.

FAQ

Le code non documenté a-t-il vraiment envoyé des données quelque part ?

Personne ne l'a prouvé à ce stade. Ce qui est établi, c'est l'existence d'un code obscurci capable de lire le fuseau horaire et la configuration réseau pour identifier des utilisateurs liés à des entreprises chinoises. Que ces données aient été transmises à un serveur distant reste une extrapolation non confirmée par une analyse tierce indépendante.

Pourquoi Anthropic n'a-t-il pas mentionné ce code dans ses release notes ?

C'est précisément le point qui pose problème. Anthropic parle d'un "experiment" anti-abus pour contrer la distillation de son modèle, ce qui est une justification défendable sur le fond, mais le choix de l'obscurcir et de ne pas le documenter est une faute de transparence, quelle que soit l'intention réelle.

Est-ce que cette affaire change quelque chose pour moi si je n'ai rien à voir avec la Chine ?

La question centrale n'est pas géographique. Un agent CLI comme Claude Code tourne localement avec un accès à votre filesystem, vos variables d'environnement et vos clés API. Si le binaire est closed-source, vous ne pouvez pas vérifier ce qu'il fait de cet accès, et cette affaire illustre concrètement ce que ce point aveugle représente.

La distillation dont parle Anthropic, c'est vraiment si grave ?

C'est un enjeu économique direct pour les labos. Entraîner un modèle sur des millions de réponses d'un modèle concurrent permet d'en copier les capacités sans payer ni les coûts de recherche ni les données d'entraînement. Les 28,8 millions d'interactions attribuées à des comptes frauduleux, si le chiffre est exact, représentent une exfiltration massive de valeur.

Le ban d'Alibaba est-il une décision de sécurité ou un coup marketing ?

Les deux à la fois, et les séparer est artificiel. Alibaba avait un intérêt réel à l'existence de cette histoire pour pousser Qoder en interne, mais le risque technique identifié, un binaire obscurci avec accès profond au système, est réel indépendamment de qui en tire avantage politiquement.

#alibaba#claude code#code agentique

user picture

Alexandre P.

Développeur passionné depuis plus de 20 ans, j'ai une appétence particulière pour les défis techniques et changer de technologie ne me fait pas froid aux yeux.