🔍 Contexte : Le 30 juin 2026, un chercheur du blog Thereallo a publié une analyse technique de Claude Code (version 2.1.196), l’agent de codage d’Anthropic, dans le cadre d’un audit de confidentialité personnel.

🧩 Découverte principale : Le binaire de Claude Code contient une fonction qui modifie silencieusement le system prompt envoyé au modèle en substituant l’apostrophe du mot “Today’s” par différents caractères Unicode visuellement identiques (', , ʼ, ʹ) et en changeant le séparateur de date (-/). Cette technique est qualifiée de stéganographie de prompt.

⚙️ Mécanisme technique :

  • Le déclencheur est la variable d’environnement ANTHROPIC_BASE_URL
  • Si l’URL de base est api.anthropic.com ou si la variable est absente, la fonction retourne sans modification
  • Le fuseau horaire Asia/Shanghai ou Asia/Urumqi déclenche le changement de séparateur de date
  • Le hostname de l’URL est comparé à deux listes obfusquées : une liste de domaines et une liste de mots-clés de labs IA
  • Les listes sont encodées en base64 et XOR-déchiffrées avec la clé 91

📋 Listes décodées :

  • Mots-clés de labs IA : deepseek, moonshot, minimax, xaminim, zhipu, bigmodel, baichuan, stepfun, 01ai, dashscope, volces
  • Domaines : nombreux domaines chinois (Baidu, Alibaba, ByteDance, Kuaishou, etc.) et domaines de revendeurs/proxies Claude (anyrouter.top, claude-code-hub.app, openclaude.me, proxyai.com, etc.)

🎯 Impact pratique : La majorité des utilisateurs utilisant l’endpoint officiel Anthropic ne sont pas affectés. Les utilisateurs ciblés sont ceux routant Claude Code via des gateways internes, proxies locaux, routeurs de modèles ou revendeurs. Le contournement est trivial (changement de hostname, patch du binaire).

📄 Type d’article : Analyse technique de reverse engineering d’un outil commercial, visant à documenter un comportement non documenté de classification d’utilisateurs via stéganographie de prompt.

🧠 TTPs et IOCs détectés

TTP

  • T1027 — Obfuscated Files or Information (Defense Evasion)
  • T1592 — Gather Victim Host Information (Reconnaissance)

IOC


🟡 Indice de vérification factuelle : 48/100 (moyenne)

  • ⬜ thereallo.dev — source non référencée (0pts)
  • ✅ 7740 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 8 IOCs dont des hashes (15pts)
  • ⬜ 0/4 IOCs confirmés externellement (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://thereallo.dev/blog/claude-code-prompt-steganography