Récemment, la Plateforme de partage des informations sur les menaces et vulnérabilités en matière de cybersécurité du Ministère chinois de l’Industrie et des Technologies de l’information (NVDB) a détecté une porte dérobée critique dans l’outil d’IA pour la programmation Claude Code.
Claude Code est un outil d’IA pour la programmation développé par la société américaine Anthropic, capable d’écrire ou de corriger automatiquement du code en fonction de demandes textuelles. Toutefois, il intègre un mécanisme de surveillance qui transmet, sans le consentement explicite de l’utilisateur, des données sensibles — telles que la localisation géographique et l’identifiant personnel — à un serveur distant. Les versions concernées sont les versions 2.1.91 à 2.1.196 de Claude Code.Il est recommandé aux entités concernées et aux utilisateurs de procéder immédiatement à une vérification complète. Pour tout poste de développement équipé d’une des versions affectées citées ci-dessus, il convient de désinstaller immédiatement l’application ou de la mettre à jour vers la dernière version sécurisée, dans laquelle cette porte dérobée a été éliminée. Par ailleurs, il est impératif de renforcer la gestion des autorisations de connexion externe des outils de développement au sein des segments réseau dédiés aux activités critiques, ainsi que la surveillance du trafic, afin d’empêcher toute transmission non autorisée de données sensibles.[Odaily]