
Un même outil de développement, deux camps qui s’en méfient pour des raisons opposées. D’un côté, Anthropic tente d’en fermer la porte aux entreprises chinoises. De l’autre, un géant chinois l’arrache des mains de ses propres ingénieurs. Claude Code, l’agent de programmation d’Anthropic, n’est plus seulement un outil : il est devenu un terrain où plus personne n’accorde sa confiance à l’autre.
Il y a quelques jours, nous décrivions ici comment Claude Code avait dissimulé un dispositif de repérage visant les utilisateurs situés en Chine, un mécanisme caché dans le prompt système que son propre éditeur a fini par retirer sous la pression. Cette histoire n’était pas un incident isolé refermé aussitôt. Depuis, elle s’est élargie en une confrontation à deux fronts, où le blocage n’a plus rien de discret et où chaque acteur verrouille sa part du terrain.
D’un mouchard caché à une frontière assumée
Le premier épisode relevait du soupçon technique : du code masqué, une stéganographie (l’art de dissimuler un message dans un autre contenu) logée dans les métadonnées du prompt, une clé de chiffrement pour échapper aux regards. Ce que révèle la suite est plus frontal. Anthropic ne cherche plus seulement à repérer les utilisateurs chinois, il cherche à les tenir dehors, et l’assume dans ses règles.
Ses conditions d’utilisation interdisent explicitement la vente à des sociétés contrôlées par la Chine. Le motif affiché reste le même que celui invoqué jusqu’ici par l’entreprise, qui ne propose pas ses modèles sur le marché chinois : la sécurité nationale. On passe donc d’une surveillance dissimulée à une barrière contractuelle : le mouchard opérait dans l’ombre, l’interdiction, elle, s’écrit noir sur blanc.
Chacun verrouille, chacun contourne
C’est là que la mise en regard devient éclairante. Anthropic dresse un mur ; les entreprises visées passent par-dessus. Selon des informations de presse, des groupes comme Ant et ByteDance continueraient d’accéder à Claude Code malgré l’interdiction, via des services cloud, des filiales installées à Singapour, ou de simples VPN (réseaux privés virtuels qui masquent la localisation réelle).
La règle promet l’étanchéité, la réalité livre une passoire. Et cela n’a rien d’anecdotique : cela dit quelque chose de la nature même de ces agents logiciels. Un modèle propriétaire hébergé dans le cloud reste, par construction, accessible à qui sait maquiller son adresse et sa carte bancaire. La frontière géographique qu’Anthropic veut imposer se heurte à l’absence de frontière du réseau. On verrouille un service, on ne verrouille pas Internet.
Quand Alibaba interdit Claude à ses propres équipes
L’autre versant du récit est le plus inattendu, et le plus révélateur de la défiance ambiante. Alibaba interdirait désormais à ses salariés d’utiliser Claude Code et leur demanderait de supprimer tous les modèles de Claude. Le blocage ne vient plus de l’éditeur : il vient du client.
Le calendrier n’a rien de fortuit. Cette consigne interne fait suite aux révélations sur le code caché capable de signaler les utilisateurs basés en Chine ou liés à un laboratoire chinois. Autrement dit, la découverte que nous relations a produit un effet miroir : l’outil soupçonné de surveiller ses utilisateurs se voit à son tour banni par ceux qu’il surveillait. La méfiance circule dans les deux sens.
Du côté d’Anthropic, Thariq Shihipar, membre de l’équipe Claude Code, a redit sa version : il s’agissait d’une expérimentation lancée en mars pour freiner les abus de comptes et la distillation (le fait d’entraîner un modèle plus petit à partir des réponses d’un modèle plus puissant), remplacée depuis par des garde-fous plus robustes. Une explication qui apaise mal, quand l’outil dispose d’un accès complet au système de fichiers et au terminal de qui l’exécute.
La distillation, nerf caché de la guerre
Sous les blocages réciproques affleure un enjeu plus ancien. Anthropic a déjà accusé Alibaba, mais aussi DeepSeek, Moonshot AI et MiniMax, d’avoir exploité les sorties de ses modèles pour entraîner les leurs. La distillation est ici le vrai carburant du conflit : ce n’est pas qu’un agent de programmation qui circule, ce sont des réponses de modèle qui, une fois aspirées en volume, peuvent servir à répliquer une partie du savoir-faire à moindre coût.
On comprend mieux, dès lors, la logique des deux camps. Anthropic protège un actif : la valeur de ses modèles tient aussi à ce qu’on ne puisse pas les copier en les interrogeant massivement. Alibaba, de son côté, ne veut pas voir son code interne transiter par un outil étranger qui pourrait le repérer, le filtrer, voire l’exfiltrer. Chacun défend ce qu’il redoute de perdre : l’un son avance, l’autre ses secrets.
Un outil de travail devient une ligne de front
L’affaire dépasse la géopolitique lointaine dès qu’on confie l’un de ces agents à sa chaîne de développement. Elle rappelle une évidence trop vite oubliée : un assistant qui lit vos fichiers et exécute vos commandes est un tiers de confiance, pas un simple utilitaire. Quand deux poids lourds du secteur en viennent à s’interdire mutuellement le même logiciel, le signal mérite qu’on s’y arrête, où qu’on travaille.
Choisir un camp importe moins que savoir ce que votre outil transmet, à qui, et selon quelles règles susceptibles de changer du jour au lendemain. Un prompt système peut être modifié en silence. Une clause d’utilisation peut fermer un accès sans préavis. La leçon de ces blocages croisés tient en une phrase : l’agent que vous invitez dans votre terminal obéit d’abord à son éditeur, et cet éditeur obéit à des lignes de fracture qui vous dépassent. À chacun, ensuite, de mesurer quelle part de son travail il accepte de confier à un intermédiaire dont les intérêts ne recoupent pas toujours les siens.
