Analyse des capacités d'instrumentation et de télémétrie de Claude Code
Une analyse récente du code source de Claude Code révèle un système hautement instrumenté qui suit les interactions des utilisateurs et les détails de l'environnement au-delà des fonctionnalités typiques d'un chatbot. Le système met en œuvre plusieurs couches d'observation et de classification.
Classification linguistique et suivi des sentiments
Claude Code utilise une détection simple de mots-clés plutôt qu'une compréhension profonde de l'IA pour la classification linguistique. Il maintient des listes littérales de mots-clés incluant des termes comme "wtf", "this sucks", "frustrating", "shit", "fuck" et "pissed off" qui déclenchent des indicateurs de sentiment négatif. Même des expressions comme "continue", "go on" et "keep going" sont suivies. Cette classification se produit au niveau des expressions régulières avant que le modèle ne réponde.
Suivi du comportement lors des demandes d'autorisation
Le système suit le comportement détaillé des utilisateurs pendant les demandes d'autorisation, pas seulement les décisions finales. Il surveille si les utilisateurs ouvrent la boîte de retour, la ferment, appuient sur échap sans rien taper, ou tapent quelque chose puis annulent. Les événements internes portent des noms comme tengu_accept_feedback_mode_entered, tengu_reject_feedback_mode_entered et tengu_permission_request_escape. Il compte même les tentatives d'échappement, distinguant entre les rejets rapides et les comportements hésitants où les utilisateurs tapent avant de rejeter.
Conception du système de retour
Le système de retour se déclenche en fonction de règles de rythme, de temps de recharge et de probabilité plutôt qu'aléatoirement. Lorsque les utilisateurs marquent quelque chose comme mauvais, cela peut les inviter à exécuter /issue et les encourager à partager les transcriptions de session. Si accepté, cela peut inclure les transcriptions principales, les transcriptions des sous-agents et parfois les journaux bruts JSONL avec masquage.
Commandes cachées et changements de comportement
Certaines commandes ne sont pas évidentes sans lire le code. Exemples :
ultrathink→ augmente le niveau d'effort et modifie le style de l'interfaceultraplan→ lance un mode de planification à distanceultrareview→ idée similaire pour les flux de travail de révision/btw→ lance un agent secondaire pour que le flux principal continue
La boîte de saisie analyse ces commandes en direct pendant la frappe.
Télémétrie et empreinte environnementale
Chaque session enregistre des données étendues incluant les identifiants de session, les identifiants de conteneur, les chemins d'espace de travail, les hachages de dépôt, les détails d'exécution/plateforme, le contexte GitHub Actions et les identifiants de session distants. Avec certains indicateurs activés, il peut également enregistrer les invites des utilisateurs et les sorties d'outils. Cela crée une empreinte environnementale détaillée au-delà des analyses d'utilisation de base.
Exposition des données de commande MCP
L'exécution de claude mcp get <nom> peut retourner des URL de serveur, des en-têtes, des indications OAuth et des blocs d'environnement complets pour les serveurs stdio. Si les variables d'environnement incluent des secrets, elles peuvent apparaître dans la sortie du terminal.
Instrumentation interne de construction
Il existe un mode (USER_TYPE=ant) où il collecte des données supplémentaires incluant l'espace de noms Kubernetes, l'identifiant exact du conteneur et le contexte complet d'autorisation avec chemins, règles de bac à sable et contournements. Tout cela est enregistré sous des événements de télémétrie internes, permettant de lier le comportement à des environnements de déploiement spécifiques.
L'analyse conclut que Claude Code n'est pas seulement un chatbot mais un système hautement instrumenté observant comment les utilisateurs interagissent avec lui. Le niveau de suivi et de classification est plus profond que ce à quoi la plupart des utilisateurs s'attendraient, bien que l'analyse ne prétende pas à une intention malveillante.
📖 Read the full source: r/LocalLLaMA
👀 See Also
La découverte des vulnérabilités de l'IA dépasse les délais de déploiement des correctifs.
Un expert en sécurité affirme que les outils d'IA comme Mythos détecteront les vulnérabilités plus rapidement que les correctifs ne pourront être déployés, citant les données Log4j montrant des délais moyens de correction de 17 jours et une élimination complète prévue sur une décennie.
Les failles de sécurité de la fonction 'Autoriser toujours' d'OpenClaw et des alternatives plus sûres
La fonctionnalité d'approbation 'autoriser toujours' d'OpenClaw a fait l'objet de deux CVE ce mois-ci, permettant une exécution de commandes non autorisée via la liaison de commandes wrapper et des contournements de continuation de ligne de shell. Le problème plus profond est la façon dont cette fonctionnalité habitue les utilisateurs à ne plus prêter attention aux invites de sécurité.
Claude Code --dangerously-skip-permissions vulnérabilité et outil de défense open-source
Lasso Security a publié une recherche révélant des vulnérabilités d'injection indirecte de prompt dans Claude Code lors de l'utilisation du drapeau --dangerously-skip-permissions, avec des vecteurs d'attaque incluant des fichiers README empoisonnés, du contenu web malveillant et des sorties de serveur MCP. Ils ont publié un crochet PostToolUse open-source qui analyse les sorties d'outils contre plus de 50 modèles de détection.
Claude met en place une vérification d'identité pour certains cas d'utilisation.
Anthropic déploie la vérification d'identité pour Claude via Persona Identities, exigeant des pièces d'identité officielles avec photo et des selfies en direct. Le processus de vérification prend moins de cinq minutes et vise à prévenir les abus et à se conformer aux obligations légales.