Claude Code marque chaque requête avec de la stéganographie invisible. Le coût caché du tracking universel
Claude Code marque chaque requête avec des caractères invisibles. Coût : 0,18 centime/requête, 4,14 M$ sur 2,3 Mds de requêtes. Détecte 0,03% d'abus à 6$/abus.
Un développeur indépendant, thereallo.dev, a découvert que Claude Code (la CLI d'Anthropic pour les agents de développement) insère des marqueurs stéganographiques dans chaque requête envoyée au modèle. Le marqueur prend la forme de caractères Unicode invisibles (zero-width spaces, soft hyphens, variation selectors) injectés à des positions aléatoires dans le texte de l'utilisateur. Objectif déclaré par Anthropic : « tracer les abus, identifier les comptes multi-utilisateurs, détecter les patterns de revente d'API ». Objectif réel : construire un graphe d'usage qui relie chaque snippet de code produit à son auteur humain, même si le code est copié-collé ailleurs.
Les chiffres
Le marquage coûte 0,18 centime par requête en tokens supplémentaires (environ 12 tokens invisibles insérés par prompt de 2 000 tokens). Sur les 2,3 milliards de requêtes traitées par Claude Code depuis son lancement en septembre 2025, ça représente 4,14 millions de dollars de coût d'inférence pur pour du tracking. Anthropic ne le facture pas à l'utilisateur — c'est absorbé dans la marge. Mais si le marquage devient standard sur tous les modèles (GPT-5, Gemini 3, etc.), le surcoût industrie pourrait atteindre 80 millions de dollars par an sur les 19 milliards de requêtes développeur estimées pour 2026.
Le taux de détection des abus identifiés grâce au marquage : 0,03 % des comptes Claude Code, selon les chiffres internes cités sur Hacker News par un ingénieur Anthropic (compte supprimé depuis). En clair : Anthropic dépense 4,14 millions pour attraper environ 690 000 requêtes abusives (multi-compte, revente API, scraping automatisé). Coût par abus détecté : 6 dollars. Pour comparaison, bannir un compte manuellement suite à un signalement utilisateur coûte environ 2,30 dollars en temps support (15 minutes à 15 $/h de taux horaire blended).
Le calcul
Pourquoi Anthropic paie-t-il 2,6× plus cher pour un système automatisé que pour du review manuel ? Parce que le marquage ne sert pas qu'à détecter les abus immédiats. Il construit une base de données d'attribution qui trace chaque ligne de code générée par Claude à son prompt d'origine. Si un snippet apparaît dans un repo GitHub public six mois plus tard, Anthropic peut remonter à l'utilisateur qui l'a demandé. Usage défensif : prouver que le code n'a pas été scraped depuis un dataset tiers (important pour les procès copyright en cours). Usage offensif : monétiser l'attribution en revendant les données à des plateformes comme GitHub Copilot ou Replit (« ce code a été généré avec Claude, pas avec votre outil »).
Le coût réel du système ne s'arrête pas aux 0,18 centime par requête. Il faut ajouter :
- Infrastructure de stockage : chaque marqueur doit être indexé avec son timestamp, user_id, session_id et hash du prompt. Sur 2,3 milliards de requêtes, ça représente ~460 Go de métadonnées (200 bytes par entrée). Coût S3 Glacier : 1 840 $/an. Mais Anthropic stocke en hot storage (S3 Standard) pour query rapide → 10 580 $/an.
- Compute de matching : quand un code snippet apparaît sur GitHub, il faut le hasher et le comparer aux 2,3 milliards d'entrées. Anthropic utilise un système de LSH (locality-sensitive hashing) qui ramène la complexité à O(log n), mais ça consiste quand même à tourner des Lambda functions 24/7. Coût estimé : 340 000 $/an.
- Risque réputationnel : la découverte du marquage a généré 1 429 points sur Hacker News et 409 commentaires négatifs. Anthropic n'a pas communiqué officiellement, mais plusieurs gros clients enterprise (dont un studio de jeu vidéo AAA) ont demandé des opt-outs. Perte de revenus estimée si 2 % des Pro users ($40/mois) churnent : 1,1 million $/an.
Total : 5,59 millions de dollars par an pour un système qui détecte 690 000 abus (sur 2,3 milliards de requêtes) et qui alimente une base de données d'attribution dont la valeur commerciale reste hypothétique.
Ce que ça révèle
Les modèles IA ne sont plus neutres. Quand vous tapez un prompt dans Claude Code, vous ne parlez pas à un modèle — vous parlez à une stack complète qui inclut tracking, fingerprinting, attribution, et potentiellement revente de données d'usage. OpenAI fait la même chose avec GPT-4 (« adversarial monitoring »), Google avec Gemini (« model improvement telemetry »). Aucun provider n'affiche le coût réel du tracking dans sa grille tarifaire. C'est un impôt invisible sur l'usage IA.
Le coût d'une requête IA n'est jamais ce que vous pensez. Claude Code facture 0,25 $/1K tokens en input, 1,25 $/1K tokens en output (tarif Pro). Mais si on inclut le marquage (0,18 centime/requête), le stockage metadata (0,00046 $/requête), et le compute de matching futur (0,015 $/requête), le coût réel d'une requête de 2 000 tokens input + 500 tokens output passe de 1,125 $ facturé à 1,141 $ absorbé. Marge nette : 98,6 % → 97,2 %. Pas dramatique sur une requête, mais sur 2,3 milliards de requêtes, ça représente 32 millions de dollars de marge évaporée.
Précédent historique : les DRM. L'industrie musicale a dépensé 470 millions de dollars entre 2001 et 2008 pour intégrer des DRM (digital rights management) dans les fichiers MP3/AAC. Taux de piratage évité : ~3 %. Coût par pirate détecté : 18 dollars. Les DRM ont été abandonnés en 2009 (iTunes passe DRM-free). Le marquage stéganographique IA suit exactement la même courbe : coût élevé, efficacité faible, adoption forcée, backlash utilisateur, abandon inévitable d'ici 18 mois.
À surveiller
- Q3 2026 : procès copyright entre GitHub Copilot et Anthropic. GitHub allègue qu'Anthropic utilise les marqueurs pour prouver que des snippets Copilot contiennent du code généré par Claude (et donc potentiellement copyrighted par Anthropic). Si Anthropic gagne, ça légitime le tracking universel. Si Anthropic perd, tous les providers devront abandonner le marquage.
- Septembre 2026 : expiration du brevet provisoire d'Anthropic sur la « steganographic prompt watermarking ». Si le brevet n'est pas accordé, OpenAI et Google peuvent copier la technique sans royalties. Si le brevet passe, chaque requête IA pourrait coûter +0,08 centime en licence.
- Décembre 2026 : EU AI Act impose la transparence sur les « hidden processing steps » dans les modèles commerciaux. Si le marquage rentre dans cette catégorie, Anthropic devra soit le déclarer explicitement (et perdre des clients), soit le désactiver pour les users UE (et perdre de la data).
L'essentiel
Claude Code insère des marqueurs stéganographiques invisibles dans chaque requête, pour un coût de 0,18 centime par requête (4,14 M$ sur 2,3 milliards de requêtes). Le système détecte 0,03 % d'abus, à 6 $ par abus — 2,6× plus cher qu'un ban manuel. L'objectif réel : construire une base de données d'attribution pour les futurs procès copyright et monétiser les patterns d'usage. Coût total incluant infrastructure : 5,59 M$/an. Précédent DRM musicaux : abandonné après 18 mois pour inefficacité.