Blog Attacks

Comment Bloquer ClaudeBot sur Votre Site Web

ClaudeBot explore votre site pour entraîner les modèles Claude d'Anthropic. Voici comment le bloquer via robots.txt et plages d'IP, et ce qui échappe encore au blocage.

Jun 16, 2026 • 7 min read

Mike Kutlu Client-Side Security Consultant

Comment Bloquer ClaudeBot sur Votre Site Web

ClaudeBot est le robot d'exploration web exploité par Anthropic pour collecter des données d'entraînement pour Claude. C'est un robot déclaré et basé sur HTTP : il s'identifie, opère à partir de plages d'IP publiées et est conçu pour respecter les directives robots.txt. Le bloquer est techniquement simple.

Le contexte le plus important : bloquer ClaudeBot agit sur le pipeline de données d'entraînement d'Anthropic. Cela n'a aucun effet sur les agents, outils ou produits propulsés par Claude qui naviguent sur le web pour le compte des utilisateurs. Ce sont des systèmes distincts qui nécessitent une détection au niveau du navigateur. Pour le schéma plus large applicable aux scrapers IA, consultez notre guide pour bloquer les bots d'agents IA qui scrapent le contenu.

Qu'est-ce que ClaudeBot ?

Réponse rapide : ClaudeBot est le robot d'entraînement d'Anthropic. Il collecte du contenu web accessible au public pour entraîner et améliorer les modèles Claude. Il utilise une chaîne d'agent utilisateur déclarée et figure dans la documentation publique d'Anthropic, accompagnée de ses plages d'IP. C'est un robot d'exploration HTTP, et non un agent navigateur interactif.

L'identifiant d'agent utilisateur principal de ClaudeBot est Claude-Web/1.0, accompagné d'une référence à la page de documentation d'Anthropic sur les robots d'exploration. Anthropic maintient une documentation décrivant l'objectif et le comportement du robot, ainsi que la manière de le bloquer.

Comme GPTBot, ClaudeBot n'exécute pas JavaScript et n'interagit pas avec les interfaces des applications web. Il effectue des requêtes HTTP GET vers des URL accessibles au public, lit la réponse et passe à la suivante. Il ne se connecte pas, ne remplit pas de formulaires et ne navigue pas dans les éléments interactifs.

Comment Bloquer ClaudeBot avec robots.txt

Réponse rapide : Ajoutez ClaudeBot à votre robots.txt pour bloquer entièrement le robot. La documentation d'Anthropic indique que ClaudeBot respecte ces directives. Utilisez des règles au niveau des chemins si vous souhaitez restreindre uniquement les sections sensibles tout en autorisant le robot sur le contenu public.

Pour bloquer ClaudeBot sur l'ensemble de votre site :

User-agent: ClaudeBot
Disallow: /

Pour autoriser le robot sur le contenu public tout en restreignant les chemins sensibles :

User-agent: ClaudeBot
Disallow: /account/
Disallow: /checkout/
Disallow: /admin/
Allow: /blog/
Allow: /products/

Anthropic jouit d'une bonne réputation de conformité, ses robots respectant les règles robots.txt. C'est l'approche la plus simple et la plus largement efficace pour contrôler l'accès de ClaudeBot sans modifications au niveau de l'infrastructure. La même approche robots.txt fonctionne pour d'autres robots déclarés, notamment CCBot et Bytespider.

Blocage au Niveau de l'IP pour ClaudeBot

Réponse rapide : Anthropic publie les plages d'IP de ClaudeBot dans sa documentation sur les robots d'exploration. Refuser ces plages au niveau de votre pare-feu ou de votre CDN fournit une application qui ne dépend pas du fait que le robot lise robots.txt. Consultez la documentation périodiquement, car les plages d'IP peuvent s'étendre lorsqu'Anthropic fait évoluer son infrastructure d'exploration.

Le blocage au niveau de l'IP est l'option d'application la plus robuste :

Il intercepte toute version du robot qui pourrait ne pas gérer correctement robots.txt
Il crée un journal au niveau du serveur des requêtes bloquées que vous pouvez auditer
Il ne repose pas sur l'auto-identification via la chaîne d'agent utilisateur

Le compromis : les plages d'IP publiées par Anthropic nécessitent une maintenance. Si vous les bloquez au niveau du pare-feu, programmez un rappel pour vérifier les mises à jour des plages chaque trimestre ou lorsqu'Anthropic publie des entrées de changelog dans sa documentation sur les robots d'exploration.

ClaudeBot vs. Agents Propulsés par Claude : la Lacune qui Compte

Réponse rapide : ClaudeBot est le robot d'exploration d'Anthropic. Claude, l'assistant, est un produit différent. Lorsque Claude aide un utilisateur à naviguer sur le web, à faire des recherches sur un sujet ou à accomplir une tâche, il utilise une infrastructure différente de ClaudeBot. Bloquer ClaudeBot n'empêche pas les agents propulsés par Claude de visiter votre site.

C'est la même lacune structurelle qui s'applique à GPTBot et à OpenAI Operator. Le robot d'entraînement et l'agent interactif sont des systèmes distincts.

Lorsqu'un utilisateur demande à Claude de faire des recherches sur un produit, de comparer des prix ou d'accomplir une tâche web, Claude utilise une session de navigateur ou un outil de recherche web qui n'est pas ClaudeBot. Cette session peut n'avoir aucun en-tête d'identification la reliant à Anthropic. Du point de vue de votre serveur, elle ressemble à une requête de navigateur standard.

Le bon modèle mental : robots.txt et le blocage d'IP gèrent votre relation avec le pipeline de collecte de données d'Anthropic. Ils ne gèrent pas votre relation avec Claude en tant que produit utilisé par de vrais utilisateurs pour interagir avec votre site.

Ce qui se Passe Après Avoir Bloqué ClaudeBot

Réponse rapide : Bloquer ClaudeBot empêche votre contenu d'entrer dans le pipeline de données d'entraînement d'Anthropic. Cela n'empêche pas Claude de référencer votre site dans ses réponses sur la base de contenu déjà indexé. Cela n'empêche pas les systèmes agentiques propulsés par Claude de naviguer sur votre site pour le compte des utilisateurs.

Après un blocage de ClaudeBot :

Les futurs cycles d'entraînement n'incluront pas votre nouveau contenu
Le contenu déjà collecté reste dans les poids des modèles Claude existants
Les utilisateurs de Claude qui lui demandent de naviguer sur votre site ne sont pas affectés
Tout agent propulsé par Claude (utilisation d'ordinateur sur Claude.ai, agents de l'API Claude) qui visite votre site n'est pas affecté

La portée d'un blocage robots.txt est plus étroite que ne le pensent la plupart des propriétaires de sites. C'est une déclaration concernant un robot d'exploration spécifique, et non une politique qui s'applique à l'ensemble du portefeuille de produits d'une entreprise d'IA.

Détection au Niveau du Navigateur, Au-Delà de ClaudeBot

Réponse rapide : Bloquer ClaudeBot est simple. Le problème plus difficile est de détecter les agents propulsés par Claude qui naviguent sur votre site dans de vraies sessions de navigateur pour le compte des utilisateurs, des sessions qui ressemblent en tout point au trafic humain au niveau du réseau. Cela nécessite une observation au niveau du navigateur.

Considérez ce que fait réellement un agent d'utilisation d'ordinateur propulsé par Claude lorsqu'un utilisateur lui demande de faire des recherches sur un produit SaaS. Il ouvre une vraie session Chromium, charge la page de tarification et fait défiler le tableau des fonctionnalités. Au niveau du réseau, la requête ressemble en tout point à une visite humaine : un agent utilisateur Chrome standard, une IP résidentielle, une empreinte TLS dans la plage attendue. Aucun en-tête ClaudeBot. Aucune plage d'IP d'Anthropic. L'agent navigue dans quatre pages en 11 secondes sans la moindre variance de mouvement de souris, ne revient jamais en arrière et ne s'arrête jamais sur un champ de formulaire sauf si la tâche exige une saisie. Ces signaux de timing et ces modèles d'interaction ne sont détectables qu'à l'intérieur de la session du navigateur. L'instrumentation de cside les capture au niveau de l'exécution JavaScript avant que tout outil au niveau du réseau ne puisse les voir. Lors des tests contrôlés de cside, les outils traditionnels ont raté des agents IA opérant dans de vraies sessions de navigateur dans 81 scénarios sur 100 : les outils réseau n'observent tout simplement pas la bonne couche.

Tableau de bord de détection d'agents IA de cside

cside opère à l'intérieur de la session du navigateur et fait remonter les signaux comportementaux qui distinguent la navigation exécutée par un agent du comportement humain. Le timing des interactions, les modèles de navigation, la cohérence des empreintes digitales et les caractéristiques d'exécution de JavaScript sont tous observables à l'intérieur d'une session de navigateur, mais invisibles pour les outils au niveau du réseau. ClaudeBot lui-même n'entre pas dans cette catégorie : il se bloque facilement. Les agents qui opèrent au travers de sessions de navigateur sont précisément ce que ces tests ont identifié comme la menace invisible.

Client-Side Security Consultant Mike Kutlu

Client-side security consultant at cside. 10+ years of experience implementing technology solutions for enterprises (previously at Oracle, Cloudflare, and Splunk). Now helping teams use client-side intelligence to catch & reduce fraud.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

ClaudeBot est le robot d'exploration web d'Anthropic, utilisé pour collecter des données d'entraînement pour les modèles Claude. Il effectue des requêtes HTTP GET vers des URL accessibles au public, s'identifie au moyen d'une chaîne d'agent utilisateur déclarée et opère à partir de plages d'IP publiées. C'est un robot d'exploration HTTP qui n'exécute pas JavaScript et n'interagit pas avec les applications web dynamiques.

Ajoutez `User-agent: ClaudeBot` suivi de `Disallow: /` à votre fichier `robots.txt`. La documentation d'Anthropic indique que ClaudeBot respecte ces directives. Pour un contrôle au niveau des chemins, utilisez des règles `Disallow` spécifiques afin de restreindre l'accès aux sections sensibles tout en autorisant le robot sur le contenu public.

Non. ClaudeBot est le robot d'entraînement d'Anthropic. Claude, l'assistant, est un produit distinct. Lorsque les utilisateurs de Claude lui demandent de naviguer sur le web ou d'accomplir des tâches web, ces sessions utilisent une infrastructure différente. Bloquer ClaudeBot n'empêche pas les agents propulsés par Claude de visiter votre site.

Oui. Anthropic publie les plages d'IP de ClaudeBot dans sa documentation sur les robots d'exploration. Refuser ces plages au niveau de votre pare-feu ou de votre CDN fournit une application qui ne dépend pas du fait que le robot lise `robots.txt`. Les plages d'IP nécessitent des mises à jour périodiques à mesure qu'Anthropic fait évoluer son infrastructure d'exploration.

Cela dépend de votre volonté de voir votre contenu figurer dans les données d'entraînement d'Anthropic. Le bloquer empêche le nouveau contenu d'entrer dans les futurs cycles d'entraînement, mais ne supprime pas le contenu déjà collecté des modèles Claude existants. Pesez le compromis entre la protection de vos données et l'avantage potentiel d'être bien représenté dans la base de connaissances de Claude.

Surveillez et sécurisez vos scripts tiers

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Réserver une démonstration

Commencez gratuitement

Commencez gratuitement, ou essayez Business avec un essai de 14 jours.

cside Interface du tableau de bord affichant la surveillance des scripts et les analyses de sécurité

Comment Bloquer ClaudeBot sur Votre Site Web

ClaudeBot explore votre site pour entraîner les modèles Claude d'Anthropic. Voici comment le bloquer via robots.txt et plages d'IP, et ce qui échappe encore au blocage.

Comment Prévenir la Création de Faux Comptes : Pourquoi la Détection au Niveau du Navigateur Capte ce que la Vérification d'E-mail Manque

La vérification d'e-mail confirme qu'une boîte mail existe. Elle ne voit pas le navigateur. Voici pourquoi la détection au niveau du navigateur capte les faux comptes qu'elle manque.

Attaque de la chaîne d'approvisionnement Polyfill.io : chronologie complète, analyse et leçons (2024–2026)

Une chronologie complète et sourcée de l'attaque Polyfill.io, de la vente du domaine en 2024 aux sanctions contre Funnull en 2025, et comment la supprimer aujourd'hui.

Couverture sombre du blog cside avec fond de pixels bleus et trois coches : pourquoi les règles de vélocité ratent les agents de test de cartes IA, les signaux navigateur qui les révèlent et comment bloquer le paiement avant le checkout

Comment Bloquer les Agents de Test de Cartes Basés sur l'IA

Les agents IA de test de cartes sondent les flux de paiement avec de vrais navigateurs. Découvrez les signaux qui les exposent avant la finalisation d'une transaction.

Plateforme de sécurité cside classifiant plusieurs connexions d'agents IA — détection d'agents au niveau du navigateur et gestion de la confiance

Comment choisir une solution de détection des agents IA

Guide en cinq étapes pour les RSSI évaluant des solutions de détection des agents IA : architecture, classification, profils de fournisseurs et méthodologie de POC.

Couverture de blog cside montrant une interface navigateur filtrant le trafic des bots et agents IA en chemins approuvés et bloqués

Meilleures Plateformes de Gestion de Confiance des Bots et Agents Comparées (2026)

Forrester définit la catégorie. cside, DataDome, HUMAN Security, Kasada et Arkose Labs comparés sur la couche de détection, l'intention et la couverture agentique.

bouclier de sécurité cside surveillant le parcours du curseur navigateur — détection d'agents IA au niveau navigateur

Comment Bloquer OpenAI Operator sur Votre Site Web

OpenAI Operator navigue votre site comme un utilisateur réel. Apprenez à le détecter via les signaux navigateur et quand ne pas le bloquer.

DBSC face à l'empreinte d'appareil : ce que la sécurité de session de Chrome ne couvre pas

Le DBSC de Chrome bloque le rejeu de cookies volés, mais reste limité à Chrome, post-connexion et sans identité d'appareil. Voici la fraude qu'il laisse.

Détecter et bloquer Perplexity Shopper sur votre site web — blog cside

Comment bloquer Perplexity Shopper sur votre site web

Perplexity Shopper navigue et achète sur les sites e-commerce au nom des utilisateurs Pro. Apprenez à détecter ses signaux et à gouverner ce trafic.

Illustration d'une requête à l'API Claude et d'une réponse renvoyée appartenant à un autre utilisateur, marquée « la réponse ne correspond pas à la requête », entre les logos d'Anthropic et de cside

Quand une API d'IA renvoie la réponse d'un autre utilisateur : caches partagés et fuites entre clients

Un incident de l'API Claude semble avoir renvoyé les réponses d'autres utilisateurs. Pourquoi les caches partagés provoquent des fuites entre clients.