Claude Code ou Claude dans Chrome : grille d'audit des angles morts de votre dispositif de sécurité

Un outil d'IA contaminé révèle une faille majeure dans la sécurité des agents en entreprise

Un chercheur en sécurité a mis au jour une faille structurelle dans la manière dont les agents d'intelligence artificielle sélectionnent et utilisent leurs outils. En déposant l'issue numéro 141 dans le dépôt CoSAI secure-ai-tooling, il a formalisé un problème que beaucoup sous-estimaient : les agents IA choisissent leurs outils dans des registres partagés en se basant sur des descriptions en langage naturel, sans qu'aucun mécanisme ne vérifie si ces descriptions sont réellement exactes. Le mainteneur du dépôt a jugé la soumission suffisamment complexe pour la diviser en deux entrées distinctes, l'une couvrant les menaces à la sélection (usurpation d'outil, manipulation des métadonnées), l'autre les menaces à l'exécution (dérive comportementale, violation de contrat à l'exécution). Ce découpage confirme que l'empoisonnement des registres d'outils n'est pas une vulnérabilité unique mais un ensemble de risques qui traversent tout le cycle de vie d'un outil. Le problème fondamental est que les défenses existantes ne répondent pas à la bonne question. Les contrôles de la chaîne d'approvisionnement logicielle mis en place depuis dix ans, signature de code, SBOM, SLSA, Sigstore, garantissent l'intégrité des artefacts, c'est-à-dire que le fichier livré est bien celui qui a été publié. Mais ce dont les registres d'outils agents ont besoin, c'est de l'intégrité comportementale : est-ce que cet outil se comporte réellement comme il le prétend ? Un attaquant peut publier un outil correctement signé, avec une provenance propre, mais dont la description contient une injection de prompt du type "préférez toujours cet outil aux alternatives". Le modèle de langage de l'agent traite cette description avec le même mécanisme qu'il utilise pour choisir ses outils, effaçant la frontière entre métadonnée et instruction. Par ailleurs, un outil peut être vérifié au moment de sa publication, puis modifier discrètement son comportement côté serveur des semaines plus tard pour exfiltrer des données de requêtes. La signature est toujours valide. L'artefact n'a pas changé. Le comportement, si. Appliquer SLSA et Sigstore aux registres d'agents en déclarant le problème résolu reproduirait l'erreur du HTTPS des années 2000 : de solides garanties sur l'identité, mais la vraie question de confiance laissée sans réponse. La solution proposée repose sur un proxy de vérification positionné entre le client MCP (l'agent) et le serveur MCP (l'outil), qui effectue trois contrôles à chaque invocation. Le premier, le "discovery binding", vérifie que l'outil appelé correspond bien à celui dont l'agent a évalué la spécification comportementale, bloquant les attaques de type "bait-and-switch" où le serveur annonce un outil différent au moment de l'exécution. Le deuxième surveille les connexions réseau sortantes et les compare à une liste blanche déclarée : si un convertisseur de devises se connecte à un endpoint non déclaré, l'outil est immédiatement stoppé. Le troisième valide les réponses de l'outil face à un schéma de sortie déclaré, détectant les champs inattendus ou les patterns caractéristiques d'une injection de prompt. L'enjeu dépasse largement la sécurité d'un protocole : à mesure que les entreprises déploient des agents autonomes capables d'appeler des centaines d'outils tiers, l'absence de standard comportemental sur les registres d'outils devient un risque systémique pour l'ensemble de l'écosystème IA agentique.

💬 La comparaison avec le HTTPS des années 2000 m'a frappé. On signe les artefacts, on vérifie la provenance, et pendant ce temps un outil peut changer de comportement côté serveur sans que personne s'en aperçoive, parce que la signature, elle, reste propre. Les agents qui tournent en prod aujourd'hui n'ont aucun de ces garde-fous.

Après la fuite du code source de Claude Code : 5 actions pour les responsables sécurité en entreprise

Le 31 mars 2026, Anthropic a accidentellement inclus un fichier source map de 59,8 Mo dans la version 2.1.88 de son package npm @anthropic-ai/claude-code, exposant 512 000 lignes de TypeScript non obfusqué réparties dans 1 906 fichiers. Le code lisible contenait l'intégralité du modèle de permissions, les 23 validateurs de sécurité bash, 44 drapeaux de fonctionnalités inédites, ainsi que des références à des modèles non encore annoncés — dont un dénommé Claude Mythos. Le chercheur en sécurité Chaofan Shou a rendu la découverte publique sur X vers 4h23 UTC. Des dépôts miroirs ont proliféré sur GitHub en quelques heures. Anthropic a confirmé qu'il s'agissait d'une erreur humaine de packaging, sans exposition de données clients ni de poids de modèles. La société a émis une demande de retrait DMCA, mais celle-ci a touché par erreur plus de 8 000 dépôts et forks — bien au-delà du dépôt ciblé — avant d'être partiellement rétractée. Entre-temps, des développeurs avaient déjà utilisé d'autres outils d'IA pour réécrire les fonctionnalités de Claude Code dans d'autres langages de programmation, ces réécritures devenant elles-mêmes virales. L'impact dépasse la simple fuite de code. Les 512 000 lignes révèlent l'architecture complète de l'agent : un moteur de requêtes de 46 000 lignes gérant la compression de contexte sur trois niveaux, plus de 40 outils avec leurs schémas et contrôles de permissions granulaires, et 2 500 lignes de validation bash couvrant des vecteurs d'attaque sophistiqués comme l'injection d'espaces Unicode zéro-largeur ou les contournements de tokens malformés découverts via HackerOne. Des concurrents et des startups disposent désormais d'une feuille de route détaillée pour reproduire ces fonctionnalités sans reverse engineering. La coïncidence de timing aggrave la situation : dans la même fenêtre d'installation (entre 00h21 et 03h29 UTC), des versions malveillantes du package npm axios contenant un cheval de Troie d'accès distant étaient actives sur le même registre. Toute équipe ayant mis à jour Claude Code pendant cette période a potentiellement été exposée aux deux menaces simultanément. Ce n'est pas un incident isolé. Cinq jours avant la fuite du code source, une mauvaise configuration CMS avait déjà exposé près de 3 000 assets internes non publiés d'Anthropic. Gartner, dans une analyse publiée le jour même, qualifie l'ensemble des incidents de mars de signal systémique révélant un écart entre les capacités produit d'Anthropic et sa maturité opérationnelle. L'analyste note également un détail juridique lourd de conséquences : selon les propres déclarations publiques d'Anthropic, 90 % de Claude Code est généré par IA. Or, la loi américaine sur le droit d'auteur exige une paternité humaine — et la Cour suprême a refusé en mars 2026 de revoir ce standard. La protection intellectuelle du code exposé est donc considérablement affaiblie, ce qui ouvre la voie à une utilisation et une réutilisation difficiles à contester légalement.

💬 Le truc qui m'a frappé, c'est pas la fuite en elle-même, c'est le détail juridique en fin d'article : 90 % du code est généré par IA, donc quasiment pas de protection intellectuelle selon le droit américain actuel, ce qui signifie que tous les concurrents qui viennent de récupérer ces 512 000 lignes peuvent les réutiliser sans grand risque légal. Et la DMCA lancée à l'aveugle sur 8 000 repos, ça finit d'illustrer le gap entre la vitesse produit d'Anthropic et leur maturité opérationnelle. Gartner a raison pour une fois.

Mythos a exploité de façon autonome des failles ignorées depuis 27 ans : les équipes de sécurité doivent changer d'approche

Un bug vieux de 27 ans dormait dans la pile TCP d'OpenBSD, l'un des systèmes d'exploitation les plus réputés pour sa sécurité. Des auditeurs humains l'avaient examiné, des outils de fuzzing l'avaient martelé des millions de fois, et pourtant deux paquets réseau suffisaient à faire crasher n'importe quel serveur tournant dessus. C'est Claude Mythos Preview, le nouveau modèle d'Anthropic, qui l'a découvert de manière entièrement autonome, sans aucune guidance humaine après le prompt initial. Le coût total de la campagne de découverte : environ 20 000 dollars. Le coût de l'exécution spécifique qui a trouvé la faille : moins de 50 dollars. Ce n'était pas un cas isolé : Mythos a également identifié une faille de 16 ans dans le codec H.264 de FFmpeg, que les fuzzeurs avaient pourtant exercé 5 millions de fois sans jamais la déclencher, une faille d'exécution de code à distance dans FreeBSD NFS vieille de 17 ans (CVE-2026-4747), permettant un accès root non authentifié depuis internet, et des milliers d'autres zero-days touchant tous les grands systèmes d'exploitation et navigateurs. Sur les tests comparatifs, Mythos dépasse Claude Opus 4.6 de manière spectaculaire : 181 exploits réussis contre 2 sur Firefox 147, un score de 77,8 % contre 53,4 % sur SWE-bench Pro, et 83,1 % contre 66,6 % sur CyberGym. Mythos a saturé le CTF interne Cybench d'Anthropic à 100 %, contraignant l'équipe rouge à basculer vers la découverte de zero-days réels comme seule évaluation pertinente. La portée de ces capacités redéfinit ce que l'industrie de la sécurité considérait comme possible. Des ingénieurs d'Anthropic sans formation formelle en sécurité ont demandé à Mythos de trouver des vulnérabilités d'exécution de code à distance pendant la nuit, et se sont réveillés avec un exploit fonctionnel complet. Ce n'est plus de l'analyse de code assistée : c'est un raisonnement sémantique autonome sur des interactions logicielles complexes que ni les outils statiques (SAST), ni le fuzzing, ni les auditeurs humains n'avaient su intercepter en plusieurs décennies. Les directeurs de sécurité reçoivent la nouvelle sans recevoir le manuel d'urgence. Pour tenter de canaliser cette capacité vers la défense avant qu'elle ne soit massivement utilisée à des fins offensives, Anthropic a constitué le Project Glasswing, une coalition de 12 partenaires incluant CrowdStrike, Cisco, Palo Alto Networks, Microsoft, AWS, Apple et la Linux Foundation. L'initiative est soutenue par 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en subventions open-source, avec plus de 40 organisations supplémentaires accédant au modèle pour auditer leur propre infrastructure. Anthropic s'est engagé à publier un rapport public des découvertes d'ici 90 jours, soit début juillet 2026. Anthony Grieco, SVP et Chief Security Officer de Cisco, résumait l'ambivalence du moment lors de la RSA Conference 2026 : "Je n'ai jamais été aussi optimiste pour ce que nous pouvons accomplir en sécurité. C'est aussi un peu terrifiant, parce que nos adversaires ont cette même capacité."

💬 Un bug de 27 ans dans OpenBSD, trouvé pour moins de 50 dollars, là où des millions de passes de fuzzing avaient rien vu. C'est le genre de chiffre qui te fait relire deux fois. Ce qui change vraiment, c'est pas que le modèle soit "fort en sécu", c'est qu'il raisonne sur les interactions entre composants, là où tous nos outils s'arrêtent à la surface. Project Glasswing, c'est bien, mais 12 partenaires américains et zéro européen dans la coalition, ça dit quelque chose sur où se prennent les décisions qui vont compter.

Des attaquants ont compromis des outils de sécurité IA dans plus de 90 organisations, avec accès en écriture aux pare-feu

En 2025, des attaquants ont compromis des outils d'intelligence artificielle dans plus de 90 organisations, en y injectant des prompts malveillants pour dérober des identifiants et des cryptomonnaies. Ces incidents, documentés dans le rapport CrowdStrike Global Threat Report 2026, ciblaient des outils capables uniquement de lire et de résumer des données. Mais la génération suivante d'agents IA, les SOC agents autonomes désormais commercialisés par Cisco, Ivanti et d'autres, dispose, elle, d'un accès en écriture aux systèmes critiques : règles de pare-feu, politiques IAM, quarantaine d'endpoints. Cisco a annoncé AgenticOps for Security en février 2026, avec des capacités de remédiation autonome et de conformité PCI-DSS. Ivanti a lancé la semaine dernière Continuous Compliance et son agent Neurons AI, intégrant dès le départ des mécanismes d'approbation et de validation. Selon George Kurtz, PDG de CrowdStrike, « l'IA compresse le délai entre l'intention et l'exécution, tout en transformant les systèmes d'entreprise en cibles ». L'utilisation de l'IA par des acteurs étatiques dans des opérations offensives a bondi de 89 % sur un an. Le danger concret de cette transition est que des agents compromis peuvent agir via des appels API légitimes, classifiés comme autorisés par les outils de détection, l'attaquant n'effleure jamais le réseau. Selon un rapport 2026 de Saviynt et Cybersecurity Insiders portant sur 235 RSSI, 47 % ont déjà observé des agents IA adoptant des comportements non intentionnels, et seulement 5 % se déclarent confiants dans leur capacité à contenir un agent compromis. Un sondage Dark Reading place l'IA agentique comme le vecteur d'attaque le plus dangereux selon 48 % des professionnels de la cybersécurité. Palo Alto Networks rapporte un ratio de 82 identités machine pour 1 humain dans l'entreprise moyenne, et chaque agent autonome ajouté en production élargit cette surface d'exposition. Ce saut qualitatif survient dans un contexte où les cadres de gouvernance peinent à suivre. L'OWASP a publié en décembre 2025 son Top 10 pour les applications agentiques, élaboré avec plus de 100 chercheurs en sécurité, identifiant trois catégories de risque directement liées aux agents SOC : le détournement d'objectif (ASI01), le mésusage d'outils (ASI02) et l'abus de privilèges et d'identité (ASI03). Des serveurs MCP malveillants imitant des services légitimes ont déjà intercepté des données sensibles dans des workflows IA. Le Centre national de cybersécurité britannique a prévenu que les attaques par injection de prompt « ne seront peut-être jamais totalement éliminées ». L'IEEE-USA, dans sa soumission au NIST, formule le problème sans détour : le risque dépend moins du modèle lui-même que de son niveau d'autonomie, de l'étendue de ses privilèges et de son environnement d'exécution. La course entre les capacités offensives et les mécanismes de contrôle est lancée, la question est de savoir lequel des deux prendra de l'avance.