Une faille de sécurité critique est apparue dans l’agent de codage d’IA d’Anthropic, Claude Code : son code source complet a été accidentellement divulgué en ligne. L’exposition de 59,8 Mo, contenant 512 000 lignes de TypeScript, comprend des détails sensibles tels que le modèle d’autorisation, les validateurs de sécurité, les fonctionnalités inédites et les références aux futurs modèles d’IA. Cette fuite ne concerne pas seulement la perte de propriété intellectuelle ; cela modifie fondamentalement le paysage des risques pour les entreprises utilisant des outils de développement assistés par l’IA.
La violation et son impact immédiat
Le 31 mars, Anthropic a expédié par erreur un fichier de carte source dans la version 2.1.88 du package npm @anthropic-ai/claude-code. En quelques heures, le code s’est répandu sur GitHub, malgré les premières tentatives d’Anthropic de suppression du DMCA. La base de code divulguée révèle l’architecture interne de Claude Code, y compris son harnais agent pour l’utilisation des outils, la gestion des fichiers et l’exécution des commandes bash. Les concurrents et les startups peuvent désormais reproduire ses fonctionnalités sans rétro-ingénierie, accélérant ainsi le développement de l’IA tout en sapant l’avantage concurrentiel d’Anthropic.
La double menace : combinaison de fuites de sources et de logiciels malveillants
Le moment de la fuite a coïncidé avec une version malveillante du package npm « axios » contenant un cheval de Troie d’accès à distance. Les équipes mettant à jour Claude Code entre 00h21 et 03h29 UTC le 31 mars peuvent avoir installé par inadvertance simultanément la source exposée et le logiciel malveillant. Cette double exposition met en évidence la vulnérabilité plus large du recours à des dépendances tierces sans vérification rigoureuse.
Pourquoi c’est important : code généré par l’IA et protection IP
Claude Code est généré à 90 % par l’IA, ce qui soulève des questions juridiques sur la protection de la propriété intellectuelle en vertu de la loi américaine sur le droit d’auteur. Le code divulgué peut avoir diminué la valeur IP, en particulier à mesure qu’il devient largement disponible. Plus important encore, l’incident souligne un écart systémique entre les capacités des produits d’IA et la discipline opérationnelle, comme l’a noté Gartner. Les entreprises doivent réévaluer leurs évaluations de fournisseurs d’IA pour donner la priorité à la maturité en matière de sécurité ainsi qu’à l’innovation.
Trois chemins d’exploit révélés par la fuite
La carte source divulguée rend pratiques des attaques auparavant théoriques. Les chercheurs en sécurité ont cartographié trois vulnérabilités clés :
- Empoisonnement contextuel : En injectant des instructions malveillantes dans les fichiers de configuration, les attaquants peuvent manipuler Claude Code pour exécuter des commandes nuisibles.
- Sandbox Bypass : Les divergences dans l’analyse des commandes bash permettent aux attaquants de contourner les validateurs de sécurité en exploitant le comportement des cas extrêmes.
- Coopération militarisée : Les attaquants peuvent exploiter la nature coopérative du modèle en créant un contexte empoisonné qui l’amène à exécuter des commandes malveillantes qui semblent légitimes.
Avertissements d’experts : autorisations trop larges
Elia Zaitsev, directeur technique de CrowdStrike, met en garde contre l’octroi d’autorisations excessives aux agents IA. “Ne donnez pas accès à tout à un agent simplement parce que vous êtes paresseux”, a-t-il déclaré. “Donnez-lui accès uniquement à ce dont il a besoin pour accomplir son travail.” La source divulguée démontre que le système d’autorisation de Claude Code est granulaire, mais que les entreprises doivent appliquer une discipline similaire de leur côté.
Cinq actions immédiates pour les responsables de la sécurité
Pour atténuer les risques, les responsables de la sécurité devraient prendre les mesures suivantes cette semaine :
- Fichiers de configuration d’audit : Analysez
CLAUDE.mdet.claude/config.jsondans tous les référentiels clonés à la recherche d’instructions malveillantes. - Traitez les serveurs MCP comme non fiables : Épinglez les versions, vérifiez les dépendances et surveillez les modifications non autorisées.
- Restreindre les autorisations Bash : Mettez en œuvre une analyse secrète avant la validation pour éviter les fuites d’informations d’identification.
- Exigez la responsabilité des fournisseurs : Exigez des fournisseurs d’agents de codage IA qu’ils fournissent des SLA, un historique de disponibilité et une documentation sur les réponses aux incidents. Architecte pour une capacité de changement de fournisseur sous 30 jours.
- Vérifier la provenance de la validation : Mettez en œuvre la vérification de la provenance de la validation pour empêcher le code assisté par l’IA de supprimer l’attribution.
La carte source divulguée est une classe d’échec bien documentée ; Apple et Persona ont subi des incidents similaires au cours de l’année écoulée. L’exposition d’Anthropic constitue désormais une menace systémique pour l’ensemble de l’écosystème de développement de l’IA. La question n’est pas de savoir si cela se reproduira, mais dans quelle mesure les entreprises seront préparées lorsque cela se reproduira.
