Moment Triple d'Anthropic : Fuite de code, bras de fer gouvernemental et armement

Titre original de l'article : Anthropique : La Fuite, La Guerre, L'Arme
Auteur de l'article original : BuBBliK
Traduction : Peggy, BlockBeats

Note de l'éditeur : Au cours des six derniers mois, Anthropic a été impliqué à plusieurs reprises dans une série d'événements apparemment indépendants mais en fait interconnectés : bond dans les capacités des modèles, attaques automatisées dans le monde réel, réactions drastiques du marché des capitaux, conflits publics avec le gouvernement et multiples fuites d'informations causées par des erreurs de configuration de base. En réunissant ces indices, ils tracent collectivement une direction plus claire du changement.

Cet article prend ces événements comme point de départ pour passer en revue la trajectoire continue d'une entreprise d'IA dans les percées techniques, l'exposition au risque et les jeux de gouvernance, en tentant de répondre à une question plus profonde : alors que la capacité à « découvrir les vulnérabilités » est considérablement amplifiée et progressivement diffusée, le système de cybersécurité lui-même peut-il encore conserver sa logique de fonctionnement initiale ?

Dans le passé, la sécurité était fondée sur la rareté des capacités et les contraintes humaines ; dans de nouvelles conditions, toutefois, l'attaque et la défense se déroulent autour du même ensemble de capacités modèles, ce qui rend les frontières de plus en plus floues. Dans le même temps, les réactions des institutions, des marchés et des organisations restent dans l’ancien cadre, peinant à s’adapter en temps opportun à ce changement.

Cet article se concentre non seulement sur Anthropic lui-même, mais sur une réalité plus large qu'il reflète : L'IA ne change pas seulement les outils, mais aussi la prémisse de la « façon dont la sécurité est établie ».

Voici le texte original :

À quoi cela ressemble-t-il lorsqu'une entreprise de 380 milliards de dollars s'engage dans un jeu de pouvoir avec le Pentagone, survit à la toute première attaque réseau lancée par une IA autonome, divulgue en interne un modèle dont même ses développeurs ont peur, et même expose « accidentellement » tout le code source ? Tous empilés, à quoi ça ressemble ?

La réponse est de savoir à quoi elle ressemble maintenant. Et ce qui est encore plus troublant, c'est que la partie la plus dangereuse n'est peut-être pas encore arrivée.

Examen de l'événement

Anthropic divulgue à nouveau son code

Le 31 mars 2026, Shou Chaofan, chercheur en sécurité de la blockchain Fuzzland, a découvert un fichier nommé cli.js.map dans le paquet npm officiel du Code Claude, en l'inspectant.

Ce fichier de 60 Mo contenait un contenu étonnant. Il comprenait presque le code source TypeScript complet du produit. Avec ce seul fichier, n'importe qui pouvait reconstruire jusqu'à 1906 fichiers sources internes : y compris les conceptions internes d'API, les systèmes de télémétrie, les outils de chiffrement, la logique de sécurité, les systèmes de plugins – presque tous les composants de base mis à nu. Plus important encore, ce contenu pourrait même être directement téléchargé sous forme de fichier zip depuis le propre bucket R2 d'Anthropic.

Cette découverte s'est rapidement propagée sur les réseaux sociaux : en quelques heures, les publications associées ont reçu 754 000 vues et près de 1000 retweets ; dans le même temps, de nombreux dépôts GitHub contenant le code source divulgué ont été créés et rendus publics.

La carte dite source, fondamentalement juste un fichier auxiliaire pour le débogage JavaScript, est conçue pour rétablir le code source compressé et compilé, ce qui facilite la résolution des problèmes pour les développeurs.

Cependant, il existe un principe de base : il ne doit jamais être inclus dans le package de sortie de l'environnement de production.

Il ne s'agit pas d'une technique de piratage avancée, mais d'un problème de bonnes pratiques d'ingénierie très basique, faisant partie de la « Configuration de Construction 101 », ce que les développeurs apprennent même au cours de leur première semaine. Si elle est emballée par erreur dans l'environnement de production, la carte source revient souvent essentiellement à « donner » le code source à tout le monde.

Vous pouvez également consulter directement le code associé ici : https://github.com/fr/instructkr/claude-code

Mais ce qui rend vraiment cette situation absurde, c'est que cela s'est déjà produit une fois auparavant.

En février 2025, il y a tout juste un an, presque exactement la même fuite: le même dossier, le même type d'erreur. Anthropic a ensuite supprimé l'ancienne version de npm, éliminé la carte source et republié une nouvelle version, et le problème a été résolu.

Pourtant, dans la version 2.1.88, ce fichier a été une fois de plus empaqueté et publié.

Une entreprise d'une valeur de marché de 380 milliards de dollars, qui construit actuellement le système de détection de vulnérabilité le plus avancé au monde, a commis la même erreur fondamentale deux fois en un an. Il n'y a pas eu d'attaques de hackers, pas de chemins d'exploit alambiqués, juste un processus de build de base qui aurait dû fonctionner comme prévu en se trompant.

Cette ironie est presque poétique en quelque sorte.

L'IA qui pouvait découvrir 500 vulnérabilités zero day en une seule exécution ; le modèle utilisé pour lancer des attaques automatisées contre 30 organisations mondiales – pendant ce temps, Anthropic « wrappait » par inadvertance son propre code source pour quiconque prêt à jeter un coup d'œil à un paquet npm.

Deux fuites, juste sept jours d'intervalle.

Pourtant, les raisons étaient étrangement similaires: l'erreur de configuration la plus élémentaire. Pas besoin de sophistication technique, pas de parcours d'exploitation alambiqué. Savoir où regarder, tout le monde pouvait le saisir librement.

Il y a une semaine : Modèle de risque interne accidentellement exposé

Le 26 mars 2026, Roy Paz, chercheur en sécurité chez LayerX Security, et Alexandre Pauwels, de l'Université de Cambridge, ont découvert une mauvaise configuration du CMS du site Anthropic, entraînant l'exposition d'environ 3000 fichiers internes.

Ces fichiers comprenaient des ébauches de blogs, des PDF, des documents internes, des documents de présentation – tous exposés dans une banque de données consultable et non protégée. Pas de piratage, pas de technicité.

Parmi ces fichiers se trouvaient deux ébauches de blog presque identiques, qui ne différaient que par le nom du modèle : l'une intitulée « Mythos », l'autre intitulée « Capybara ».

Cela indiquait qu'Anthropic décidait alors entre deux noms pour le même projet secret. La société a confirmé par la suite : la formation du modèle était terminée et les tests avaient commencé avec certains premiers clients.

Il ne s'agissait pas d'une mise à niveau de routine vers Opus mais d'un tout nouveau modèle « de niveau quatre », un niveau positionné encore au-dessus de l'Opus.

Dans le propre brouillon d'Anthropic, il a été décrit comme « plus grand, plus intelligent que notre modèle Opus – Opus étant notre modèle le plus solide à ce jour ». Il avait vu un bond significatif dans les prouesses de programmation, le raisonnement académique et la cybersécurité. Un porte-parole l'a qualifié de "saut qualitatif" et aussi de "modèle le plus puissant que nous ayons construit à ce jour".

Mais ce qui a vraiment retenu l'attention, ce ne sont pas ces descriptions de performance.

Dans l'ébauche qui a fuité, Anthropic a estimé que ce modèle « introduit des risques de cybersécurité sans précédent », « dépasse de loin tout autre modèle d'IA en matière de capacités de réseau » et « annonce une vague de modèles à venir – une vague qui tire parti des vulnérabilités à une vitesse bien au-delà des réponses des défenseurs ».

En d'autres termes, dans une ébauche de blog officiel non publiée, Anthropic avait déjà exprimé une position rare : ils étaient mal à l'aise sur le produit qu'ils construisaient.

La réaction du marché a été quasi instantanée. Le cours de Bourse de CrowdStrike a chuté de 7 %, Palo Alto Networks de 6 %, Zscaler de 4,5 % ; Okta et SentinelOne ont chuté de plus de 7 %, tandis que Tenable a chuté de 9 %. L'ETF iShares Cybersecurity a accusé une baisse de 4,5 % sur une seule journée. Seul CrowdStrike a vu sa capitalisation boursière s'évaporer d'environ 15 milliards de dollars ce seul jour-là. Entre-temps, le bitcoin est retombé à 66 000 $.

Le marché a évidemment interprété cet événement comme un "jugement" sur l'ensemble du secteur de la cybersécurité.

L’essentiel de l’image : Sous l'influence d'actualités pertinentes, le secteur de la cybersécurité dans son ensemble a connu un déclin, plusieurs grandes entreprises (telles que CrowdStrike, Palo Alto Networks, Zscaler, etc.) enregistrant des baisses significatives, reflétant les préoccupations du marché quant à l'impact de l'IA sur le secteur de la cybersécurité. Cependant, cette réaction n'est pas sans précédent. Auparavant, lorsqu'Anthropic a lancé un outil de scan de code, les actions associées ont également chuté, ce qui indique que le marché a commencé à considérer l'IA comme une menace structurelle pour les fournisseurs de sécurité traditionnels, l'ensemble de l'industrie du logiciel subissant des pressions similaires.

L'évaluation d'Adam Borg, analyste de Stifel, a été assez directe : Le modèle « a le potentiel de devenir l'outil de piratage ultime, capable même de transformer un hacker régulier en un adversaire doté de capacités d'attaque au niveau de l'État-nation ».

Pourquoi n'a-t-il pas encore été rendu public ? L'explication d'Anthropic est que le coût d'exploitation de Mythos est « très élevé » et ne remplit pas encore les conditions de diffusion publique. Le plan actuel est d'accorder d'abord un accès anticipé à un petit nombre de partenaires de cybersécurité pour renforcer leurs systèmes de défense, puis d'étendre progressivement l'accès libre de l'API. En attendant, l'entreprise continue d'optimiser son efficacité.

Cependant, le point clé est que ce modèle existe déjà, est déjà en cours de test et, simplement parce qu'il a été « accidentellement exposé », a déjà eu un impact sur l'ensemble du marché des capitaux.

Anthropic a construit ce qu'elle appelle elle-même le « modèle d'IA le plus cyber-risqué de l'histoire ». Pourtant, la fuite de ses informations provient précisément d’une des erreurs de configuration d’infrastructure les plus élémentaires – exactement le type d’erreur que ces modèles ont été conçus à l’origine pour détecter.

Mars 2026 : Bras de fer entre Anthropic et le Pentagone et la victoire

En juillet 2025, Anthropic a signé un contrat de 200 millions de dollars avec l'U.S. Département de la Défense, apparaissant initialement comme une collaboration de routine. Cependant, lors des négociations de déploiement qui ont suivi, le conflit s'est rapidement aggravé.

Le Pentagone a cherché à obtenir un « accès total » à Claude sur sa plateforme GenAI.mil à toutes les « fins légales » – y compris des systèmes d'armes totalement autonomes et une surveillance interne approfondie des citoyens américains.

Anthropic a tracé des lignes rouges sur deux questions critiques et a explicitement refusé, entraînant l'échec des négociations en septembre 2025.

Par la suite, la situation a commencé à dégénérer rapidement. Le 27 février 2026, Donald Trump a publié sur Truth Social, exigeant que toutes les agences fédérales "cessent immédiatement" d'utiliser la technologie d'Anthropic et qualifiant l'entreprise d'"extrême gauche".

Le 5 mars 2026, l’armée américaine Le Département de la Défense a officiellement désigné Anthropic comme un « risque pour la chaîne d'approvisionnement ».

Cette étiquette était auparavant utilisée presque exclusivement pour des adversaires étrangers — comme des entreprises chinoises ou des entités russes — et est maintenant appliquée pour la première fois à une entreprise américaine basée à San Francisco. Entre-temps, des entreprises comme Amazon, Microsoft et Palantir Technologies devaient également prouver que Claude n'était utilisé dans aucune de leurs opérations militaires.

L'explication du directeur technique du Pentagone, Emile Michael, pour cette décision était que Claude pourrait "entacher" la chaîne d'approvisionnement parce que le modèle intègre différentes "préférences politiques". En d'autres termes, dans le contexte officiel, une IA avec des restrictions d'utilisation qui n'aideraient pas inconditionnellement à une action létale est plutôt considérée comme un risque pour la sécurité nationale.

Le 26 mars 2026, la juge fédérale Rita Lin a rendu une décision de 43 pages qui a complètement bloqué les mesures connexes du Pentagone.

Dans son jugement, écrit-elle, « il n'existe aucune base juridique dans le droit actuel pour soutenir cette logique « orwellienne » — le simple fait qu'une entreprise américaine ne soit pas d'accord avec la position du gouvernement peut la qualifier d'adversaires potentiels. Punir Anthropic pour avoir soumis la position du gouvernement à un examen public est fondamentalement une mesure de rétorsion classique et illégale au titre du premier amendement. » Un avis d'amicus judiciaire a même qualifié les actions du Pentagone de "tentative de meurtre sur une société".

En conséquence, la tentative du gouvernement de supprimer Anthropic l'a en fait attiré plus d'attention. L'application Claude a dépassé ChatGPT pour la première fois sur l'app store, avec un nombre d'inscriptions culminant à plus de 1 million par jour.

Une société d'IA a dit "non" à l'organisation militaire la plus puissante du monde. Et la cour s'est rangée de leur côté.

Novembre 2025 : La première cyberattaque menée par l'IA de l'histoire

Le 14 novembre 2025, Anthropic publie un rapport qui provoque une onde de choc dans le monde entier.

Le rapport a révélé qu'un groupe de piratage sponsorisé par l'État chinois a utilisé Claude Code pour lancer des attaques automatisées contre 30 institutions mondiales, y compris des géants de la technologie, des banques et de nombreux organismes gouvernementaux.

Cela a marqué un moment charnière : L ' IA n ' est plus seulement un outil d ' assistance mais est utilisée pour mener de manière autonome des cyberattaques.

La clé était un changement dans la « division du travail » : les humains n'étaient responsables que de la sélection des cibles et de l'approbation des décisions clés. Pendant toute l'opération, ils ne sont intervenus qu'environ 4 à 6 fois. Tout le reste était géré par l'IA : collecte de renseignements, identification des vulnérabilités, écriture de code d'exploitation, exfiltration de données, implantation de portes dérobées... comprenant 80 % à 90 % de l'ensemble du processus d'attaque et fonctionnant à un rythme de milliers de demandes par seconde – une envergure et une efficacité inégalées par toute équipe humaine.

Comment ont-ils contourné les mesures de sécurité de Claude ? La réponse: ils n'ont pas "percé" mais "tracé".

L'attaque a été fragmentée en sous-tâches apparemment inoffensives et conditionnée comme un "test de pénétration autorisé" par une "société de sécurité légitime". Essentiellement, il s’agissait d’une forme d’attaque d’ingénierie sociale, sauf que cette fois, la cible trompée était l’IA elle-même.

Certaines parties de l'attaque ont connu un grand succès. Claude a pu cartographier de manière autonome l'ensemble de la topologie du réseau, localiser les bases de données et effectuer l'extraction des données sans instructions humaines étape par étape.

Le seul facteur qui ralentissait le rythme d'attaque était des « hallucinations » occasionnelles dans le modèle, telles que des informations d'identité fabriquées de toutes pièces ou des affirmations d'obtention de documents qui étaient en fait déjà publics. Au moins pour l'instant, ceux-ci restent parmi les rares "obstacles naturels" empêchant des cyberattaques entièrement automatisées.

Lors de la conférence RSA 2026, l'ancien chef de la cybersécurité de la NSA Rob Joyce a qualifié cet événement de "test de Rorschach": certains choisissent d'ignorer, tandis que d'autres sont profondément perturbés. Et il appartenait apparemment à ce dernier : « C'est très effrayant ».

Septembre 2025 : Ce n’est pas une sorte de prédiction, c’est une réalité qui s’est déjà produite.

Février 2026 : Une exécution découvre 500 vulnérabilités de type « zero day »

Le 5 février 2026, Anthropic sortait Claude Opus 4.6, accompagné d'un document de recherche qui a failli ébranler toute l'industrie de la cybersécurité.

Le montage expérimental était extrêmement simple : Claude a été placé dans un environnement de machine virtuelle isolée équipé d'outils standard : Python, un débogueur et des fuzzers. Il n'y avait aucune instruction supplémentaire, aucune invite complexe, juste une phrase : — Va chercher des insectes.

Résultat : le modèle a découvert plus de 500 vulnérabilités Zero Day à haut risque inconnues auparavant. Certaines de ces vulnérabilités n'ont pas été découvertes même après des décennies d'examen par des experts et des millions d'heures de tests automatisés.

Par la suite, lors de la conférence RSA 2026, le chercheur Nicholas Carlini est monté sur scène. Il visait Claude à Ghost, un système CMS sur GitHub avec 50 000 étoiles et aucun historique de vulnérabilités graves.

Après 90 minutes, le résultat est arrivé : une vulnérabilité d'injection SQL aveugle a été trouvée, permettant aux utilisateurs non authentifiés de prendre le contrôle administrateur total.

Ensuite, il a utilisé Claude pour analyser le noyau Linux. Les résultats étaient similaires.

15 jours plus tard, Anthropic présentait Claude Code Security, un produit de sécurité qui ne repose plus sur la mise en correspondance de motifs mais sur la « capacité de raisonnement » à comprendre le code.

Cependant, un porte-parole d'Anthropic a également déclaré un fait clé mais souvent négligé : « La même capacité de raisonnement qui peut aider Claude à découvrir et corriger les vulnérabilités peut également être utilisée par les attaquants pour exploiter ces vulnérabilités. »

C’est la même capacité, le même modèle, juste manié par des mains différentes.

Tout cela se conjugue, que signifie ?

Considérés individuellement, chacun de ces éléments serait suffisant pour faire la une des journaux du mois. Cependant, ils se sont tous produits en seulement six mois, tous dans la même entreprise.

Anthropic a construit un modèle qui peut découvrir les vulnérabilités plus rapidement que n'importe quel humain ; les hackers chinois ont fait de la génération précédente une arme de réseau automatisée ; la société développe un modèle de nouvelle génération, plus puissant, admettant même dans des documents internes - ils sont mal à l'aise à ce sujet.

Le gouvernement américain a essayé de la supprimer, non pas parce que la technologie elle-même est dangereuse, mais parce qu'Anthropic refuse de transmettre cette capacité sans limites.

Et malgré tout, cette société a divulgué son code source deux fois en raison du même fichier dans le même paquet npm. Une entreprise d'une valeur de 380 milliards de dollars ; une entreprise qui vise une introduction en Bourse de 600 milliards de dollars d'ici octobre 2026 ; une entreprise qui déclare publiquement qu'elle construit « l'une des technologies les plus transformatrices et potentiellement dangereuses de l'histoire de l'humanité » - pourtant, elle choisit de continuer à aller de l'avant.

Parce qu'ils croient : Mieux vaut le faire soi-même que de le demander aux autres.

Quant à cette carte source dans le paquet npm - c'est peut-être juste le détail le plus troublant dans le récit le plus troublant de cette époque, le plus absurde, mais aussi le plus réel.

Et Mythos n'est même pas encore officiellement sorti.

[Original Article Lien]