Anthropic fait face à des critiques alors qu'une fuite du code de Claude expose 512 000 lignes de code interne

Alors que les inquiétudes concernant la sécurité de l’IA ne cessent de croître, la fuite du code de claude a placé Anthropic sous un examen intense de la part des développeurs et des chercheurs du monde entier.

Anthropic confirme une exposition accidentelle de code source interne

Mardi, Anthropic a confirmé qu’elle avait, par inadvertance, expédié une partie du code source interne de son outil d’IA de programmation Claude Code. L’entreprise a décrit l’incident comme un « problème d’empaquetage lié à la publication, causé par une erreur humaine, et non une violation de la sécurité », en soulignant qu’aucune compromission externe n’avait eu lieu.

Selon des analystes indépendants en cybersécurité, l’exposition concernait environ 1,900 fichiers et quelque 512,000 lignes de code. De plus, des experts ont noté que l’assistant s’exécute directement dans les environnements de développement, où il peut accéder à des informations sensibles, ce qui a renforcé les inquiétudes liées à un éventuel mauvais usage.

La situation s’est rapidement aggravée après qu’un post sur X a partagé un lien vers le matériel divulgué. Dès le début de la matinée de mardi, ce post avait déjà dépassé 30 millions de vues, augmentant spectaculairement la visibilité du dépôt divulgué et attirant des spécialistes de la sécurité pour examiner les fichiers.

Implications en matière de sécurité et inquiétudes des attaquants

Des développeurs et des chercheurs se sont mis à examiner le code divulgué afin de comprendre comment Claude Code est conçu et comment Anthropic prévoit de faire évoluer le produit. Toutefois, certains professionnels de la sécurité ont soulevé immédiatement des questions sur ce que des attaquants sophistiqués pourraient faire avec une connaissance détaillée des systèmes internes.

La société de cybersécurité Straiker a averti dans un billet de blog que les adversaires peuvent désormais étudier comment les données circulent au sein du pipeline interne de Claude Code. Cela dit, l’entreprise a mis en garde : cette visibilité pourrait permettre à quelqu’un de concevoir des charges utiles qui persistent sur de longues sessions, créant efficacement une porte dérobée cachée dans un flux de travail de développeur.

Ces avertissements ont amplifié les craintes plus larges de l’industrie concernant la sécurité des fuites de code. De plus, des analystes ont souligné que des outils fonctionnant dans les environnements de développement, avec un accès profond aux dépôts et à l’infrastructure, constituent une cible particulièrement attrayante pour des acteurs malveillants.

Un second incident de données d’Anthropic en moins d’une semaine

Cette fuite n’était pas un revers isolé pour Anthropic. Quelques jours plus tôt, Fortune avait rapporté que l’entreprise avait par accident rendu des milliers de fichiers internes accessibles publiquement, marquant un incident distinct de données d’anthropic survenu avant la publication du code source.

Selon les informations, ces fichiers antérieurs comprenaient un projet de billet de blog décrivant un modèle d’IA à venir connu en interne à la fois sous « Mythos » et « Capybara ». Le projet indiquait que le modèle expérimental pourrait introduire des risques notables en matière de cybersécurité, lesquels deviennent désormais encore plus sensibles à la lumière de l’exposition ultérieure du code source.

En réponse aux deux événements, Anthropic a déclaré qu’elle déployait des garde-fous supplémentaires afin de prévenir des erreurs similaires. De plus, l’entreprise a réitéré qu’aucune donnée sensible de client ni aucun identifiant n’étaient impliqués dans l’un ou l’autre incident, cherchant à rassurer les clients entreprise et les régulateurs.

Claude Code en chiffres et impact sur le marché

Anthropic a publié Claude Code au grand public en mai de l’année dernière, en le présentant comme un assistant d’IA qui aide les développeurs à construire des fonctionnalités, à corriger des bugs et à automatiser des tâches répétitives. Le lancement a marqué une poussée significative de la part de l’entreprise sur le marché lucratif des outils logiciels alimentés par l’IA.

L’adoption commerciale du produit a été rapide. En février, Anthropic a indiqué que Claude Code avait atteint un revenu à taux annuel (run-rate) de plus de 2,5 milliards de dollars. Cependant, ce chiffre remarquable a aussi fait monter les enjeux pour la posture de sécurité d’Anthropic, à mesure que davantage d’entreprises intègrent l’assistant à leurs flux de travail.

La pression concurrentielle s’est intensifiée pendant que des rivaux répondent à cette croissance. OpenAI, Google et xAI ont tous alloué des ressources substantielles pour construire leurs propres assistants de codage, espérant capter une part du marché en expansion et se concurrencer directement avec l’outil phare d’Anthropic.

Création, réputation et prochaines étapes après la fuite de claude code

Fondée en 2021 par d’anciens dirigeants et chercheurs d’OpenAI, Anthropic a construit sa réputation autour de sa famille de modèles d’IA Claude et de l’accent mis sur la sécurité. La fuite du claude code a désormais mis ce récit de sécurité sous pression, même si l’entreprise insiste sur le fait que la cause première était opérationnelle plutôt qu’hostile.

L’entreprise a indiqué qu’elle mettait en œuvre des contrôles d’empaquetage plus stricts, des contrôles d’accès et des procédures de revue pour les publications impliquant des dépôts internes. Cela dit, des experts en sécurité soutiennent que les plateformes d’IA modernes nécessitent des défenses continues et superposées, compte tenu de leur intégration profonde dans les environnements de développement et de la sophistication croissante des attaquants potentiels.

Le porte-parole d’Anthropic a souligné que l’organisation prend des mesures concrètes pour s’assurer que ce type d’incident ne se reproduise pas. En résumé, les fuites récentes mettent en lumière à quel point les entreprises d’IA qui connaissent une croissance rapide doivent équilibrer des déploiements agressifs de produits et une hygiène de sécurité rigoureuse afin de maintenir la confiance.