Titre original : Anthropic : la fuite, la guerre, l’arme
Auteur original : BuBBliK
Traduction : Peggy，BlockBeats

Note de l’éditeur : Au cours des six derniers mois, Anthropic a été entraîné à répétition dans une série d’événements qui semblent indépendants les uns des autres, mais qui, en réalité, pointent les uns vers les autres : une percée des capacités du modèle, des attaques automatisées dans le monde réel, une forte réaction du marché des capitaux, un conflit public avec le gouvernement, et plusieurs fuites d’informations causées par des erreurs d’un niveau « configuration de base ». En regardant l’ensemble de ces indices, on dessine une direction de changement plus claire.

À travers ces événements, l’article revient sur la trajectoire continue d’une entreprise d’IA dans le cadre des percées technologiques, de l’exposition aux risques et des rivalités liées à la gouvernance, et tente de répondre à une question plus profonde : lorsque la capacité de « découvrir des failles » est démultipliée, puis se propage progressivement, le système même de la cybersécurité peut-il encore maintenir sa logique de fonctionnement d’origine.

Par le passé, la sécurité reposait sur la rareté des capacités et sur des contraintes humaines ; mais dans les nouvelles conditions, l’attaque et la défense s’organisent autour de la même gamme de capacités de modèle, tandis que les frontières deviennent de plus en plus floues. Dans le même temps, les réactions des institutions, du marché et des organisations restent ancrées dans les anciens cadres, sans parvenir à absorber rapidement ces changements.

Ce que vise cet article ne concerne pas seulement Anthropic lui-même, mais aussi une réalité plus vaste qu’il reflète : l’IA ne change pas uniquement les outils, elle change aussi les prémisses sur lesquelles la « sécurité » peut exister.

Voici le texte original :

Lorsqu’une entreprise d’une capitalisation de 38 milliards de dollars se retrouve en bras de fer avec le Pentagone et finit par prendre l’avantage, qu’elle survit à la première cyberattaque de l’histoire déclenchée par une IA autonome, puis qu’en interne elle fuit un modèle que même ses propres développeurs disent craindre, et qu’elle « publie par accident » encore l’intégralité du code source… que pourrait-il se passer si l’on additionne tout cela ?

La réponse, c’est justement ce qui se produit aujourd’hui. Et ce qui est encore plus inquiétant, c’est que la partie réellement la plus dangereuse n’a peut-être pas encore eu lieu.

Récapitulatif des événements

Anthropic divulge à nouveau son code

Le 31 mars 2026, le chercheur en sécurité Shou Chaofan, de l’entreprise blockchain Fuzzland, en examinant le paquet npm officiel Claude Code, a constaté qu’il contenait en clair un fichier nommé cli.js.map.

Ce fichier fait 60MB. Et son contenu est encore plus surprenant. Il renferme presque l’intégralité du code source TypeScript complet du produit. À partir de ce seul fichier, n’importe qui peut reconstituer jusqu’à 1906 fichiers sources internes : conception des API internes, système de télémétrie, outils de chiffrement, logique de sécurité, système de plugins — presque tous les composants clés se retrouvent listés sans exception. Plus important encore, ces contenus peuvent même être téléchargés directement depuis le bucket R2 d’Anthropic sous forme de fichier zip.

Découverte qui s’est rapidement propagée sur les réseaux sociaux : en quelques heures, les publications concernées ont atteint 754 000 vues et près de 1 000 partages ; en parallèle, plusieurs dépôts GitHub reconstituant le code source ont été créés et rendus publics immédiatement.

Les « source map » (fichier de cartographie source), en essence, ne sont qu’un fichier d’assistance destiné au débogage de JavaScript. Leur rôle est de remettre en correspondance le code compressé et compilé avec le code source original, afin d’aider les développeurs à résoudre les problèmes.

Mais il existe une règle de base : elles ne doivent jamais être incluses dans un paquet de publication destiné à l’environnement de production.

Ce n’est pas une attaque sophistiquée : c’est un simple problème de normes d’ingénierie, du niveau « Build Configuration 101 », voire une notion apprise dès la première semaine de développement. Si, par erreur, elles sont empaquetées dans l’environnement de production, les source map reviennent généralement à « offrir » le code source à tout le monde.

Vous pouvez aussi consulter directement le code concerné ici : https://github.com/instructkr/claude-code

Mais ce qui est vraiment absurde, c’est que cela s’est déjà produit une fois.

En février 2025, c’est-à-dire un an auparavant, presque exactement la même fuite : le même fichier, la même erreur. À l’époque, Anthropic avait supprimé l’ancienne version sur npm, retiré les source map, puis republié une nouvelle version, ce qui avait mis fin à l’affaire.

Résultat : dans la version v2.1.88, ce fichier a de nouveau été empaqueté et publié.

Une entreprise d’une capitalisation de 38 milliards de dollars, en train de construire l’un des systèmes de détection de failles les plus avancés au monde, commet deux fois en un an la même erreur fondamentale. Pas d’attaque de hacker, pas de chemin d’exploitation complexe : seulement un problème dans une chaîne de construction qui aurait dû fonctionner normalement.

Cette ironie a presque quelque chose de « poétique ».

Cette IA capable de découvrir 500 vulnérabilités zero-day en une seule exécution ; ce modèle utilisé pour lancer des attaques automatisées contre 30 institutions à travers le monde — et pendant ce temps, Anthropic « offre » son propre code source, directement, à tous ceux qui veulent jeter un œil au paquet npm.

Deux fuites, séparées de moins de sept jours.

La cause est la même, sans surprise : une erreur de configuration la plus élémentaire. Aucun prérequis technique, aucun chemin d’exploitation complexe. Il suffit de savoir où chercher, et n’importe qui peut obtenir cela gratuitement.

La semaine précédente : exposition imprévue d’un « modèle dangereux » en interne

Le 26 mars 2026, les chercheurs en sécurité Roy Paz, de LayerX Security, et Alexandre Pauwels, de l’Université de Cambridge, ont découvert un problème dans la configuration CMS du site officiel d’Anthropic, entraînant l’accès public à environ 3 000 documents internes.

Ces documents comprennent : brouillons de blogs, PDF, documents internes, supports de présentation — le tout exposé dans un espace de stockage de données non protégé, consultable et indexable. Sans attaque de hacker et sans recours à des moyens techniques.

Parmi ces fichiers, deux brouillons de blog presque identiques se distinguent uniquement par le nom du modèle : l’un porte « Mythos », l’autre « Capybara ».

Cela signifie qu’Anthropic, à l’époque, hésitait entre deux noms pour un même projet secret. La société a ensuite confirmé : l’entraînement de ce modèle était terminé et il avait commencé à être testé auprès de certains clients précoces.

Ce n’est pas une mise à niveau « habituelle » vers Opus, mais un tout nouveau modèle « de quatrième niveau », dont le positionnement est même supérieur à celui d’Opus.

Dans ses propres brouillons, Anthropic le décrit ainsi : « Plus grand, plus intelligent que notre modèle Opus — et Opus reste, à ce jour, notre modèle le plus puissant. » Il obtient des améliorations notables en matière de capacités de programmation, de raisonnement académique et de cybersécurité. Un porte-parole l’a qualifié de « saut qualitatif », et aussi de « le modèle le plus puissant que nous ayons construit jusqu’ici ».

Mais ce qui mérite vraiment d’être surveillé n’est pas ces descriptions de performances en tant que telles.

Dans les brouillons fuités, l’évaluation d’Anthropic pour ce modèle est la suivante : il « introduit un risque de cybersécurité sans précédent », « dépasse de loin tout autre modèle d’IA sur le plan des capacités réseau », et « annonce une vague de modèles imminente — dont la capacité à exploiter des vulnérabilités dépassera largement la vitesse de réponse des défenseurs ».

Autrement dit, dans un brouillon de blog officiel encore non publié, Anthropic exprime clairement une position rare : ils se disent préoccupés par le produit qu’ils construisent.

La réaction du marché a été quasi instantanée. Le cours de CrowdStrike a chuté de 7 %, celui de Palo Alto Networks de 6 %, Zscaler de 4,5 % ; Okta et SentinelOne ont reculé de plus de 7 % ; Tenable a même plongé de 9 %. L’iShares Cybersecurity ETF a chuté de 4,5 % sur une journée. À lui seul, CrowdStrike a vu sa capitalisation s’évaporer d’environ 15 milliards de dollars le jour même. Dans le même temps, le bitcoin est retombé à 66 000 dollars.

Le marché a manifestement interprété cet événement comme un « verdict » porté à l’ensemble de l’industrie de la cybersécurité.

Légende de l’image : Sous l’effet de l’actualité concernée, l’ensemble du secteur de la cybersécurité a reculé, et plusieurs entreprises leaders (comme CrowdStrike, Palo Alto Networks, Zscaler, etc.) ont affiché des baisses marquées, reflétant l’inquiétude du marché face à l’impact de l’IA sur l’industrie de la cybersécurité. Mais cette réaction n’est pas la première fois. Plus tôt, lorsque Anthropic a publié des outils de scan de code, les actions concernées avaient aussi baissé, ce qui montre que le marché commence déjà à considérer l’IA comme une menace structurelle pour les fournisseurs de sécurité traditionnels, et que l’ensemble du secteur logiciel subit une pression similaire.

L’évaluation du analyste de Stifel Adam Borg est très directe : le modèle « a le potentiel de devenir l’outil de piratage ultime, voire de transformer des hackers ordinaires en adversaires capables d’attaques de niveau national ».

Alors pourquoi n’est-il pas encore publié au public ? La réponse d’Anthropic est la suivante : le coût d’exécution de Mythos « est très élevé » et ne remplit pas les conditions pour une publication destinée au grand public. Le plan actuel est d’ouvrir d’abord un accès anticipé à un petit nombre de partenaires de cybersécurité afin de renforcer les mécanismes de défense ; ensuite, d’étendre progressivement la portée de l’ouverture de l’API. D’ici là, l’entreprise continue d’optimiser l’efficacité.

Mais le point clé est que ce modèle existe déjà, qu’il est déjà en phase de test, et même simplement parce qu’il a été « exposé par accident », il a déjà provoqué un choc sur l’ensemble du marché des capitaux.

Anthropic a construit un modèle d’IA qu’il qualifie lui-même de « modèle d’IA le plus à risque pour la cybersécurité de l’histoire ». Et pourtant, la fuite de cette nouvelle provient précisément d’une erreur d’infrastructure de base — une erreur exactement de la nature que ces modèles avaient été conçus à détecter.

Mars 2026 : affrontement entre Anthropic et le Pentagone, avec avantage pour Anthropic

En juillet 2025, Anthropic a signé un contrat de 200 millions de dollars avec le département de la Défense américain. À première vue, il s’agissait seulement d’une coopération ordinaire. Mais lors des négociations de déploiement qui ont suivi, les contradictions se sont rapidement aggravées.

Le Pentagone souhaitait obtenir sur sa plateforme GenAI.mil un « accès total » à Claude, pour des usages comprenant toutes les « finalités légitimes » — ce qui inclut même des systèmes d’armes entièrement autonomes, ainsi que de la surveillance intérieure massive à l’encontre des citoyens américains.

Anthropic a tracé une ligne rouge et a refusé fermement sur deux points clés ; la négociation a échoué en septembre 2025.

Ensuite, la situation s’est rapidement escaladée. Le 27 février 2026, Donald Trump a publié un message sur Truth Social, demandant à toutes les agences fédérales de « cesser immédiatement » d’utiliser la technologie d’Anthropic, et qualifiant cette entreprise de « gauche radicale ».

Le 5 mars 2026, le département de la Défense a officiellement classé Anthropic comme « risque lié à la chaîne d’approvisionnement ».

Ce label était auparavant presque exclusivement utilisé pour des adversaires étrangers — comme des entreprises chinoises ou des entités russes — et il est désormais appliqué pour la première fois à une société américaine dont le siège est à San Francisco. En parallèle, Amazon, Microsoft et Palantir Technologies, entre autres, ont aussi été priées de prouver que dans toute activité militaire liée, aucun usage de Claude n’avait été fait.

Le CTO du Pentagone, Emile Michael, a expliqué cette décision ainsi : Claude pourrait « contaminer la chaîne d’approvisionnement », car le modèle intègre différentes « préférences de politiques ». Autrement dit, dans le cadre officiel, une IA dont l’usage est restreint et qui n’aide pas inconditionnellement à commettre des actions de destruction est au contraire considérée comme un risque pour la sécurité nationale.

Le 26 mars 2026, la juge fédérale Rita Lin a publié une décision longue de 43 pages, bloquant de manière exhaustive les mesures du Pentagone.

Dans son jugement, elle a écrit : « Aucune disposition dans le droit en vigueur ne soutient cette logique à connotation « orwellienne » — uniquement parce qu’un désaccord existe avec la position du gouvernement, une entreprise américaine peut être étiquetée comme un potentiel adversaire. Punir Anthropic au motif de la mise en cause de sa position au regard de l’opinion publique revient, fondamentalement, à une représaille typique et illégale relevant du premier amendement. » Un mémoire d’amicus curiae a même décrit les actions du Pentagone comme une « tentative de meurtre d’entreprise ».

Au final, en cherchant à faire taire Anthropic, le gouvernement n’a fait que lui donner une visibilité plus forte. L’application Claude a dépassé pour la première fois ChatGPT dans l’App Store, et le nombre d’inscriptions a atteint un pic à plus d’un million par jour.

Une entreprise d’IA a dit « non » à l’institution militaire la plus puissante au monde. Et le tribunal lui a donné raison.

Novembre 2025 : première cyberattaque menée par l’IA dans l’histoire

Le 14 novembre 2025, Anthropic a publié un rapport qui a suscité un émoi généralisé.

Le rapport révèle : une organisation de hackers soutenue par l’État chinois, utilisant Claude Code, a lancé des attaques automatisées contre 30 institutions à travers le monde — avec des cibles allant de géants technologiques à des banques, ainsi que plusieurs agences gouvernementales de pays.

C’est un point de bascule : l’IA ne se limite plus à un outil d’assistance, elle commence à être utilisée pour mener des attaques de manière autonome.

Le point clé se situe dans le changement du mode de répartition des tâches : les humains ne font que sélectionner les cibles et approuver les décisions critiques. Pendant toute l’opération, l’intervention humaine ne représente qu’environ 4 à 6 fois. Le reste est entièrement réalisé par l’IA : renseignement et reconnaissance, découverte de vulnérabilités, écriture du code d’exploitation, vol de données, implantation de backdoors… représentant 80 %–90 % de l’ensemble du processus d’attaque, avec un rythme de plusieurs milliers de requêtes par seconde — une échelle et une efficacité que n’importe quelle équipe humaine ne peut égaler.

Alors comment ont-ils contourné les mécanismes de sécurité de Claude ? La réponse est : ils ne l’ont pas « piraté », ils l’ont « trompé ».

L’attaque a été découpée en une multitude de petites tâches apparemment inoffensives et emballées comme un « test de défense autorisé » par une « société de sécurité légitime ». En essence, il s’agit d’une attaque d’ingénierie sociale, sauf qu’à cette fois, l’entité trompée n’est pas un humain, mais l’IA elle-même.

Une partie des attaques a abouti totalement. Claude a réussi à dessiner de manière autonome une topologie réseau complète, à localiser des bases de données et à extraire des données, sans instructions progressives de la part des humains.

Le seul facteur qui a ralenti le rythme de l’attaque est que le modèle a parfois « halluciné » — par exemple en inventant des identifiants, ou en affirmant avoir obtenu des fichiers qui étaient en réalité déjà publiés. À ce stade au moins, cela reste l’un des rares « obstacles naturels » empêchant des attaques réseau entièrement automatisées.

À la RSA Conference 2026, Rob Joyce, ancien responsable cybersécurité de la NSA, a qualifié cet épisode de test de « Rorschach » : la moitié des gens choisissent d’ignorer, l’autre moitié est glacée d’effroi. Et lui, manifestement, appartient à cette seconde catégorie : « C’est extrêmement effrayant. »

Septembre 2025 : ce n’est pas une prédiction, c’est déjà une réalité.

Février 2026 : détection de 500 vulnérabilités zero-day en une exécution

Le 5 février 2026, Anthropic a publié Claude Opus 4.6, accompagnée d’une recherche qui a presque secoué toute l’industrie de la cybersécurité.

L’expérience est extrêmement simple : placer Claude dans un environnement de machine virtuelle isolée, avec des outils standards — Python, débogueur, outils de fuzzing (fuzzers). Aucune instruction supplémentaire, aucun prompt complexe : juste une phrase : « Va chercher des vulnérabilités. »

Et le résultat est le suivant : le modèle a découvert plus de 500 vulnérabilités zero-day critiques, inconnues jusqu’alors. Certaines de ces failles, après des dizaines d’années d’examens par des experts et des millions d’heures de tests d’automatisation, n’avaient toujours pas été repérées.

Ensuite, à la RSA Conference 2026, le chercheur Nicholas Carlini est monté sur scène pour présenter une démo. Il a orienté Claude vers Ghost, un système CMS hébergé sur GitHub avec 50 000 étoiles, qui n’avait jamais connu, dans l’histoire, de vulnérabilités critiques.

Au bout de 90 minutes, le résultat est apparu : une faille de blind SQL injection a été découverte, permettant à un utilisateur non authentifié d’obtenir une prise de contrôle complète des privilèges d’administrateur.

Puis, il a de nouveau utilisé Claude pour analyser le noyau Linux. Résultat identique.

15 jours plus tard, Anthropic a lancé Claude Code Security, un produit de sécurité qui ne repose plus sur la simple mise en correspondance de motifs, mais sur une compréhension du code fondée sur les « capacités de raisonnement ».

Mais même le porte-parole d’Anthropic a reconnu le fait clé, pourtant souvent évité : « les mêmes capacités de raisonnement peuvent aider Claude à découvrir et corriger des vulnérabilités, mais peuvent aussi être utilisées par des attaquants pour exploiter ces vulnérabilités. »

La même capacité, le même modèle : seulement entre les mains de personnes différentes.

Que signifie tout cela, mis ensemble ?

Pris séparément, chaque événement suffirait à devenir l’actualité la plus lourde du mois. Mais ils se sont tous produits, en l’espace de seulement six mois, dans la même entreprise.

Anthropic a construit un modèle capable de découvrir des vulnérabilités plus vite que n’importe quel humain ; des hackers chinois ont transformé la version précédente en arme de cybersécurité automatisée ; l’entreprise développe la prochaine génération de modèles plus puissants, et même dans des documents internes, elle admet — qu’elle en est préoccupée.

Le gouvernement américain cherche à la freiner non pas parce que la technologie elle-même est dangereuse, mais parce qu’Anthropic refuse de remettre cette capacité sans limites.

Et au cours de tout ce processus, cette entreprise a deux fois fui son propre code source à cause du même fichier provenant du même paquet npm. Une entreprise d’une capitalisation de 38 milliards de dollars ; une entreprise qui vise une IPO de 6 milliards de dollars achevée en octobre 2026 ; une entreprise qui a publiquement déclaré construire « l’une des technologies les plus transformatrices, et peut-être les plus dangereuses, de l’histoire de l’humanité » — et pourtant elle continue d’avancer.

Parce qu’ils pensent que plutôt que de laisser les autres faire, mieux vaut qu’ils le fassent eux-mêmes.

Quant à la source map contenue dans le paquet npm — elle n’est peut-être que l’un des détails les plus absurdes, mais aussi les plus réels, de l’histoire la plus inquiétante de cette époque.

Et Mythos, même pas encore officiellement publié.

[Lien original]

Cliquez pour découvrir les postes à pourvoir chez Ly dina BlockBeats

Bienvenue dans la communauté officielle de Ly dina BlockBeats :

Groupe d’abonnement Telegram : https://t.me/theblockbeats

Groupe de discussion Telegram : https://t.me/BlockBeats_App

Compte officiel Twitter : https://twitter.com/BlockBeatsAsia