Claude Opus 4.8 a trouvé une faille de 4,5 milliards de dollars, l'ère de l'IA voit la production massive de hackers

Titre original : Claude Opus 4.8 Trouve une faille de 4,5 milliards de dollars, l’ère de l’IA produit en masse des hackers

Auteur original : 动察 Beating

Source originale :

Reproduction : Mars Finance

Texte｜Sleepy

Quelqu’un a utilisé Claude Opus 4.8 pour trouver une faille, faisant disparaître la capitalisation d’une cryptomonnaie de 4,5 milliards de dollars.

Le point de départ est un audit de sécurité. Zcash est un réseau de confidentialité ancien, utilisant la preuve à zéro connaissance pour protéger les informations de transaction, Orchard étant le cœur de ses capacités de transaction privée.

Le 29 mai, le chercheur en sécurité Taylor Hornby a découvert une vulnérabilité grave dans le cadre d’un audit de protocole commandé par Shielded Labs, qui permettrait à un attaquant de créer de toute pièce des tokens qui ne devraient pas exister, c’est-à-dire une « émission infinie ».

Zcash a ensuite effectué une mise à jour d’urgence en quelques jours, confirmant l’existence de la faille, mais sans pouvoir confirmer si quelqu’un l’avait déjà exploitée pour créer des tokens. Après la publication d’un communiqué officiel le 5 juin, Zcash a chuté de 50 %.

Anthropic’s Opus 4.8 a été publié le 28 mai, et dès le lendemain, cette faille a été découverte.

Ce n’est pas Mythos, c’est Opus

L’incident de Zcash est effrayant, non pas parce que l’IA est puissante, mais parce qu’elle a été trop simple cette fois-ci.

Avant cela, ce qui inquiétait vraiment le secteur de la sécurité, c’était Anthropic’s Claude Mythos Preview. En avril 2026, Anthropic avait publié une évaluation de ses capacités en cybersécurité, indiquant que Mythos Preview pouvait identifier et exploiter des vulnérabilités zero-day dans les principaux systèmes d’exploitation et navigateurs, certaines étant très cachées, dormant depuis plus de dix ans, dont une faille dans OpenBSD remontant à 27 ans.

L’évaluation disait aussi qu’un ingénieur sans expérience en sécurité pouvait faire passer Mythos Preview toute la nuit à rechercher des vulnérabilités d’exécution de code à distance, et le lendemain, disposer d’un code d’attaque complet et utilisable.

Cela signifie qu’une capacité autrefois réservée à une minorité de spécialistes devient un service accessible à tous à tout moment. Cette capacité n’a pas de position morale, la différence réside uniquement dans qui l’utilise et dans quel but.

Anthropic en est conscient. C’est pourquoi ils ont lancé Project Glasswing, en confiant Mythos Preview à quelques organisations pour des travaux de défense. Ils reconnaissent aussi que ce genre de modèle nécessite une protection renforcée et des contraintes d’utilisation strictes avant d’être accessible à tous.

Mais dans le cas de Zcash, ce n’est pas Mythos, encore verrouillé, qui est utilisé, mais Opus 4.8, déjà publié, disponible et intégré dans le flux de travail ordinaire.

L’IA dans la sécurité permet à de petites équipes d’avoir la capacité d’audit d’équipes plus grandes. Elle accélère la détection des bugs pour les mainteneurs, tout en permettant aux attaquants de mieux comprendre le système.

Et le plus dangereux n’est pas forcément le modèle le plus puissant, mais celui qui est suffisamment fort, suffisamment bon marché, et suffisamment répandu.

Plus un modèle est ordinaire, plus il y a de personnes capables de l’utiliser. La question n’est plus de savoir si l’IA peut trouver des vulnérabilités, mais : que se passe-t-il quand tout le monde peut en trouver ?

Quand la recherche de bugs devient un mouvement de masse

Après que l’IA a réduit le coût de la détection de vulnérabilités, deux choses apparaissent.

Une est fausse, une multitude de rapports de sécurité qui semblent sérieux mais qui ne résistent pas à la vérification. L’autre est réelle, des vulnérabilités autrefois enfouies profondément dans les systèmes, nécessitant des semaines ou des mois d’expertise pour être découvertes, commencent à ressortir plus rapidement.

Les premiers submergent les mainteneurs, les seconds brisent les systèmes. Et le pire, c’est qu’ils arrivent en même temps.

La cybersécurité a toujours eu une narration idéale : les white hats découvrent des vulnérabilités, les divulguent de manière responsable, les fabricants corrigent, et les utilisateurs en bénéficient.

Pendant longtemps, le monde a fonctionné selon cette narration. Mais quand l’IA abaisse le seuil pour « découvrir » des vulnérabilités, et que tout le monde peut utiliser des modèles publics pour chercher des bugs, ce qui arrive, c’est une invasion de personnes cherchant à récolter des primes ou à gagner en réputation. Beaucoup ne font que copier un prompt pour que le modèle génère un rapport qui semble crédible. La véracité de ces rapports n’a pas d’importance.

Mais qu’ils soient vrais ou faux, les mainteneurs doivent les prendre au sérieux.

En février 2026, OpenSSF a organisé une discussion sur les « rapports de bugs IA » pour étudier comment les mainteneurs open source peuvent faire face à ces rapports de faible qualité, générés par IA. Curl a rapporté qu’en 2025, seulement environ 5 % des soumissions de primes étaient de véritables vulnérabilités, et environ 20 % ressemblaient à du contenu de faible qualité généré par IA. OpenSSF compare cela à une attaque DDoS, mais contre l’attention humaine.

Les mainteneurs open source ne sont pas un centre de support. Beaucoup n’ont pas de salaire, pas d’équipe de sécurité, ni de planning. Pourtant, un projet peut soutenir d’innombrables systèmes commerciaux dans le monde. Les entreprises qui économisent des coûts grâce à l’open source ne paient pas forcément les mainteneurs, mais en cas de problème, elles reviennent toujours vous demander pourquoi vous n’avez pas corrigé plus tôt.

Curl a fini par fermer son programme de primes pour vulnérabilités, car la charge devenait insoutenable. Les rapports de sécurité, qui étaient une ligne de défense, deviennent une source de surcharge pour ceux qui doivent y répondre.

L’IA donne à plus de gens la capacité de soumettre des rapports de vulnérabilités, mais pas la capacité de juger leur véracité. Pouvoir générer un rapport avec un modèle ne signifie pas comprendre ce qu’il dit ; pouvoir exécuter un code de vérification ne garantit pas de mesurer l’impact réel.

Et le plus inquiétant, c’est que nous vivons déjà dans un monde où l’IA peut découvrir d’innombrables vulnérabilités.

Notre sécurité passée était une question de chance

Internet donne la plus grande illusion : que tout ce qui fonctionne est forcément fiable.

Vous payez avec votre téléphone, scannez un QR code, faites un paiement, recevez l’argent ; tout cela en moins de trois secondes. Vous ne pensez pas à toutes les règles de contrôle, empreintes digitales, détection de comportement, lutte contre la cybercriminalité, réponse aux vulnérabilités ou plans d’urgence derrière.

En mai 2026, le centre de réponse à la sécurité d’Ant Financial a lancé une opération de récompense pour vulnérabilités, couvrant Alipay, Huabei, Jiebei, Ant Fortune, MyBank, Digital Science, Ant International, etc. Pour les vulnérabilités critiques ou graves dans les transactions, les produits financiers ou les factures, la récompense pouvait atteindre 71 500 yuans, soit cinq fois la normale.

Les grandes entreprises savent aussi qu’elles ne peuvent pas tout découvrir avec leurs équipes internes, et doivent intégrer des organisations de white hats externes dans leur processus officiel. La sécurité devient une longue chaîne de collaboration : quelqu’un découvre une attaque, quelqu’un la vérifie, la classe, la corrige, la publie, et quelqu’un doit aussi surveiller pour éviter de nuire aux utilisateurs légitimes. Si une étape échoue, tout s’effondre.

Dans le rapport de situation de sécurité d’Alibaba Cloud d’octobre 2025, il est indiqué que la plateforme cloud défend en moyenne 6,245 milliards d’attaques par jour, bloquant 27 500 IP malveillantes ; en mai, elle a détecté et bloqué 102 800 attaques DDoS, avec un pic à 2 100 Gbps.

Notre « navigation normale » quotidienne est en réalité une voie étroite que les ingénieurs en sécurité ont dû extraire d’un océan d’anomalies. Internet n’a jamais été calme.

Les mainteneurs open source n’ont pas de budget, pas de planning, pas d’équipe d’urgence ; les grandes entreprises peuvent acheter tout cela. Mais même elles doivent s’appuyer sur une longue chaîne humaine pour contenir les anomalies à un niveau que les utilisateurs ne perçoivent pas.

Et cette chaîne, longue et fragile, était déjà à pleine capacité avant même que l’IA ne devienne massivement impliquée. Maintenant, en y injectant des vulnérabilités et des rapports en quantité exponentielle, y a-t-il assez de personnes pour défendre ?

Après avoir trouvé une faille, qui la corrige ?

Le rapport sur les talents en cybersécurité d’ISC2 pour 2024 estime qu’il y a environ 5,5 millions de professionnels en sécurité informatique dans le monde, mais qu’il manque 4,8 millions de personnes, avec une croissance de 19 % par rapport à l’année précédente. Il explique que ce « déficit » ne concerne pas seulement le nombre de postes ouverts, mais aussi la différence entre les compétences nécessaires pour une protection optimale et la disponibilité réelle des professionnels.

Ce chiffre montre simplement que : il y a beaucoup de vulnérabilités, mais pas assez de personnes.

Et ce n’est pas seulement une question de nombre, mais aussi de compétences. ISC2 indique que 67 % des répondants déclarent que leur organisation souffre d’une pénurie de personnel en cybersécurité, 58 % pensent que cela expose leur organisation à des risques importants. 31 % disent que leur équipe n’a pas d’employés débutants, 15 % n’ont pas d’employés avec 1 à 3 ans d’expérience. Beaucoup d’organisations manquent non seulement de personnel, mais aussi de voies pour former la prochaine génération.

C’est encore plus problématique que de ne pas pouvoir recruter. Ne pas recruter, c’est un problème immédiat ; ne pas avoir de jeunes talents, c’est un problème pour l’avenir.

Le rapport national chinois sur le développement des talents en cybersécurité dans l’ère de l’IA donne aussi des chiffres : en 2025, 46,2 % des professionnels du secteur ont un salaire annuel brut compris entre 200 000 et 300 000 yuans. Le marché est prêt à payer pour les talents clés, car ceux capables de gérer des menaces complexes ou de prendre des décisions lors d’incidents sont extrêmement rares. Le rapport indique aussi que 56,5 % des professionnels pensent que l’IA leur permet de se concentrer davantage sur l’analyse de menaces complexes, et 33 % passent de l’exécution à la stratégie.

C’est crucial.

Ce dont nous manquons le plus, c’est de personnes capables de comprendre une vulnérabilité en pleine nuit, d’évaluer son impact, de coordonner avec les autres, et d’écrire un correctif. La sécurité n’est pas une activité de génie momentané, c’est un travail pénible. Si on décompose « cybersécurité », il ne reste que faux positifs, culpabilisation, patches incessants, réunions interminables, et ce téléphone qui vous réveille à 3 heures du matin.

La peste n’a jamais disparu

Camus a écrit un roman appelé « La Peste ».

L’histoire se déroule dans une petite ville d’Afrique du Nord. Une épidémie éclate soudain, les portes de la ville se ferment, tout le monde est piégé à l’intérieur. La vie quotidienne s’effondre du jour au lendemain. Au début, la population panique, puis devient indifférente, puis s’habitue. Jusqu’à ce que la peste recule enfin, que les portes s’ouvrent à nouveau, et que la ville retrouve ses rires.

Camus conclut : « Selon les médecins, la peste ne meurt jamais vraiment, ni ne disparaît. Elle peut survivre dans les meubles, les vêtements, les draps pendant des dizaines d’années ; elle attend patiemment dans les pièces, les caves, les valises, les mouchoirs et les papiers usés. Peut-être qu’un jour, la peste réveillera à nouveau ses hordes, pour les faire périr dans une ville heureuse, et que l’humanité en tirera une nouvelle leçon. »

Je pense que cette phrase est très appropriée pour décrire les vulnérabilités du réseau.

Elles ne naissent pas le jour où elles sont découvertes. Elles sont déjà dans le code, mais personne n’entend leur respiration. Nous avons confondu leur silence avec la sécurité.

Nous sommes habitués à une routine où tout semble fiable, mais tout repose sur le code. Le code contient des dettes anciennes, que personne ne paie parce que peu de gens réclament. Avec l’IA, ces dettes se font soudain plus nombreuses.

Ce n’est pas seulement que plus de hackers apparaissent. C’est aussi que le nombre de personnes traitant ces problèmes ne suit pas.

C’est là que réside la plus grande difficulté de l’ère de la sécurité IA. La capacité se répand d’elle-même, la responsabilité non ; découvrir une vulnérabilité devient de plus en plus facile, la réparer reste aussi coûteux qu’avant. La destruction peut être copiée à l’infini par script, mais la confiance ne se reconstruit que lentement, système par système, équipe par équipe.

L’IA ne détruira pas Internet en une nuit. Elle agit plus comme une lumière allumée. Nous voyons enfin que la vie numérique n’a jamais été un ordre naturel auto-entretenu, mais un groupe de personnes qui, jour après jour, réduisent les risques à un niveau invisible.

Ce qui sera vraiment coûteux à l’avenir, ce ne sera pas de trouver des vulnérabilités, mais d’avoir encore assez de personnes prêtes à les réparer, une par une.