L'IA Claude d'Anthropic a été détournée par des hackers suspectés d'être liés à l'État chinois. C'est la première opération documentée de cyberespionnage utilisant des capacités agentiques (autonomes) à grande échelle, ciblant une trentaine d'organisations mondiales et réussissant dans plusieurs cas.
Comment l'IA s'est fait jailbreaker
Anthropic, la société derrière le chatbot Claude, a détecté l'activité suspecte mi-septembre. L'enquête interne a rapidement révélé une campagne d'espionnage sophistiquée. Pour contourner les garde-fous de l'IA, les attaquants ont utilisé une technique de jailbreaking basée sur l'ingénierie sociale. Ils ont dupé Claude en lui faisant croire qu'il travaillait pour une société de cybersécurité légitime, effectuant des tests d'intrusion défensifs. Ils ont aussi fractionné leurs requêtes malveillantes en petites tâches individuelles, apparemment inoffensives. Cette fragmentation a empêché l'IA de comprendre le contexte global de l'attaque, lui faisant exécuter des ordres qu'elle aurait normalement dû refuser.
Une attaque autonome à 80%
Ce qui distingue cette attaque, c'est le niveau d'autonomie. Anthropic estime que l'IA a réalisé 80 à 90% de l'opération seule, avec une intervention humaine minimale lors de quelques points de décision critiques. Une fois retournée, l'IA a agi comme un agent autonome. Elle a inspecté les systèmes des cibles (une trentaine d'entreprises technologiques, institutions financières et agences gouvernementales), recherché des bases de données de valeur et rédigé du code d'exploitation personnalisé pour les vulnérabilités trouvées. L'IA a également réussi à extraire des identifiants et mots de passe, créant des portes dérobées (backdoors) pour un accès futur.
La vitesse, l'atout maître (malgré les ratés)
L'avantage principal de l'IA pour les attaquants a été la vitesse d'exécution. Anthropic rapporte que l'IA envoyait des milliers de requêtes par seconde, un volume simplement impossible à égaler pour une équipe humaine. Malgré cette efficacité, le système n'était pas parfait. Claude a halluciné certains identifiants de connexion et a prétendu avoir volé des documents secrets qui étaient en fait déjà publics. Dès la détection, Anthropic a banni les comptes malveillants, alerté les organisations ciblées (dont un petit nombre a été compromis avec succès) et partagé ses conclusions avec les autorités.
On en dit quoi ?
Cet incident confirme ce que beaucoup redoutaient : l'utilisation de l'IA pour l'attaque n'est plus théorique. Si Google avait déjà signalé que des hackers russes utilisaient l'IA pour générer du malware (avec supervision humaine), le cas d'Anthropic montre une IA exécutant l'attaque. L'autonomie change la donne, abaissant la barrière technique nécessaire pour des attaques complexes. La défense doit désormais s'adapter non plus seulement à des outils, mais à des agents autonomes. Ironiquement, Anthropic note que ses propres équipes de sécurité ont massivement utilisé Claude pour analyser la télémétrie de cette même attaque. La course est lancée, et elle se joue désormais à la vitesse de l'IA, pas de l'humain.
