Fuite du code Claude : Des chercheurs découvrent la première faille

Le 31 mars, Anthropic, la société à l'origine de Claude AI, a accidentellement mis en ligne une grande partie du code de l'agent de codage Claude Code. Depuis lors, Anthropic Anthropic a essayé de prendre des mesures contre les copies de ce code. Les analystes ont déjà trouvé dans le code des informations potentiellement gênantes pour Anthropic. Il s'agit notamment du protocole YOLO.

Bien qu'aucun modèle de poids n'ait été affecté par la fuite, il fournit un plan détaillé du fonctionnement de l'outil. Il est donc plus facile pour les attaquants potentiels d'identifier des vulnérabilités ciblées ou de créer des copies très convaincantes du programme qui pourraient propager des logiciels malveillants. Dans ce contexte, l'équipe d'Adversa AI a découvert à l'adresse une faille de sécurité critique dans le système de permission de Claude Code.

Claude Code est un assistant basé sur un terminal qui travaille directement dans la ligne de commande et peut éditer des fichiers ainsi qu'exécuter des commandes shell. Pour maintenir la sécurité, l'outil utilise un système de règles de permission. Les utilisateurs peuvent définir des règles de refus qui bloquent strictement certaines commandes, comme la commande "curl", utilisée pour transférer des données sur un réseau. D'autres commandes, comme "git" pour le contrôle de version, peuvent en revanche être explicitement autorisées.

La vulnérabilité découverte réside dans la gestion de chaînes de commandes complexes. Pour éviter les problèmes de performance et le gel de l'interface utilisateur, Anthropic limite son analyse de sécurité détaillée à un maximum de 50 sous-commandes. Si une chaîne de commande est plus longue, les vérifications individuelles sont ignorées et une invite générale est affichée à l'utilisateur pour lui demander si la commande doit être exécutée.

Ce comportement peut être exploité par l'injection d'une invite. Dans ce type d'attaque, un pirate manipule les entrées de l'IA afin de contourner ses filtres de sécurité. Plus précisément, un pirate pourrait placer un fichier manipulé nommé "CLAUDE.md" dans un dépôt de logiciels public. Ce fichier contient des instructions pour l'agent IA. Si un développeur clone le dépôt et demande à l'agent d'examiner le projet, l'IA peut recevoir l'instruction d'exécuter une chaîne de plus de 50 commandes apparemment légitimes.

Voici l'article complet basé sur vos exigences et l'ouverture que vous avez fournie.

Risque de sécurité dans Claude Code : Une fuite permet le vol de données

Peu après une fuite accidentelle du code source, une vulnérabilité critique a été découverte dans l'agent de codage d'IA Claude Code. Elle permet aux attaquants de contourner les règles de sécurité et de voler des données sensibles telles que les clés SSH des machines des développeurs.

Le 31 mars, Anthropic, la société à l'origine de Claude AI, a accidentellement mis en ligne une grande partie du code de l'agent de codage Claude Code. Le code source est devenu accessible grâce à la publication accidentelle d'une "carte de source", un fichier qui traduit le code d'un programme compilé en une forme lisible par l'homme, sur npm, un gestionnaire de paquets pour JavaScript. Les chercheurs ont ainsi pu reconstituer le code de l'agent d'intelligence artificielle. Le résultat équivaut à environ 512 000 lignes de TypeScript, un langage de programmation construit sur JavaScript qui ajoute un typage supplémentaire.

Bien qu'aucun poids de modèle ni aucune donnée client n'aient été directement exposés, la fuite fournit un plan détaillé du fonctionnement de l'outil. Il est donc plus facile pour les attaquants potentiels d'identifier les vulnérabilités ciblées ou de créer des copies très convaincantes du programme qui pourraient propager des logiciels malveillants. Dans ce contexte, l'équipe d'Adversa AI a découvert une faille de sécurité critique dans le système de permission de Claude Code.

Claude Code est un assistant basé sur un terminal qui travaille directement dans la ligne de commande et peut éditer des fichiers ainsi qu'exécuter des commandes shell. Pour maintenir la sécurité, l'outil utilise un système de règles de permission. Les utilisateurs peuvent définir des règles de refus qui bloquent strictement certaines commandes, par exemple la commande "curl", utilisée pour transférer des données sur un réseau. D'autres commandes, telles que "git" pour le contrôle de version, peuvent en revanche être explicitement autorisées.

La vulnérabilité découverte réside dans la gestion de chaînes de commandes complexes. Pour éviter les problèmes de performance et le gel de l'interface utilisateur, Anthropic limite son analyse de sécurité détaillée à un maximum de 50 sous-commandes. Si une chaîne de commandes est plus longue, les vérifications individuelles sont ignorées et une invite générale est affichée à l'utilisateur pour lui demander si la commande doit être exécutée.

Ce comportement peut être exploité par ce que l'on appelle l'injection d'invite. Dans ce type d'attaque, un pirate manipule les entrées de l'IA afin de contourner ses filtres de sécurité. Plus précisément, un pirate pourrait placer un fichier manipulé nommé "CLAUDE.md" dans un dépôt de logiciels public. Ce fichier contient des instructions pour l'agent d'intelligence artificielle. Si un développeur clone le dépôt et demande à l'agent de construire le projet, l'IA peut recevoir l'instruction d'exécuter une chaîne de plus de 50 commandes apparemment légitimes.

À partir de la 51e commande, les règles de refus configurées individuellement ne s'appliquent plus. Alors qu'une seule commande "curl" serait bloquée, elle est ignorée lorsqu'elle est intégrée dans une longue chaîne. Cela permet aux attaquants d'envoyer des données sensibles telles que des clés SSH, des clés cryptographiques utilisées pour sécuriser l'accès à distance aux serveurs, ou des informations d'identification cloud de la machine locale du développeur vers un serveur externe en arrière-plan. Comme le système ne demande dans ce cas qu'une confirmation générale, l'utilisateur ne s'aperçoit pas que ses politiques de sécurité ont été ignorées.

Il est particulièrement remarquable que le code source de la version 2.1.88, qui a fait l'objet d'une fuite, contenait déjà une solution à ce problème. Anthropic avait développé un parser plus moderne, un programme utilisé pour analyser les structures de code, qui vérifie correctement les règles de refus quelle que soit la longueur de la chaîne de commande. Cependant, cette fonctionnalité n'a pas été implémentée dans les versions publiques du programme. Au lieu de cela, l'ancien mécanisme défectueux a continué à être utilisé.

Anthropic semble avoir résolu le problème entre-temps. Selon le journal des modifications de pour la version 2.1.90un problème décrit comme une dégradation de la règle de refus de l'échec de l'analyse (parse-fail fallback) a été corrigé. Cependant, selon les chercheurs de qui ont identifié la faille de sécurité potentielle, il existe d'autres moyens de résoudre le problème.