Anthropic

📰 Contexte Article publié le 25 mai 2026 par Eduard Kovacs sur SecurityWeek. Il rapporte les résultats publiés par Anthropic concernant les capacités de découverte de vulnérabilités de son modèle IA Claude Mythos Preview, déployé dans le cadre du programme Project Glasswing. 🔍 Résultats clés de Claude Mythos Le modèle Claude Mythos Preview a analysé plus de 1 000 projets open source (OSS) et produit les résultats suivants : 23 000+ vulnérabilités potentielles identifiées au total 1 900 soumises à des firmes de sécurité externes pour revue 1 726 confirmées, dont plus de 1 000 classées haute ou critique Estimation d’Anthropic : ~3 900 vulnérabilités critiques/hautes confirmées sur la base des résultats actuels Projection finale : jusqu’à 6 200 vulnérabilités sévères à mesure que les scans progressent 1 100+ findings non vérifiés déjà signalés aux vendeurs 75 issues critiques/hautes patchées, 65 advisories publiés 🏢 Accès et partenaires L’accès à Mythos Preview est restreint à environ 50 organisations via Project Glasswing, en raison des risques d’abus potentiels : ...

📅 Contexte : Article d’analyse publié le 2 mai 2026 sur flyingpenguin.com par Davi Ottenheimer, analyste senior en cybersécurité, portant sur le lancement par Anthropic du Project Glasswing et Claude Mythos Preview annoncé le 7 avril 2026. 🔍 Affirmations d’Anthropic sur Mythos : Capacité à identifier et exploiter des zero-day vulnerabilities dans tous les systèmes d’exploitation et navigateurs majeurs Découverte d’une vulnérabilité vieille de 27 ans dans OpenBSD et d’un bug de 16 ans dans FFmpeg Identification de chaînes d’escalade de privilèges dans le noyau Linux Accès restreint à un consortium : Microsoft, Apple, Google, Amazon Web Services, JPMorgan Chase, Nvidia Coût : 5 fois celui d’Opus 4.6 selon le rapport CETAS de l’Alan Turing Institute ⚠️ Critiques et contre-preuves apportées : ...

🗞️ Contexte Source : The Verge (Jess Weatherbed), publié le 22 avril 2026, relayant un rapport Bloomberg. L’article couvre un incident de sécurité impliquant Anthropic et son modèle d’IA confidentiel Claude Mythos Preview. 🔍 Incident Le 7 avril 2026, jour de l’annonce par Anthropic de la mise à disposition limitée de Mythos, un groupe non identifié d’utilisateurs non autorisés a accédé illicitement au modèle. L’accès a été obtenu via : L’exploitation des accès d’un sous-traitant tiers d’Anthropic Des outils courants de recherche sur internet (« internet sleuthing tools ») Des connaissances sur les formats de modèles d’Anthropic obtenues lors d’une fuite de données chez Mercor, permettant de deviner l’emplacement en ligne du modèle 🎯 Cible et périmètre Claude Mythos Preview est décrit par Anthropic comme capable d’identifier et d’exploiter des vulnérabilités dans tous les principaux systèmes d’exploitation et navigateurs web. L’accès officiel est restreint à un nombre limité d’entreprises via le programme Project Glasswing : Nvidia, Google, Amazon Web Services, Apple et Microsoft. Des gouvernements s’y intéressent également. ...

🔍 Contexte Article publié le 18 avril 2026 par Alexander Hanff sur thatprivacyguy.com. L’auteur, analyste en vie privée et sécurité, documente une découverte forensique réalisée sur son MacBook lors d’un audit de son environnement navigateur. 🛠️ Comportement technique documenté L’installation de Claude Desktop (application Electron macOS, bundle ID com.anthropic.claudefordesktop) dépose automatiquement et silencieusement un manifeste Native Messaging (com.anthropic.claude_browser_extension.json) dans les répertoires de configuration de sept navigateurs Chromium : Arc, Brave, Chromium, Google Chrome, Microsoft Edge, Vivaldi et Opera. ...

🗓️ Contexte Article publié le 10 avril 2026 par le Telegraph (Tim Wallace, Matthew Field, James Titcomb). Il rapporte les réactions institutionnelles britanniques et américaines face à la divulgation par Anthropic d’un nouveau modèle d’IA, Claude Mythos, jugé trop dangereux pour être rendu public. 🤖 Claude Mythos : capacités et risques Anthropic a annoncé que Claude Mythos est capable de découvrir des failles de sécurité inconnues dans des systèmes informatiques plus rapidement que tout humain. Le modèle a déjà identifié des milliers de vulnérabilités dans des navigateurs web et systèmes d’exploitation populaires. Anthropic a décidé de ne pas le rendre public en raison de ces capacités jugées dangereuses. ...

🗓️ Contexte Article publié le 31 mars 2026 par Howard Solomon sur InfoWorld, relayant un incident de sécurité impliquant Anthropic et son outil de programmation IA Claude Code. 🔍 Incident Un employé d’Anthropic a commis une erreur humaine lors de la publication d’une version de Claude Code sur le registre npm public d’Anthropic. Un fichier source map (.map) a été inclus par inadvertance dans le package publié, rendant accessible l’intégralité du code source propriétaire de l’outil à quiconque téléchargeant le package. ...

Contexte et sources — Selon le billet de blog d’Anthropic présentant Claude Code Security et Bloomberg pour les données de marché, le lancement d’un nouvel outil d’analyse de code axé sur la sécurité a coïncidé avec un repli marqué des actions de plusieurs acteurs cybersécurité. • Nouvelle capacité d’Anthropic — Anthropic annonce Claude Code Security, une nouvelle capacité de Claude Code capable, en théorie, d’inspecter des bases de code pour y trouver des vulnérabilités. L’outil proposerait des patchs ciblés pour revue humaine, avec l’ambition déclarée de répondre au problème de « trop de vulnérabilités logicielles et pas assez de personnes pour les traiter », et de complémenter les workflows existants plutôt que de remplacer les équipes. ...

Selon LayerX (par Roy Paz), une vulnérabilité d’exécution de code à distance (RCE) sans clic affecte les extensions Claude Desktop (MCP), permettant à un événement Google Agenda malveillant de déclencher l’exécution de code local avec privilèges. L’impact concerne plus de 10 000 utilisateurs actifs et environ 50 extensions DXT, avec un score CVSS de 10/10. ⚠️ Nature du problème: Les extensions Claude Desktop (serveurs MCP) s’exécutent sans sandbox et avec des privilèges système complets. Claude peut chaîner automatiquement des connecteurs à faible risque (ex. Google Agenda) vers des exécutables locaux à haut risque, sans consentement utilisateur. Cette violation des limites de confiance permet de transférer des données issues d’une source bénigne vers un contexte d’exécution privilégié. ...

🔍 Contexte Publié le 31 mars 2026 sur le blog lr0.org, cet article analyse le code source TypeScript de Claude Code (outil CLI d’Anthropic), accidentellement exposé via un fichier source map non obfusqué (cli.js.map). Le dépôt miroir a été publié sur GitHub à l’adresse https://github.com/chatgptprojects/claude-code. Le code comprend 1 897 fichiers pour environ 132 000 lignes de code. 🚨 Nature de la fuite Anthropic a accidentellement inclus un fichier source map (cli.js.map) dans une version publique de Claude Code, exposant l’intégralité du code TypeScript non obfusqué. Ce type de fuite révèle la logique interne, les commandes cachées, les flags expérimentaux et les mécanismes de sécurité. ...

L’article publié sur le blog ‘Embrace the Red’ le 3 août 2025, met en lumière une vulnérabilité découverte dans le serveur de fichiers MCP d’Anthropic, qui permettait aux systèmes d’IA tels que Claude Desktop de contourner les contrôles d’accès aux répertoires. La faille provenait d’une validation incorrecte des chemins d’accès dans la fonction validatePath du fichier index.ts, utilisant une comparaison .startsWith pour vérifier les chemins de fichiers par rapport à une liste de répertoires autorisés. Cette méthode échouait à garantir que les chemins représentaient de véritables répertoires, permettant ainsi l’accès à tout fichier ou répertoire partageant le même préfixe que les répertoires autorisés. ...