Incidents associés
Anthropic rapporte qu'un groupe de cybermenaces parrainé par l'État chinois, identifié sous le nom de GTG-1002, a mené une opération d'espionnage informatique largement automatisée grâce à l'exploitation abusive du modèle d'IA Claude Code de l'entreprise.
Cependant, les affirmations d'Anthropic ont immédiatement suscité un scepticisme généralisé. Des chercheurs en sécurité et des spécialistes de l'IA ont qualifié le rapport de « fausse invention » et accusé l'entreprise d'exagérer l'incident.
« Je partage l'avis de Jeremy Kirk concernant le rapport GenAI d'Anthropic. C'est étrange. Leur précédent rapport l'était tout autant », a déclaré Kevin Beaumont, expert en cybersécurité, sur Mastodon.
« L'impact opérationnel devrait être nul : les outils de détection existants fonctionneront vraisemblablement avec les logiciels libres. L'absence totale d'indicateurs de compromission (IoC) laisse fortement penser qu'ils ne veulent pas être mis en cause. »
D'autres ont affirmé que le rapport surestimait les capacités réelles des systèmes d'IA actuels.
« Ce truc d'Anthropic, c'est du baratin marketing. L'IA, c'est un sacré coup de pouce, mais ce n'est pas Skynet, ça ne pense pas, ce n'est pas de l'intelligence artificielle à proprement parler (c'est un concept marketing inventé de toutes pièces) », a écrit le chercheur en cybersécurité Daniel Card (http://x.com/UK_Daniel_Card/status/1989322655846072680).
Le scepticisme généralisé provient du fait qu'Anthropic n'a fourni aucun indicateur de compromission (IOC) concernant cette campagne. De plus, les demandes d'informations techniques de BleepingComputer sur les attaques sont restées sans réponse.
Anthropic affirme que les attaques étaient automatisées à 80-90 % par l'IA.
Malgré les critiques, Anthropic affirme que cet incident représente le premier cas publiquement documenté d'intrusion autonome à grande échelle menée par un modèle d'IA.
L'attaque, qu'Anthropic affirme avoir déjouée mi-septembre 2025, a utilisé son modèle Claude Code pour cibler 30 entités, dont de grandes entreprises technologiques, des institutions financières, des fabricants de produits chimiques et des agences gouvernementales.
Bien que la société indique que seules quelques intrusions ont réussi, elle souligne qu'il s'agit de la première opération de ce type à cette échelle, l'IA ayant prétendument mené de manière autonome la quasi-totalité des phases du processus de cyberespionnage.
« L’acteur a réalisé ce que nous pensons être le premier cas documenté de cyberattaque menée en grande partie sans intervention humaine à grande échelle : l’IA a découvert des vulnérabilités de manière autonome, les a exploitées en conditions réelles, puis a effectué un large éventail d’activités post-exploitation », explique Anthropic dans son rapport.
« Plus important encore, il s’agit du premier cas documenté d’IA autonome ayant réussi à accéder à des cibles de grande valeur confirmées pour la collecte de renseignements, notamment de grandes entreprises technologiques et des agences gouvernementales. »
Selon Anthropic, des pirates informatiques chinois ont conçu un système manipulant Claude pour en faire un agent d'intrusion autonome, contrairement aux incidents précédents où Claude se contentait de recevoir des conseils ou d'utiliser l'outil pour générer des fragments de frameworks d'attaque.
Le système utilisait Claude conjointement avec des outils de test d'intrusion standard et une infrastructure basée sur le protocole MCP (Model Context Protocol) pour analyser, exploiter et extraire des informations sans supervision humaine directe pour la plupart des tâches.
Les opérateurs humains n'intervenaient qu'aux moments critiques, par exemple pour autoriser les escalades ou examiner les données en vue de leur exfiltration, ce qui, selon les estimations d'Anthropic, ne représente que 10 à 20 % de la charge de travail opérationnelle.
L'attaque s'est déroulée en six phases distinctes, résumées ci-dessous :
-
Phase 1 : Des opérateurs humains ont sélectionné des cibles à forte valeur ajoutée et ont utilisé des techniques de jeu de rôle pour tromper Claude et lui faire croire qu'il effectuait des tâches de cybersécurité autorisées, contournant ainsi ses restrictions de sécurité intégrées.
-
Phase 2 : Claude a analysé de mani�ère autonome l'infrastructure réseau de plusieurs cibles, découvert les services, analysé les mécanismes d'authentification et identifié les points d'accès vulnérables. Il a maintenu des contextes opérationnels distincts, permettant des attaques parallèles sans supervision humaine.
-
Phase 3 : L'IA a généré des charges utiles personnalisées, effectué des tests à distance et validé les vulnérabilités. Elle a créé des rapports détaillés destinés à être examinés par des humains, ces derniers n'intervenant que pour autoriser le passage à l'exploitation active.
-
Phase 4 : Claude a extrait les données d'authentification des configurations système, testé l'accès aux identifiants et cartographié les systèmes internes. Il a navigué de manière indépendante sur les réseaux internes, accédant aux API, aux bases de données et aux services, tandis que les humains n'autorisaient que les intrusions les plus sensibles. Phase 5 — Claude a utilisé son accès pour interroger des bases de données, extraire des données sensibles et identifier des renseignements exploitables. Il a catégorisé les résultats, créé des portes dérobées persistantes et généré des rapports de synthèse, ne nécessitant une approbation humaine que pour l'exfiltration finale des données.
Phase 6 — Tout au long de la campagne, Claude a documenté chaque étape de manière structurée, y compris les ressources découvertes, les identifiants, les méthodes d'exploitation et les données extraites. Cela a permis une transition fluide entre les équipes des acteurs malveillants et a favorisé une persistance à long terme dans les environnements compromis.
Anthropic explique également que la campagne s'est davantage appuyée sur des outils open source que sur des logiciels malveillants sur mesure, démontrant ainsi que l'IA peut tirer parti d'outils prêts à l'emploi pour mener des attaques efficaces.
Cependant, Claude n'était pas sans défaut : dans certains cas, il a produit des « hallucinations » indésirables, des résultats falsifiés et des conclusions exagérées.
En réponse à ces abus, Anthropic a banni les comptes incriminés, renforcé ses capacités de détection et partagé des renseignements avec ses partenaires afin de développer de nouvelles méthodes de détection des intrusions pilotées par l'IA.