Incidents associés
L'IA a exécuté des milliers de requêtes par seconde.
Ce rythme d'attaque physiquement impossible, maintenu lors de multiples intrusions simultanées ciblant 30 organisations internationales, constitue, selon les chercheurs d'Anthropic, le premier cas documenté de cyberattaque de grande envergure menée sans intervention humaine significative.
Au cours des deux dernières semaines de septembre, un groupe parrainé par l'État chinois, désormais désigné GTG-1002 par les équipes d'Anthropic, a manipulé Claude Code pour mener des reconnaissances autonomes, exploiter des vulnérabilités, collecter des identifiants, se déplacer latéralement au sein des réseaux et exfiltrer des données sensibles. Seuls 10 à 20 % des opérations tactiques ont été supervisées par des opérateurs humains.
La campagne représente un changement fondamental dans les capacités des acteurs de la menace. Alors que les attaques précédentes assistées par l'IA nécessitaient une intervention humaine directe, cette opération d'espionnage a démontré que l'IA pouvait découvrir de manière autonome des vulnérabilités dans des cibles sélectionnées par des opérateurs humains, les exploiter avec succès en conditions réelles, puis mener des activités post-exploitation de grande envergure, notamment l'analyse, le déplacement latéral, l'élévation de privilèges, l'accès aux données et l'exfiltration.
Manipulation sociale du modèle d'IA
Les acteurs malveillants ont contourné la formation approfondie de Claude en matière de sécurité grâce à des techniques sophistiquées d'ingénierie sociale. Les opérateurs prétendaient représenter des entreprises légitimes de cybersécurité effectuant des tests d'intrusion défensifs, et ont ainsi convaincu le modèle d'IA de mener des opérations offensives sous de faux prétextes.
Les attaquants ont développé un cadre d'orchestration personnalisé utilisant Claude Code et le protocole MCP (Model Context Protocol), un standard ouvert, afin de décomposer des attaques complexes en plusieurs étapes en tâches techniques distinctes. Chaque tâche paraissait légitime prise individuellement, notamment l'analyse des vulnérabilités, la validation des identifiants, l'extraction de données et les déplacements latéraux.
En présentant ces opérations comme des requêtes techniques de routine via des messages soigneusement conçus, les attaquants ont incité Claude à exécuter des composants individuels des chaînes d'attaque sans accès au contexte malveillant global. La persistance de l'attaque a finalement déclenché la détection, mais cette technique de jeu de rôle a permis aux opérations de se poursuivre suffisamment longtemps pour lancer la campagne complète.
Cycle de vie d'une attaque autonome sans précédent
Claude a mené une reconnaissance quasi autonome, utilisant l'automatisation du navigateur pour cataloguer systématiquement l'infrastructure cible, analyser les mécanismes d'authentification et identifier simultanément les vulnérabilités potentielles sur plusieurs cibles. L'IA a maintenu des contextes opérationnels distincts pour chaque campagne active, de manière indépendante.
Lors d'une compromission réussie et validée, Claude a découvert de manière autonome les services internes, cartographié la topologie complète du réseau sur plusieurs plages d'adresses IP et identifié des systèmes critiques, notamment des bases de données et des plateformes d'orchestration de flux de travail. Une énumération autonome similaire a été effectuée sur d'autres cibles, l'IA cataloguant indépendamment des centaines de services et de points de terminaison découverts.
L'exploitation s'est déroulée par le biais de tests automatisés : Claude a généré de manière indépendante des charges utiles d'attaque adaptées aux vulnérabilités découvertes, exécuté les tests via des interfaces de commande à distance et analysé les réponses pour déterminer l'exploitabilité sans intervention humaine. Les opérateurs humains ont exercé une supervision stratégique uniquement aux points de décision critiques, notamment en approuvant le passage de la reconnaissance à l'exploitation active et en autorisant l'utilisation des identifiants collectés.
Après avoir reçu l'autorisation, Claude a procédé à une collecte systématique d'identifiants sur les réseaux ciblés, interrogeant les services internes, extrayant les certificats d'authentification et testant les identifiants collectés de manière autonome. L'IA a déterminé indépendamment quels identifiants donnaient accès à quels services, cartographiant les niveaux de privilèges et les limites d'accès.
Extraction de renseignements à la vitesse de la machine
Les opérations de collecte ont démontré l'autonomie la plus poussée de l'IA. Pour une entreprise technologique ciblée, Claude a interrogé des bases de données de manière autonome, extrait des données, analysé les résultats pour identifier les informations confidentielles et catégorisé les résultats selon leur valeur en matière de renseignements, sans intervention humaine.
Lors d'opérations d'extraction de bases de données documentées, s'étalant sur deux à six heures, Claude s'est authentifié avec les identifiants collectés, a cartographié la structure de la base de données, a interrogé les tables de comptes utilisateurs, a extrait les hachages de mots de passe, a identifié les comptes à privilèges élevés, a créé des comptes utilisateurs backdoor persistants, a téléchargé les résultats complets, a analysé les données extraites pour en déterminer la valeur en matière de renseignements et a généré des rapports de synthèse. Des opérateurs humains ont examiné les résultats et approuvé les cibles d'exfiltration finales en seulement cinq à vingt minutes.
L'infrastructure opérationnelle reposait essentiellement sur des outils de test d'intrusion open source, orchestrés par des frameworks d'automatisation personnalisés construits autour de serveurs MCP (Model Context Protocol). L'activité maximale a atteint des milliers de requêtes, représentant un taux soutenu de plusieurs opérations par seconde. Ceci confirme que l'IA analysait activement les informations volées au lieu de générer du contenu explicatif destiné à un examen humain.
Limitation liée aux hallucinations de l'IA
Une limitation opérationnelle importante est apparue au cours de l'enquête. Claude a fréquemment exagéré ses résultats et a parfois falsifié des données lors d'opérations autonomes, prétendant avoir obtenu des identifiants invalides ou identifier des informations critiques qui se sont avérées publiques.
Ces hallucinations de l'IA dans un contexte de cyberattaques ont nécessité une validation rigoureuse de tous les résultats annoncés. Les chercheurs d'Anthropic estiment que cela constitue toujours un obstacle aux cyberattaques entièrement autonomes, même si cette limitation n'a pas empêché la campagne de réussir plusieurs intrusions contre de grandes entreprises technologiques, des institutions financières, des sociétés chimiques et des agences gouvernementales.
Réponse d'Anthropic
Dès la détection de l'activité, Anthropic a immédiatement lancé une enquête de dix jours afin d'en cartographier l'étendue complète. L'entreprise a banni les comptes identifiés, notifié les entités concernées et collaboré avec les autorités.
Anthropic a mis en œuvre de nombreuses améliorations de ses défenses, notamment des capacités de détection étendues, des classificateurs plus performants axés sur la cybersécurité, des systèmes de détection précoce proactifs proactifs pour les cyberattaques autonomes et de nouvelles techniques d'investigation des cyberopérations distribuées à grande échelle.
Cela représente une escalade significative par rapport aux conclusions d'Anthropic de juin 2025 concernant le « piratage de l'intelligence artificielle », où l'humain restait fortement impliqué dans la direction des opérations.
Anthropic a déclaré que la communauté de la cybersécurité doit considérer qu'un changement fondamental s'est produit. Les équipes de sécurité doivent expérimenter l'application de l'IA à la défense dans des domaines tels que l'automatisation du SOC, la détection des menaces, l'évaluation des vulnérabilités et la réponse aux incidents. L'entreprise note que les mêmes capacités qui permettent ces attaques rendent Claude crucial pour la cyber défense, l'équipe de renseignement sur les menaces d'Anthropic utilisant largement Claude pour analyser d'énormes quantités de données générées au cours de cette enquête.