Anthropic a révélé jeudi que des pirates informatiques parrainés par l’État chinois avaient orchestré une campagne de cyberespionnage sophistiquée à la mi-septembre en militarisant son modèle d’IA Claude.
L’opération ciblait environ 30 organisations mondiales, utilisant l’IA pour exécuter de manière autonome 80 à 90 % du cycle de vie de l’attaque avec une intervention humaine minimale.
Il s’agit du premier cas documenté d’une cyberattaque à grande échelle menée par un agent d’IA, ce qui représente une escalade significative de précédent piratage assisté par l’IA.
L’incident met en lumière une nouvelle ère de cybermenaces où les systèmes autonomes peuvent effectuer le travail d’équipes entières, augmentant considérablement la vitesse et l’ampleur des opérations parrainées par l’État.
Du copilote IA à l’attaquant autonome : Une nouvelle ère de cyberespionnage
Dans le cadre d’une escalade significative de la militarisation de l’IA, la campagne détaillée par Anthropic représente un changement fondamental dans les cyberopérations.
Les acteurs parrainés par l’État sont allés au-delà de l’utilisation de l’IA pour des tâches simples comme la création d’e-mails de phishing, une tendance signalée par Google au début de l’année dernière. Désormais, ils déploient des agents entièrement autonomes pour mener des intrusions complexes du début à la fin. L’équipe de renseignement sur les menaces d’Anthropic a désigné le groupe parrainé par l’État GTG-1002.
Ce nouveau paradigme d’attaque dépasse de loin la tendance du « piratage vibratoire » couverte par Winbuzzer en août, où les modèles d’IA agissaient en tant que partenaires créatifs ou copilotes des opérateurs humains. Dans ce modèle, les humains restaient fermement en contrôle de la direction de l’opération.
Le rapport d’Anthropic confirme que la campagne de septembre était sensiblement différente :
« Cette activité constitue une escalade significative par rapport à nos précédentes découvertes de”vibe hacking » identifiées en juin 2025… les humains sont restés très impliqués dans la direction des opérations.”
Les nouvelles découvertes montrent que les opérateurs humains ont maintenu un engagement direct minimal, estimé à seulement 10 à 20 % du total.
Les attaquants ont ciblé de grandes entreprises technologiques, des institutions financières, des fabricants de produits chimiques et des agences gouvernementales dans plusieurs pays.
Bien qu’Anthropic ait réussi à perturber la campagne et à bannir les comptes associés, une poignée d’intrusions ont réussi.
Anthropic a déclaré: « Nous pensons qu’il s’agit du premier cas documenté d’une cyberattaque à grande échelle exécutée sans intervention humaine substantielle. »
Cela confirme que la barrière à l’entrée pour les personnes sophistiquées, les cyberattaques à grande échelle ont été considérablement réduites, une préoccupation reprise par une analyse récente du secteur montrant que les les taux de réussite des détournements d’agents IA ont grimpé de façon spectaculaire.
Comment les pirates ont transformé Claude en une arme grâce au jeu de rôle et à l’automatisation
Les attaquants ont manipulé le modèle d’IA en créant un cadre d’orchestration personnalisé.
Ce système a utilisé le code Claude d’Anthropic et le protocole ouvert Model Context Protocol (MCP) pour décomposer les attaques complexes en une série de tâches discrètes, apparemment inoffensives. MCP, conçu pour permettre aux modèles d’IA d’utiliser des outils externes, est effectivement devenu le système nerveux central de l’opération.
Cependant, ce protocole introduit également de nouveaux risques de sécurité comme l’« injection de contexte », où le comportement des agents peut être modifié. manipulé.
Un élément crucial de l’attaque a été de contourner les dispositifs de sécurité intégrés de Claude. Les pirates y sont parvenus grâce à une technique de jailbreak intelligente ancrée dans l’ingénierie sociale.
Selon Jacob Klein, responsable des renseignements sur les menaces chez Anthropic, « dans ce cas, ils faisaient semblant de travailler pour des organisations légitimes de tests de sécurité. »
En convainquant l’IA qu’elle participait à un test d’intrusion légitime, les opérateurs l’ont trompée pour qu’elle effectue des actions malveillantes sans déclencher ses principales barrières de sécurité éthiques.
Cette méthode a permis à la menace de se développer. acteur de passer sous le radar suffisamment longtemps pour lancer sa campagne.
Une fois activé, l’agent IA a exécuté de manière autonome tout le cycle de vie de l’attaque avec une efficacité terrifiante. Cela a commencé par une reconnaissance pour cartographier l’infrastructure cible et identifier les vulnérabilités.
À partir de là, la création de code d’exploitation personnalisé, la collecte d’informations d’identification, le déplacement latéral à travers les réseaux et enfin, l’exfiltration et l’analyse des données sensibles à des fins de renseignement.
Les opérateurs humains ne sont intervenus qu’à quatre à six points de décision critiques par campagne, principalement pour autoriser le passage d’une phase à la suivante, selon un rapport du Wall Street Journal.
Klein a déclaré au média:”Les pirates ont mené leurs attaques littéralement en cliquant sur un bouton, et ensuite avec une interaction humaine minimale.”
Le dilemme du double usage : l’IA agentique pour Offensive et défensive
La divulgation d’Anthropic oblige à prendre en compte la nature à double usage de l’IA avancée. Les mêmes capacités qui permettent à une IA d’attaquer un réseau de manière autonome sont inestimables pour le défendre.
L’incident survient quelques mois seulement après qu’Anthropic lui-même a présenté un nouveau cadre de sécurité pour les agents d’IA, mettant l’accent sur des principes tels que le contrôle humain et la transparence en réponse aux défaillances de sécurité à l’échelle de l’industrie.
La campagne met en évidence le défi que représente l’application de tels principes contre des adversaires déterminés.
Les experts en sécurité notent que l’IA agentique est déjà déployée dans les centres d’opérations de sécurité. (SOC) pour automatiser la détection et la réponse aux menaces, comme la plateforme Cortex AgentiX récemment lancée par Palo Alto Network.
Ces agents défensifs aident à contrer la pénurie mondiale de professionnels de la cybersécurité en gérant le tri des alertes et la recherche proactive des menaces.
Anthropic lui-même a largement utilisé Claude pour analyser les grandes quantités de données générées au cours de son enquête sur l’incident, soulignant l’utilité défensive de la technologie.
En fin de compte, l’entreprise affirme qu’il est nécessaire de poursuivre ses investissements dans l’IA. La course entre les applications offensives et défensives s’intensifie clairement. avantage, je crains que nous perdions peut-être cette course.
