La Chine met en garde contre une faille de sécurité dans l'outil de programmation d'IA d'Anthropic
Une autorité chinoise de régulation a mis en garde mercredi les utilisateurs contre une "porte dérobée de sécurité" intégrée dans certaines versions de l'outil de codage "Claude code", développé par la société américaine d'intelligence artificielle Anthropic.
La faille pourrait permettre au logiciel de "transmettre des informations sensibles", notamment la localisation des utilisateurs et des identifiants liés à leur identité, vers les serveurs d'Anthropic sans leur consentement, estime la Base de données nationale chinoise sur les vulnérabilités (NVDB), une plateforme de cybersécurité rattachée au ministère de l'Industrie et des Technologies de l'information.
Claude Code est un agent IA capable de générer du code informatique, de déboguer des logiciels et d'analyser du code en fonction des instructions de l'utilisateur.
Anthropic, startup basée à San Francisco, interdit les utilisateurs et les entreprises situés en Chine et dans d'autres pays qu'elle considère comme hostiles, mais il est toujours possible d'utiliser la plateforme via un VPN ou des services de proxy tiers.
La NVDB a affirmé sur son site web avoir récemment "détecté que l'outil de codage basé sur l'IA Claude Code comportait des risques liés à des failles de sécurité, constituant une menace grave".
Elle a conseillé aux institutions et aux utilisateurs concernés "de procéder immédiatement à une vérification approfondie" et "de désinstaller sans tarder le logiciel ou de le mettre à jour vers la dernière version sécurisée, dans laquelle le code de porte dérobée en question a été supprimé".
Anthropic n'a pas répondu aux sollicitations de l'AFP concernant ces allégations, qui ont été révélées pour la première fois la semaine dernière dans la presse spécialisée.
Le géant chinois de la technologie Alibaba a annoncé la semaine dernière à ses employés que l'utilisation de Claude Code serait interdite à compter du 10 juillet pour des raisons de sécurité, ont affirmé des sources proches du dossier.
Anthropic a par le passé accusé Alibaba de procéder à une imitation de ses modèles d'IA afin de copier leurs capacités, un processus appelé "distillation".
Thariq Shihipar, ingénieur chez Claude Code, a répondu la semaine dernière dans un message publié sur X aux informations selon lesquelles l'outil suivrait certaines données des utilisateurs chinois.
"Il s'agit d'une expérience que nous avons lancée en mars dans le but d'empêcher les abus de comptes par des revendeurs non autorisés et de nous protéger contre la distillation", a écrit M. Shihipar.
"L'équipe a mis en place des mesures de protection plus strictes depuis lors et nous avions en fait l'intention de supprimer cette fonctionnalité depuis un certain temps (...) Elle devrait être entièrement supprimée dans la mise à jour de demain".
V.Bennett--TNT