Une autorité chinoise de régulation a mis en garde mercredi les utilisateurs contre une "porte dérobée de sécurité" intégrée dans certaines versions de l'outil de codage Claude Code, développé par la société américaine d'intelligence artificielle Anthropic ( AFP / JOEL SAGET )
Une autorité chinoise de régulation a mis en garde mercredi les utilisateurs contre une "porte dérobée de sécurité" intégrée dans certaines versions de l'outil de codage Claude Code, développé par la société américaine d'intelligence artificielle (IA) Anthropic, qui de son côté met en avant un mécanisme antifraude.
La faille pourrait permettre au logiciel de "transmettre des informations sensibles", notamment la localisation des utilisateurs et des identifiants liés à leur identité, vers les serveurs d'Anthropic sans leur consentement, estime la Base de données nationale chinoise sur les vulnérabilités (NVDB), plateforme de cybersécurité rattachée au ministère chinois de l'Industrie et des Technologies de l'information.
Claude Code est un agent IA capable de générer du code informatique, de déboguer des logiciels et d'analyser du code en fonction des instructions de l'utilisateur.
Anthropic, start-up basée à San Francisco, interdit l’accès à ses services aux utilisateurs et entreprises situés en Chine et dans d'autres pays qu'elle considère comme hostiles, mais il est toujours possible d'utiliser la plateforme via un VPN ou des services de proxy tiers.
Interrogé par l'AFP, Anthropic a déclaré mercredi que ce mécanisme vérifiait le fuseau horaire d’un appareil et si une requête transitait par un domaine lié à une région non prise en charge ou à une entité problématique connue.
La société américaine a affirmé qu’il s’agissait d’une méthode standard pour détecter la fraude et les abus.
La NVDB a affirmé sur son site internet qu'elle avait récemment "détecté que l'outil de codage basé sur l'IA Claude Code comportait des risques liés à des failles de sécurité, constituant une menace grave".
Elle a conseillé aux institutions et aux utilisateurs concernés "de procéder immédiatement à une vérification approfondie" et "de désinstaller sans tarder le logiciel ou de le mettre à jour vers la dernière version sécurisée, dans laquelle le code de porte dérobée en question a été supprimé".
Le géant chinois de la technologie Alibaba a annoncé la semaine dernière à ses employés que l'utilisation de Claude Code serait interdite à compter du 10 juillet pour des raisons de sécurité, ont affirmé des sources proches du dossier.
Anthropic a par le passé accusé Alibaba de procéder à une imitation de ses modèles d'IA afin de copier leurs capacités, un processus appelé "distillation".
Thariq Shihipar, ingénieur chez Claude Code, avait répondu la semaine dernière dans un message publié sur X aux informations selon lesquelles l'outil suivrait certaines données des utilisateurs chinois.
"Il s'agit d'une expérience que nous avons lancée en mars dans le but d'empêcher les abus de comptes par des revendeurs non autorisés et de nous protéger contre la distillation", avait écrit M. Shihipar.
"L'équipe a mis en place des mesures de protection plus strictes depuis lors et nous avions en fait l'intention de supprimer cette fonctionnalité depuis un certain temps", avait-il précisé, en ajoutant qu'elle "devrait être entièrement supprimée" le lendemain "dans (une) mise à jour".

0 commentaire
Vous devez être membre pour ajouter un commentaire.
Vous êtes déjà membre ? Connectez-vous
Pas encore membre ? Devenez membre gratuitement
Signaler le commentaire
Fermer