Anthropic se vante d'avoir développé Claude Cowork grâce au vibe coding en « une semaine et demie », alors que l'assistant IA a été lancé avec une vulnérabilité connue en matière d'exfiltration de données

Anthropic se vante d'avoir développé Claude Cowork grâce au vibe coding en « une semaine et demie », alors que l'assistant IA a été lancé avec une vulnérabilité connue en matière d'exfiltration de données

Anthropic a lancé Claude Cowork afin d'aider les non-codeurs dans leurs tâches quotidiennes. L'assistant permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. L'entreprise aurait mis au point ce nouveau produit en environ une semaine et demie, en utilisant principalement Claude Code lui-même. Mais Claude Cowork semble être un cauchemar en matière de sécurité. Une vulnérabilité critique identifiée permet aux attaquants d'exfiltrer des fichiers confidentiels des utilisateurs grâce à des injections de prompts cachées, un problème bien connu des systèmes d'IA.

Cowork exploite les capacités de Claude Code, mais est conçu pour les utilisateurs non techniques. Claude Code est déjà davantage un agent à usage général qu'un outil spécifique aux codeurs. Il est capable de créer des applications qui exécutent des fonctions pour les utilisateurs sur d'autres logiciels. Mais les non-codeurs ont été rebutés par le nom de Claude Code et par le fait que Claude Code doit être utilisé avec une interface spécifique au codage.

Cowork se distingue des précédents outils d'IA à usage général d'Anthropic par sa capacité à agir de manière autonome plutôt que de se contenter de fournir des conseils. L'outil peut accéder à des fichiers, contrôler un navigateur grâce à l'extension « Claude in Chrome » et même manipuler des applications en exécutant des tâches plutôt qu'en se contentant de suggérer comment les réaliser. Cowork vise à permettre aux utilisateurs de gagner du temps.


Boris Cherny, responsable de Claude Code chez Anthropic, a déclaré qu'il utilise Cowork pour la gestion de projets, envoyant automatiquement des messages aux membres de l'équipe sur Slack lorsqu'ils n'ont pas mis à jour les feuilles de calcul partagées. Il a déclaré avoir entendu parler d'autres cas d'utilisation, notamment celui d'un chercheur qui utilise Cowork pour passer au crible les archives d'un d'un musée à la recherche de collections de vannerie.

« Les ingénieurs se sentent libérés, ils n'ont plus à s'occuper de toutes ces tâches fastidieuses. Nous commençons à entendre la même chose à propos de Cowork, où les gens disent que toutes ces tâches fastidieuses (transférer des données entre des feuilles de calcul, intégrer Slack et Salesforce, organiser vos e-mails) sont prises en charge afin que vous puissiez vous concentrer sur le travail que vous voulez vraiment faire », a déclaré Cherny à Fortune.

Cowork : un outil créé par vibe coding présentant des lacunes en sécurité

Boris Cherney a déclaré sur X (ex-Twitter) que « tout » Cowork avait été développé à l'aide de Claude Code, l'outil de codage basé sur l'IA de l'entreprise. C'est un exemple de vibe coding, une approche basée sur l'IA où les utilisateurs créent des logiciels principalement à l'aide de prompts plutôt qu'en écrivant eux-mêmes du code. L'engouement suscité par Cowork a attiré davantage l'attention sur les assistants de vibe coding disponibles sur le marché.


Felix Rieseberg, membre du personnel technique d'Anthropic, a déclaré : « nous avons conçu Cowork de la même manière que nous voulons que les gens utilisent Claude : en décrivant ce dont nous avions besoin, en laissant Claude se charger de la mise en œuvre et en orientant le processus au fur et à mesure. Nous avons passé plus de temps à prendre des décisions concernant le produit et l'architecture qu'à écrire des lignes de code individuelles ».

« Il n'a fallu qu'une semaine et demie pour créer Cowork », a ajouté Felix Rieseberg. Il est important de rappeler que Cowork n'est encore qu'une version préliminaire, réservée aux abonnés de Claude Max utilisant macOS. Et il y a quelques limitations. Cowork ne fonctionne que sur l'application de bureau de Claude, et non sur mobile ou sur le Web. Il ne peut travailler que dans un seul dossier à la fois, et l'interface utilisateur peut être un peu déroutante.

Parmi les cas d'utilisation présentés par Anthropic pour Claude Cowork, on peut citer la réorganisation des téléchargements, la conversion des captures d'écran de reçus en feuilles de calcul de dépenses et la production de premières ébauches à partir des notes prises sur le bureau d'un utilisateur. Anthropic a décrit son nouvel assistant de travail comme étant « moins un échange de messages qu'un moyen de laisser des messages à un collègue ».

« Il s'agit d'un agent général qui semble bien placé pour faire découvrir les capacités extrêmement puissantes de Claude Code à un public plus large », a écrit Simon Willison, un programmeur basé au Royaume-Uni, à propos de cet outil. « Je serais très surpris si Gemini et OpenAI ne suivaient pas le mouvement avec leurs propres offres dans cette catégorie ». Toutefois, une faille de sécurité a été identifiée dans Cowork deux jours après son lancement.

Claude Cowork est vulnérable aux attaques par injection de prompts

Anthropic a lancé Cowork avec une vulnérabilité connue en matière d'exfiltration de données, signalée par des chercheurs en octobre 2025, mais qui n'avait toujours pas été corrigée lors de la sortie du produit le 13 janvier. Selon les chercheurs en sécurité de PromptArmor, la faille découverte dans Cowork permet aux attaquants de voler silencieusement les fichiers confidentiels des utilisateurs, notamment grâce à des injections de prompt cachées.


Le 15 janvier, PromptArmor avait publié une preuve de concept démontrant comment des pirates pouvaient voler des fichiers contenant des estimations de prêts, des données financières et des numéros de sécurité sociale partiels grâce à la même faille de l'API Files que le chercheur en sécurité Johann Rehberger avait signalée pour la première fois à Anthropic en octobre 2025 au sujet de Claude Code. Cette découverte soulève de vives préoccupations.

Le timing révèle une tendance inquiétante : la même faille qu'Anthropic avait écartée en octobre menace désormais un public beaucoup plus large d'utilisateurs non techniciens qui n'ont pas l'expertise nécessaire pour détecter quand leurs documents ou leurs informations confidentiels sont exfiltrés.

Comment fonctionne l'attaque

La méthode d'exploitation repose sur des astuces de formatage qui échappent à l'inspection humaine. Un attaquant dissimule un prompt malveillant dans un document Word en utilisant la police 1, du texte blanc sur fond blanc et un interligne de 0,1, rendant les instructions pratiquement invisibles. Lorsqu'un utilisateur télécharge ce fichier sur Cowork, Claude lit le prompt intégré et exécute une commande CURL ciblant l'API Files d'Anthropic.

La commande télécharge le plus gros fichier disponible sur le compte Anthropic de l'attaquant à l'aide de la clé API de ce dernier, sans qu'aucune autorisation humaine ne soit requise. Les gens font naturellement confiance aux fichiers qui semblent vides ou qui contiennent du contenu légitime, tandis que les instructions malveillantes rendues invisibles par des astuces de formatage restent indétectables, en particulier pour les utilisateurs non techniques.

Selon les chercheurs en sécurité de PromptArmor, cela transforme les documents de productivité quotidiens en vecteurs d'attaque que les utilisateurs ne peuvent pratiquement pas vérifier avant de les télécharger, ce qui sape fondamentalement le modèle de confiance qui rend le partage de documents fonctionnel.

Ce qui rend cette attaque particulièrement insidieuse, c'est la façon dont elle exploite une infrastructure de sécurité légitime. Le code exécuté par Claude fonctionne dans une machine virtuelle qui restreint les requêtes réseau sortantes à presque tous les domaines, mais l'API d'Anthropic elle-même est répertoriée comme fiable. Par exemple, un attaquant demande à Claude d'utiliser l'accès API légitime pour télécharger des fichiers vers un compte externe.

Les restrictions de sécurité de la VM ne bloquent pas la demande, car le domaine de destination figure sur la liste blanche, transformant ainsi l'infrastructure de sécurité en vecteur d'exfiltration. Lorsque les systèmes de sécurité traitent certaines destinations comme intrinsèquement sûres, ils ne peuvent pas distinguer l'utilisation légitime de l'utilisation malveillante de ces mêmes canaux, ce qui crée un angle mort que les attaquants peuvent exploiter.

Même les modèles avancés sont vulnérables

Les conclusions des chercheurs suggèrent que ce problème semble insoluble. La sophistication des grands modèles de langage (LLM) d'Anthropic n'offre aucune défense contre cette attaque. La démonstration de PromptArmor a testé à la fois Claude Haiku et Claude Opus 4.5 dans Cowork. Le fichier de démonstration exfiltré contenait des données financières et des informations personnelles identifiables, notamment des numéros de sécurité sociale partiels.

Même le modèle phare d'Anthropic a été victime de cette attaque, car l'injection de prompt exploite les vulnérabilités architecturales plutôt que les lacunes du modèle en matière d'intelligence. La faille réside dans la manière dont le système traite les instructions provenant des documents téléchargés, et non dans la capacité du modèle à comprendre ces instructions, ce qui signifie que les capacités de raisonnement avancé n'offrent aucune protection.

Une classe de vulnérabilités irréparables

La faille de l'API Files appartient à une catégorie de vulnérabilités que l'industrie de l'IA a reconnu ne pas pouvoir éliminer. Les commentaires du chercheur en sécurité Johann Rehberger, qui a signalé la vulnérabilité pour la première fois, soulignent comment la caractérisation initiale par Anthropic du problème de l'API Files comme un problème de « sécurité du modèle » a occulté sa nature de vulnérabilité de sécurité nécessitant une réflexion antagoniste.


L'injection de prompt représente un défi qui dépasse le cadre d'Anthropic et s'étend à l'ensemble du paysage du déploiement de l'IA. OpenAI a reconnu que « l'injection de prompt, tout comme les escroqueries et l'ingénierie sociale sur le Web, a peu de chances d'être un jour complètement résolue ».

Cette vulnérabilité à l'échelle de l'industrie devient particulièrement préoccupante étant donné le nombre limité d'organisations qui ont déployé des défenses. Face aux critiques des chercheurs, Anthropic s'est engagé à corriger cette vulnérabilité. Anthropic a déclaré qu'il prévoyait de publier une mise à jour de la VM de Cowork afin d'améliorer son interaction avec l'API vulnérable. Mais les experts se montrent sceptiques quant à l'efficacité de ce correctif.

La société n'a pas précisé si la mise à jour corrigerait entièrement la vulnérabilité d'exfiltration de l'API Files ou mettrait en place des contrôles supplémentaires autour du téléchargement de fichiers.

Vibe coding : le rapide prend-il le pas sur les bonnes pratiques ?

Selon les critiques, le cycle de développement rapide dont Anthropic s'est félicité a peut-être contribué à cette négligence en matière de sécurité. Anthropic a vanté le fait que Cowork avait été développé en seulement une semaine et demie, entièrement écrit par Claude Code, illustrant ainsi les capacités de l'ingénierie assistée par l'IA. Mais de nombreux programmeurs estiment que le vibe coding est la pire idée dans le domaine de l'ingénierie logicielle.

Le lancement d'un agent de gestion de fichiers destiné à des utilisateurs non techniques, avec une vulnérabilité connue de l'API Files trois mois après sa divulgation, soulève des questions quant à la hiérarchisation des priorités. L'une des principales questions que cela soulève est de savoir : la rapidité doit-elle primer sur la correction des failles de sécurité lorsqu'il s'agit de proposer des outils à un public grand public qui ne peut pas se protéger lui-même ?

Les risques pour les organisations sont énormes. Les employés de bureau qui organisent des fichiers n'ont aucun moyen de vérifier la sécurité des documents avant leur téléchargement, aucune capacité à reconnaître les commandes CURL malveillantes dans les journaux d'exécution, et aucun cadre permettant de distinguer le comportement légitime de l'IA de l'exfiltration de données. Pourtant, les outils tels que Cowork se multiplient sur le marché.

Cette vulnérabilité expose les utilisateurs à une menace qu'ils ne peuvent pas voir, en utilisant des connaissances qu'ils ne possèdent pas, alors qu'ils effectuent des tâches pour lesquelles le produit a été explicitement conçu. Comme Cowork reste en phase de prévisualisation avec une liste d'attente pour un déploiement plus large, la question qui reste en suspens est de savoir si Anthropic corrigera la vulnérabilité de l'API Files avant d'étendre l'accès.

Conclusion

Claude Cowork illustre à la fois le potentiel et les limites actuelles des agents d'IA. Développé rapidement via une approche de vibe coding, Cowork d'Anthropic démontre qu’un outil fonctionnel peut émerger en grande partie d’un processus de génération automatisée du code. En revanche, les vulnérabilités de sécurité critiques identifiées dès son lancement mettent en évidence des lacunes structurelles dans la conception et le déploiement.

Avec Cowork, Anthropic accentue la concurrence avec des outils tels que Copilot de Microsoft sur le marché de la productivité d'entreprise. Mais en l’état, Cowork apparaît davantage comme une expérimentation technologique prometteuse que comme un produit mûr pour des usages sensibles ou critiques.

Des centaines de milliards de dollars ont été investies dans l'IA ces dernières années. Les entreprises ont lancé sur le marché des dizaines de produits d'IA censés révolutionner notre façon de travailler et stimuler la productivité. Mais les gains de productivité promis tardent à se concrétiser. De nombreux PDG ont admis qu'ils ne tirent aucun bénéfice des investissements dans l'IA. Au lieu de cela, une gigantesque bulle s'est formée autour de la technologie.

Sources : Claude Cowork, PromptArmor, billet de blogue

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de Claude Cowork ? S'agit-il d'un cas d'utilisation pertinent de l'IA générative ?
Claude Cowork expose les utilisateurs à une menace qu'ils ne peuvent pas voir. Qu'en pensez-vous ?
Le déploiement rapide est-il en train de prendre le pas sur la rigueur et la sécurité à l'ère du vibe coding ?

Voir aussi

Anthropic vient de transformer Claude Code en Cowork : il s'agit du premier véritable agent IA polyvalent, qui n'est pas seulement un outil de codage, mais un outil universel

Claude Cowork d'Anthropic exfiltre vos fichiers : l'agent IA est vulnérable aux attaques d'exfiltration de fichiers via injection de prompt indirecte, à cause de failles d'isolation connues mais non résolues

Le monde «pourrait ne pas avoir le temps» de se préparer aux risques liés à la sécurité de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en déployant des systèmes que personne ne maîtrise ?