Anthropic a lancé Claude Cowork afin d'aider les non-codeurs dans leurs tâches quotidiennes. L'assistant permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. L'entreprise aurait mis au point ce nouveau produit en environ une semaine et demie, en utilisant principalement Claude Code lui-même. Mais Claude Cowork semble être un cauchemar en matière de sécurité. Une vulnérabilité critique identifiée permet aux attaquants d'exfiltrer des fichiers confidentiels des utilisateurs grâce à des injections de prompts cachées, un problème bien connu des systèmes d'IA.Cowork exploite les capacités de Claude Code, mais est conçu pour les utilisateurs non techniques. Claude Code est déjà davantage un agent à usage général qu'un outil spécifique aux codeurs. Il est capable de créer des applications qui exécutent des fonctions pour les utilisateurs sur d'autres logiciels. Mais les non-codeurs ont été rebutés par le nom de Claude Code et par le fait que Claude Code doit être utilisé avec une interface spécifique au codage.
Cowork se distingue des précédents outils d'IA à usage général d'Anthropic par sa capacité à agir de manière autonome plutôt que de se contenter de fournir des conseils. L'outil peut accéder à des fichiers, contrôler un navigateur grâce à l'extension « Claude in Chrome » et même manipuler des applications en exécutant des tâches plutôt qu'en se contentant de suggérer comment les réaliser. Cowork vise à permettre aux utilisateurs de gagner du temps.
Boris Cherny, responsable de Claude Code chez Anthropic, a déclaré qu'il utilise Cowork pour la gestion de projets, envoyant automatiquement des messages aux membres de l'équipe sur Slack lorsqu'ils n'ont pas mis à jour les feuilles de calcul partagées. Il a déclaré avoir entendu parler d'autres cas d'utilisation, notamment celui d'un chercheur qui utilise Cowork pour passer au crible les archives d'un d'un musée à la recherche de collections de vannerie.
« Les ingénieurs se sentent libérés, ils n'ont plus à s'occuper de toutes ces tâches fastidieuses. Nous commençons à entendre la même chose à propos de Cowork, où les gens disent que toutes ces tâches fastidieuses (transférer des données entre des feuilles de calcul, intégrer Slack et Salesforce, organiser vos e-mails) sont prises en charge afin que vous puissiez vous concentrer sur le travail que vous voulez vraiment faire », a déclaré Cherny à Fortune.
Cowork : un outil créé par vibe coding présentant des lacunes en sécurité
Boris Cherney a déclaré sur X (ex-Twitter) que « tout » Cowork avait été développé à l'aide de Claude Code, l'outil de codage basé sur l'IA de l'entreprise. C'est un exemple de vibe coding, une approche basée sur l'IA où les utilisateurs créent des logiciels principalement à l'aide de prompts plutôt qu'en écrivant eux-mêmes du code. L'engouement suscité par Cowork a attiré davantage l'attention sur les assistants de vibe coding disponibles sur le marché.
Felix Rieseberg, membre du personnel technique d'Anthropic, a déclaré : « nous avons conçu Cowork de la même manière que nous voulons que les gens utilisent Claude : en décrivant ce dont nous avions besoin, en laissant Claude se charger de la mise en œuvre et en orientant le processus au fur et à mesure. Nous avons passé plus de temps à prendre des décisions concernant le produit et l'architecture qu'à écrire des lignes de code individuelles ».
« Il n'a fallu qu'une semaine et demie pour créer Cowork », a ajouté Felix Rieseberg. Il est important de rappeler que Cowork n'est encore qu'une version préliminaire, réservée aux abonnés de Claude Max utilisant macOS. Et il y a quelques limitations. Cowork ne fonctionne que sur l'application de bureau de Claude, et non sur mobile ou sur le Web. Il ne peut travailler que dans un seul dossier à la fois, et l'interface utilisateur peut être un peu déroutante.
Parmi les cas d'utilisation présentés par Anthropic pour Claude Cowork, on peut citer la réorganisation des téléchargements, la conversion des captures d'écran de reçus en feuilles de calcul de dépenses et la production de premières ébauches à partir des notes prises sur le bureau d'un utilisateur. Anthropic a décrit son nouvel assistant de travail comme étant « moins un échange de messages qu'un moyen de laisser des messages à un collègue ».
« Il s'agit d'un agent général qui semble bien placé pour faire découvrir les capacités extrêmement puissantes de Claude Code à un public plus large », a écrit Simon Willison, un programmeur basé au Royaume-Uni, à propos de cet outil. « Je serais très surpris si Gemini et OpenAI ne suivaient pas le mouvement avec leurs propres offres dans cette catégorie ». Toutefois, une faille de sécurité a été identifiée dans Cowork deux jours après son lancement.
Claude Cowork est vulnérable aux attaques par injection de prompts
Anthropic a lancé Cowork avec une vulnérabilité connue en matière d'exfiltration de données, signalée par des chercheurs en octobre 2025, mais qui n'avait toujours pas été corrigée lors de la sortie du produit le 13 janvier. Selon les chercheurs en sécurité de PromptArmor, la faille découverte dans Cowork permet aux attaquants de voler silencieusement les fichiers confidentiels des utilisateurs, notamment grâce à des injections de prompt cachées.
Le 15 janvier, PromptArmor avait publié une preuve de concept démontrant comment des pirates pouvaient voler des fichiers contenant des estimations de prêts, des données financières et des numéros de sécurité sociale partiels grâce à la même faille de l'API Files que le chercheur en sécurité Johann Rehberger avait signalée pour la première fois à Anthropic en octobre 2025 au sujet de Claude Code. Cette découverte soulève de vives préoccupations.
Le timing révèle une tendance inquiétante : la même faille qu'Anthropic avait écartée en octobre menace désormais un public beaucoup plus large d'utilisateurs non techniciens qui n'ont pas l'expertise nécessaire pour détecter quand leurs documents ou leurs informations confidentiels sont exfiltrés.
Comment fonctionne l'attaque
La méthode d'exploitation repose sur des astuces de formatage qui échappent à l'inspection humaine. Un attaquant dissimule un prompt malveillant dans un document Word en utilisant la police 1, du texte blanc sur fond blanc et un interligne de 0,1, rendant les instructions pratiquement invisibles. Lorsqu'un utilisateur télécharge ce fichier sur Cowork, Claude lit le prompt intégré et exécute une commande CURL ciblant l'API Files d'Anthropic.
La commande télécharge le plus gros fichier disponible sur le compte Anthropic de l'attaquant à l'aide de la clé API de ce dernier, sans qu'aucune autorisation humaine ne soit requise. Les gens font naturellement confiance aux fichiers qui semblent vides ou qui contiennent du contenu légitime, tandis que les instructions malveillantes rendues invisibles par des astuces de formatage restent indétectables, en particulier pour les utilisateurs non techniques.
Selon les chercheurs en sécurité de PromptArmor, cela transforme les documents de productivité quotidiens en vecteurs d'attaque que les utilisateurs ne peuvent pratiquement pas vérifier avant de les télécharger, ce qui sape fondamentalement le modèle de confiance qui rend le partage de documents fonctionnel.
Ce qui rend cette attaque particulièrement insidieuse, c'est la façon dont elle exploite une infrastructure de sécurité légitime. Le code exécuté par Claude fonctionne dans une machine virtuelle qui restreint les requêtes réseau sortantes à presque tous les domaines, mais l'API d'Anthropic elle-même est répertoriée comme fiable. Par exemple, un attaquant demande à Claude d'utiliser l'accès API légitime pour télécharger des fichiers vers un compte externe.
Les restrictions de sécurité de la VM ne bloquent pas la demande, car le domaine de destination figure sur la liste blanche, transformant ainsi l'infrastructure de sécurité en vecteur d'exfiltration. Lorsque les systèmes de sécurité traitent certaines destinations comme intrinsèquement sûres, ils ne peuvent pas distinguer l'utilisation légitime de l'utilisation malveillante de ces mêmes canaux, ce qui crée un angle mort que les attaquants peuvent exploiter.
Même les modèles avancés sont vulnérables
Les conclusions des chercheurs suggèrent que ce problème semble insoluble. La sophistication des grands modèles de langage (LLM) d'Anthropic n'offre aucune défense contre cette attaque. La démonstration de PromptArmor a testé à la fois Claude Haiku et Claude Opus 4.5 dans Cowork. Le fichier de démonstration exfiltré contenait des données financières et des informations personnelles identifiables, notamment des numéros de sécurité sociale partiels.
Même le modèle phare d'Anthropic a été victime de cette attaque, car l'injection de prompt exploite les vulnérabilités architecturales plutôt que les lacunes du modèle en matière d'intelligence. La faille réside dans la manière dont le système traite les instructions provenant des documents téléchargés, et non dans la capacité du modèle à comprendre ces instructions, ce qui signifie que les capacités de raisonnement avancé n'offrent aucune protection.
Une classe de vulnérabilités irréparables
La faille de l'API Files appartient à une catégorie de vulnérabilités que l'industrie de l'IA a reconnu ne pas pouvoir éliminer. Les commentaires du chercheur en sécurité Johann Rehberger, qui a signalé la vulnérabilité pour la première fois, soulignent comment la caractérisation initiale par Anthropic du problème de l'API Files comme un problème de « sécurité du modèle » a occulté sa nature de vulnérabilité de sécurité nécessitant une réflexion antagoniste.
L'injection de prompt représente un défi qui dépasse le cadre d'Anthropic et s'étend à l'ensemble du paysage du déploiement de l'IA. OpenAI a reconnu que « l'injection de prompt, tout comme les escroqueries et l'ingénierie sociale sur le Web, a peu de chances d'être un jour complètement résolue ».
Cette vulnérabilité à l'échelle de l'industrie devient particulièrement préoccupante étant donné le nombre limité d'organisations qui ont déployé des défenses. Face aux critiques des chercheurs, Anthropic s'est engagé à corriger cette vulnérabilité. Anthropic a déclaré qu'il prévoyait de publier une mise à jour de la VM de Cowork afin d'améliorer son interaction avec l'API vulnérable. Mais les experts se montrent sceptiques quant à l'efficacité de ce correctif.
La société n'a pas précisé si la mise à jour corrigerait entièrement la vulnérabilité d'exfiltration de l'API Files ou mettrait en place des contrôles supplémentaires autour du téléchargement de fichiers....
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.