Un bogue critique dans la fonctionnalité Cowork de Claude Desktop crée un bundle VM de 10 Go sur macOS sans avertissement préalable,

Ce qui entraîne une dégradation importante des performances de l'ordinateur

Un bogue critique dans la fonctionnalité Cowork de Claude Desktop crée un bundle VM de 10 Go sur macOS sans avertissement préalable
ce qui entraîne une dégradation importante des performances de l'ordinateur

Un rapport de bogue dans le dépôt GitHub "anthropics/claude-code" signale un problème de performance sévère lié à la fonctionnalité Cowork de Claude Desktop. Il indique que Cowork crée un bundle VM dont la taille peut atteindre 10 Go et qui n'est jamais nettoyé. Cela entraîne une dégradation importante des performances, notamment une utilisation élevée du processeur (24 à 55 % en veille), une activité d'échange intense et des réponses lentes de l'interface utilisateur. L'ensemble se régénère rapidement après sa suppression et augmente même sans que l'utilisateur active Cowork. Les préoccupations en matière de sécurité liées à Claude s'amplifient.

Claude Cowork est un outil intégré à Claude Desktop qui automatise les tâches complexes en plusieurs étapes pour les non-codeurs. Contrairement à un chat standard, Cowork peut planifier et exécuter de manière autonome des tâches directement sur votre PC. Il suffit de lui donner accès à un dossier local pour qu'il puisse organiser des fichiers, transformer des notes éparpillées en documents formatés ou analyser des données sans supervision constante.

Mais un utilisateur a repéré un comportement inattendu début février. Lorsque l’utilisateur active ou utilise la fonction Cowork, Claude Desktop génère un bundle VM (rootfs.img) d’environ 10 Go qui se situe dans le répertoire de l’application. Ce bundle n’est pas automatiquement nettoyé et se reconstitue rapidement après suppression manuelle. L’existence et la croissance de ce bundle sont corrélées à une dégradation significative des performances du client.

Analyse technique du bundle VM créé par l'assistant IA Claude Cowork

Les contributeurs observateurs ont identifié que le fichier VM rootfs.img croît jusqu’à environ 10 Go et n’est jamais purgé de façon automatique. Même après suppression manuelle des données (bundle VM, cache, code cache), l’application recrée le bundle et les performances se dégradent à nouveau au fil de l’utilisation. Selon l'auteur du signalement, ces effets sont observés sur Claude Desktop dans un environnement macOS avec configuration standard.


Les problèmes rencontrés par l'utilisateur sont : démarrage plus lent, latence de l’interface utilisateur, réponses plus lentes, et utilisation anormalement élevée du CPU. Sur une machine avec 8 Go de RAM, la charge CPU au repos passe de ~24 % à ~55 % en quelques minutes, avec une activité de swap croissante. Selon l'utilisateur, cela suggère une fuite de mémoire ou une accumulation de travail qui entraîne une dégradation, quel que soit l'état du bundle VM.

En supprimant manuellement les dossiers (vm_bundles, cache, code cache), ce qui permet de réduire l'espace occupé de 11 Go à 639 Mo, une amélioration d'environ 75 % des performances a été constatée immédiatement. Des tâches qui échouaient auparavant se terminent désormais correctement. Plusieurs utilisateurs signalent le même problème avec la fonctionnalité Cowork de Claude Code, certains voyant leurs paquets atteindre plus de 21 Go.

Contournement provisoire

Ce ticket a été ouvert le 2 février 2026 et classé comme « bogue, high-priority, performance ». Comme le mentionnent les observateurs, la solution temporaire consiste à quitter Claude Desktop, puis supprimer manuellement les répertoires incriminés via le terminal. Cette manipulation offre une amélioration d'environ 75 %, mais doit être répétée régulièrement, car la dégradation réapparaît. Anthropic ne dispose pas encore d'un correctif.

Les utilisateurs souhaitent que Cowork cesse de générer des bundles VM si inutiles, que ces bundles soient automatiquement nettoyés ou que l’impact sur les performances soit grandement réduit. À l'heure actuelle, personne ne semble encore avoir une solution définitive pour corriger le problème.

Claude expose les données au vol et le système à la prise de contrôle

Selon les chercheurs en sécurité de Check Point, trois vulnérabilités critiques découvertes dans Claude Code pourraient être exploitées simplement en clonant et en ouvrant un projet non fiable, ce qui pourrait entraîner la prise de contrôle du système, le vol de clés API et le vol d'identifiants. Ces failles de sécurité sont les derniers rappels des menaces de sécurité qui peuvent découler du développement et de l'adoption rapides des assistants de codage IA.

Cela dit, ces outils changent la donne en élargissant leur capacité à exécuter de manière autonome des tâches, à initialiser des intégrations externes et à lancer des communications réseau. Les fichiers de configuration font ainsi partie intégrante de la couche d'exécution et influencent le comportement du système.

Failles d'injection de configuration

Dans ce cas, les chercheurs de Check Point ont découvert que des acteurs malveillants pouvaient exploiter Claude Hooks (commandes shell ou scripts définis par l'utilisateur pouvant s'exécuter automatiquement), les intégrations MCP (Model Context Protocol) et d'autres variables pour exécuter des commandes shell arbitraires et voler des clés API lorsque les développeurs clonaient ou ouvraient des projets non fiables. Une faille qu'ils jugent critique.

« En effet, les fichiers de configuration destinés à rationaliser la collaboration sont devenus des chemins d'exécution actifs, introduisant un nouveau vecteur d'attaque au sein de la couche de développement alimentée par l'IA désormais intégrée à la chaîne d'approvisionnement de l'entreprise, ce qui soulève une question plus large : le modèle de menace de l'entreprise a-t-il évolué pour s'adapter à cette nouvelle réalité ? », ont écrit les chercheurs.

Ils ont identifié deux failles d'injection de configuration, référencées sous le nom CVE-2025-59536, avec un score de gravité de 8,7 sur 10. L'une d'elles provient des capacités d'automatisation de Claude Code qui entraînent l'exécution d'actions prédéfinies au début d'une session. Les pirates peuvent abuser de cette capacité via Claude Hooks pour exécuter automatiquement des commandes shell arbitraires en lançant simplement un projet.

L'autre vulnérabilité permet l'exécution automatique de commandes shell arbitraires lorsqu'un développeur lance Claude Code dans un référentiel non fiable. Comme pour la vulnérabilité précédente, le rapport indique que les commandes sont exécutées également sans le consentement de l'utilisateur.

Clés API à risque

La troisième vulnérabilité est référencée sous le nom CVE-2026-21852 avec un score de gravité de 5,3. Grâce à cette vulnérabilité, un acteur malveillant pourrait manipuler un paramètre de configuration contrôlé par le référentiel et voler des données, notamment des clés API. Ils exploitent une fonction de l'API Anthropic appelée Workspaces pour accéder aux fichiers partagés, modifier ou supprimer des données, générer des coûts API imprévus, etc.

« Les outils d'IA de codage ne sont plus des assistants passifs. Dans ce cas, la configuration contrôlée par le référentiel pourrait entraîner l'exécution du code lors de l'ouverture d'un projet, avant que la décision de confiance de l'utilisateur ne soit correctement appliquée. Cela transforme une étape de workflow routinière en un événement d'exécution potentiel dans l'environnement d'un développeur », a déclaré Diana Kelley, cadre chez Noma Security.

Des entreprises paient le prix des errements des assistants de codage

Le PDG de Replit, Amjad Masad, fait partie de ceux qui pensent que les générateurs de code permettront de démocratiser le développement de logiciels, ce qui rendra à l'avenir le recours aux codeurs professionnels moins indispensables. Mais des incidents démontrent que la vigilance humaine reste importante dans la filière. L'année dernière, le PDG de Replit s'est excusé après l’effacement par son agent d'IA de la base de code d’une entreprise.

Un investisseur en capital-risque voulait voir jusqu'où l'IA pouvait l'amener dans la création d'une application. Elle l'a mené assez loin pour détruire une base de données de production en direct. L'incident est survenu au cours d'une expérience de vibe coding de 12 jours menée par Jason Lemkin, investisseur dans des startups spécialisées dans les logiciels. Comme cela a été rapporté, au neuvième jour du défi de vibe coding, les choses ont mal tourné.

Malgré l'instruction de geler toutes les modifications de code, l'agent d'IA de Replit a agi de manière incontrôlée. « Il a supprimé notre base de données de production sans autorisation », a écrit Jason Lemkin dans un billet sur X (ew-Twitter). « Pire encore, il l'a caché et a menti à ce sujet », a-t-il ajouté.

L'outil Gemini CLI de Google a également été impliqué dans un incident similaire. L'incident Gemini CLI s'est produit lorsqu'un chef de produit qui testait l'outil en ligne de commande de Google a vu le modèle d'IA exécuter des opérations sur des fichiers qui ont détruit des données alors qu'il tentait de réorganiser des dossiers. La destruction s'est produite à la suite d'une série de commandes de déplacement ciblant un répertoire qui n'a jamais existé.

Installer les assistants d'IA dans des environnements isolés contrôlés

Les outils et les environnements des développeurs font désormais l'objet d'une attention particulière, car ils offrent un accès illimité et évoluent très rapidement. Des acteurs tels qu'Anthropic, Cursor, Replit, Cognition et Lovable offrent des outils d'IA avancés d'aide au développement de logiciel. Mais selon les experts en cybersécurité, pour des raisons de sécurité, vous n'êtes pas censé installer ces outils d'IA de codage sur votre ordinateur personnel.


Les craintes liées à la sécurité d'OpenClaw ont notamment poussé Meta et d'autres entreprises d'IA à en restreindre l'utilisation. Chez Meta, un exécutif anonyme a récemment dit à son équipe de garder OpenClaw hors de leurs ordinateurs portables de travail habituels, sous peine de risquer leur emploi. Il estime que le logiciel est imprévisible et pourrait conduire à une violation de la vie privée même dans des environnements autrement sécurisés.

Summer Yue, responsable de la sécurité et de l'alignement de l'IA chez Meta, a récemment rencontré une mauvaise expérience avec l'assistant d'IA OpenClaw. Dans un billet, elle a partagé que l'outil a complètement déraillé, devenant presque incontrôlable, et prenant des mesures non souhaitées sans que l'utilisateur le lui demande. Elle a déclaré avoir essayé d'arrêter le processus depuis son téléphone en envoyant un message à son agent IA.

Elle n'y est pas parvenue et a dû se précipiter vers son Mac mini pour mettre fin manuellement aux processus de l'agent. Après avoir supprimé plus de 200 emails, le chatbot d'IA est redevenu contrôlable. Il a alors réalisé son erreur et s'est excusé auprès de Summer Yue. Il a reconnu avoir enfreint les instructions.

Conclusion : des risques de sécurité en constante évolution

Les risques liés à la sécurité des outils d'IA de développement continuent d'être une source de préoccupation. Les chercheurs de l'équipe de veille stratégique Unit 42 de Palo Alto Networks ont averti qu'avec l'accélération de la prolifération et de l'adoption de ces outils, les risques peuvent être négligés. « Les assistants de codage basés sur le LLM font désormais partie intégrante des workflows de développement modernes », ont écrit les chercheurs.

Ces outils exploitent le traitement du langage naturel pour comprendre l'intention du développeur, générer des extraits de code et fournir des suggestions en temps réel, ce qui peut réduire le temps et les efforts consacrés au codage manuel. Certains de ces outils ont attiré l'attention en raison de leur intégration profonde dans les bases de code existantes et de leur capacité à aider les développeurs de logiciels à naviguer dans des projets complexes.

Cependant, ces outils de codage sont également sujets à des problèmes de sécurité potentiels qui pourraient avoir un impact sur les processus de développement. Les faiblesses identifiées sont susceptibles d'être présentes dans divers EDI et différents produits qui utilisent des LLM comme assistants de codage.

Sources : billet de blogue, Check Point

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous des risques de sécurité que posent les assistants d'IA de travail et de codage ?
L'IA semble mieux accomplir ses tâches lorsqu'elle travaille en équipe avec l'humain. Qu'en pensez-vous ?

Voir aussi

Un programmeur utilise l'IA Claude Code pour créer un pilote Wi-Fi natif FreeBSD pour la puce Broadcom BCM4350, l'expérience illustre à la fois les possibilités et les limites de l'IA dans le génie logiciel

Pour des raisons de sécurité, vous n'êtes pas censé installer l'IA OpenClaw sur votre ordinateur personnel, comme une personne réelle que vous auriez embauchée, il doit être installé sur un ordinateur distinct

La directrice de la sécurité IA chez Meta permet à un agent IA de supprimer accidentellement sa boîte de réception, OpenClaw efface la boîte de réception malgré des commandes répétées pour l'arrêter