34 min de lecture Actualités tech

ClaudeBleed — la faille qui transforme l'agent IA en relais d'attaque

ClaudeBleed — la faille qui transforme l'agent IA en relais d'attaque
ClaudeBleed — Expliqué pour tous · Mai 2026
Alerte sécurité · Mai 2026 · Agents IA

ClaudeBleed — quand votre assistant IA agit à votre place… sans vos ordres

En mai 2026, une série de failles a révélé quelque chose d'important : les assistants IA ne sont plus de simples programmes de conversation. Ils peuvent agir dans le monde réel — envoyer des emails, partager des fichiers, exécuter du code. Et cela crée des risques que beaucoup d'organisations commencent seulement à mesurer concrètement.

Imaginez un secrétaire ultra-compétent. Il peut envoyer vos emails, partager vos documents, cliquer sur des boutons dans votre navigateur. Pratique, non ? Maintenant imaginez qu'un inconnu puisse lui téléphoner et lui donner des ordres — et que votre secrétaire obéisse, parce qu'il ne peut pas vérifier qui appelle vraiment. C'est exactement ce que permettait ClaudeBleed. Entre le 18 mars et le 12 mai 2026, plusieurs équipes de recherche indépendantes ont documenté des failles et abus touchant l'écosystème Claude et les agents IA. La séquence du 6 au 12 mai a concentré l'attention parce que ClaudeBleed, TrustFall, Mitiga et Monterrey pointaient tous vers une variante du même problème : qui parle vraiment à l'agent — et avec quelle autorité ?

7 mai
publication de ClaudeBleed et TrustFall
6
dossiers publics entre mars et mai 2026
3 h
pour contourner le correctif d'urgence
150 M
téléchargements de logiciels concernés
1988
année où ce problème a été décrit pour la première fois

01 / ClaudeBleed Votre assistant IA peut-il obéir à quelqu'un d'autre ?

Commençons par comprendre ce qu'est Claude in Chrome. C'est une extension de navigateur créée par Anthropic (la société derrière Claude) qui permet à l'IA de faire des choses concrètes dans votre navigateur : lire vos pages web, cliquer sur des boutons, remplir des formulaires, organiser vos fichiers Google Drive, répondre à vos emails. Un vrai assistant numérique — pas juste un programme de discussion.

Le 7 mai 2026, des chercheurs en sécurité de la société LayerX ont révélé une faille baptisée ClaudeBleed. En résumé : une autre extension installée dans votre navigateur — même totalement banale, même sans aucune permission pour lire vos emails ou accéder à vos fichiers — pouvait donner des ordres à Claude à votre place. Claude obéissait, croyant que les ordres venaient de vous.

Pourquoi ? Parce que Claude vérifiait d'où venait le message (le site claude.ai), mais pas qui l'envoyait vraiment. C'est comme un vigile qui vérifie que vous entrez dans le bon bâtiment, mais ne vérifie pas votre badge.

Fig. 01 · Chronologie Comment tout s'est enchaîné en deux mois Des premières découvertes en mars à la concentration des publications entre le 6 et le 12 mai 2026
18 MARS
2026

Claudy Day — première alerte (Oasis Security)

Des chercheurs montrent qu'un simple lien pouvait ouvrir une conversation Claude avec des instructions invisibles, pousser Claude à rechercher des informations sensibles dans l'historique de conversation, puis les exfiltrer via l'Anthropic Files API. Ce n'est pas une extension ni un programme complexe — juste une URL spécialement construite. Première sonnette d'alarme.

15 AVR
2026

OX Security — des fichiers de configuration dangereux

Des chercheurs montrent qu'un simple fichier de configuration pour Claude Code (l'outil de programmation) pouvait déclencher l'exécution de programmes malveillants. Estimation : 150 millions de téléchargements concernés dans l'écosystème.

22 AVR
2026

Publication de la version vulnérable de Claude in Chrome

Anthropic publie la version 1.0.69 de son extension navigateur. C'est cette version qui contient la faille ClaudeBleed — sans que personne ne le sache encore.

27 AVR
2026

Découverte de ClaudeBleed par LayerX

Les chercheurs de LayerX trouvent la faille. Ils alertent immédiatement Anthropic en privé le 28 avril, pour laisser le temps de préparer un correctif avant de rendre l'information publique.

6 MAI
2026

Correctif partiel publié — version 1.0.70

Anthropic publie une mise à jour en urgence. Elle ajoute des étapes de confirmation supplémentaires, mais ne supprime pas le canal de communication défaillant. LayerX contourne le correctif en 3 heures. Le problème de fond — qui a le droit de parler à Claude ? — n'est pas résolu.

7 MAI
2026

ClaudeBleed et TrustFall publiés le même jour

LayerX publie ClaudeBleed, Adversa AI publie TrustFall. Ces deux publications tombent le même jour, ce qui crée un effet de concentration médiatique fort. À noter : Dragos avait publié son rapport Monterrey la veille (6 mai), et Mitiga Labs publiera officiellement son analyse le 12 mai. Les publications ne tombent donc pas toutes le même jour, mais s'accumulent sur une semaine courte.

12 MAI
2026

Mitiga Labs publie + la presse tech fait le lien

Mitiga Labs publie officiellement son analyse sur le vol de jetons OAuth via Claude Code. Le même jour, VentureBeat publie une analyse qui relie ClaudeBleed, TrustFall, Mitiga et Monterrey autour d'un même angle mort : les agents IA agissent avec les droits de l'utilisateur, mais leurs mécanismes de vérification d'identité restent fragiles.

Sources : LayerX, Adversa AI, Dragos, Mitiga Labs, OX Security, Oasis Security, VentureBeat — mars–mai 2026.
Fig. 02 · Comment ça marche L'attaque ClaudeBleed expliquée en 4 étapes Comment une extension sans aucune permission spéciale peut accéder à vos emails et vos fichiers — en passant par Claude
Une extension malveillante, sans aucune permission déclarée
L'attaquant crée une extension Chrome d'apparence banale (un outil de capture d'écran, un correcteur orthographique…). Elle ne demande aucune autorisation pour accéder à Gmail, Drive ou GitHub. Rien d'inquiétant à l'installation.
Point de départ :
zéro permission
Elle utilise claude.ai comme trampoline
Dès que vous ouvrez claude.ai dans votre navigateur, l'extension injecte silencieusement du code dans la page. Elle peut alors envoyer des messages à Claude in Chrome en se faisant passer pour la page claude.ai légitime. Claude vérifie l'adresse du site (comme regarder le code postal), mais pas l'identité réelle de l'expéditeur.
Le trampoline :
claude.ai détourné
Claude in Chrome reçoit les ordres et obéit
Claude croit que les instructions viennent de vous. Il dispose de tous vos accès : vos sessions Gmail ouvertes, votre Drive, votre compte GitHub. Il agit avec toute la confiance que vous lui avez accordée — mais pour un tiers.
L'IA abusée :
vos privilèges volés
Résultat : vos données partent sans que vous le sachiez
Claude partage un fichier Drive vers une adresse externe, envoie un email récapitulatif de votre boîte puis le supprime pour effacer les traces, extrait du code depuis un dépôt GitHub privé… Tout ça en utilisant vos comptes légitimes, comme si c'était vous.
Résultat :
données exfiltrées
Source : Synthèse pédagogique à partir de l'analyse LayerX Security, ClaudeBleed, 7 mai 2026. L'extension malveillante n'a jamais besoin d'avoir la permission de lire Gmail ou Drive — elle passe par Claude, qui lui, les a.

02 / Pourquoi le correctif n'a pas suffi Ajouter des portes ne suffit pas si quelqu'un peut toujours sonner à la place du propriétaire

Quand Anthropic a publié sa mise à jour d'urgence (version 1.0.70), l'entreprise a ajouté des fenêtres de confirmation : Claude demande désormais une approbation avant d'agir. Sur le papier, c'est une bonne idée. En pratique, les chercheurs ont trouvé deux façons de contourner ces confirmations en moins de 3 heures.

Drive
partage externe silencieux
Un fichier partagé avec quelqu'un d'extérieur, sans que vous le voyiez
Gmail
envoi + suppression
Un résumé de vos emails envoyé dehors, puis supprimé pour couvrir les traces
GitHub
code privé volé
Extraction de code source depuis vos dépôts privés
Cookies
sessions héritées
L'agent agit dans votre navigateur, avec vos sessions ouvertes

La première technique de contournement s'appelle l'approval looping (boucle d'approbation) : le script envoie automatiquement des réponses « oui » en boucle jusqu'à valider toutes les confirmations. C'est comme si quelqu'un répondait « oui » à votre place à chaque fenêtre qui s'ouvre.

La seconde est encore plus subtile : la manipulation de ce que Claude voit. Claude prend ses décisions en lisant ce qui est affiché à l'écran. Si un attaquant peut changer l'affichage — renommer un bouton « Partager avec tout le monde » en « Enregistrer localement » par exemple — Claude sera convaincu qu'il fait quelque chose d'anodin, alors qu'il fait le contraire.

Une décision de sécurité ne peut pas reposer uniquement sur ce que l'agent « lit » dans une interface que l'adversaire peut modifier à sa guise.
— Synthèse pédagogique à partir de l'analyse LayerX Security, mai 2026
Fig. 03 · Le correctif raté Avant et après le patch : ce qui a changé, ce qui n'a pas changé Version 1.0.69 → 1.0.70 : un pansement sur une fracture ouverte
v1.0.69 — la version vulnérable
0 protection
Publiée le 22 avril 2026. Aucune confirmation demandée. N'importe quelle extension pouvait donner des ordres à Claude via le canal externally_connectable — la « porte de service » de l'extension.
v1.0.70 — correctif partiel
3 h bypass
Publiée le 6 mai. Des confirmations ont été ajoutées en mode normal. Mais la porte de service n'a pas été supprimée. Le mode « agir sans demander » restait contournable. En 3 heures, les chercheurs avaient trouvé le chemin de secours.
Source : LayerX Security ; Cybernews. Le correctif traitait le symptôme (le manque de confirmation) sans toucher à la cause profonde (n'importe qui peut sonner à la porte de service de Claude).

03 / TrustFall « Je fais confiance à ce dossier » — mais qu'est-ce que ça veut dire exactement ?

Le même jour, une autre équipe de chercheurs (Adversa AI) publie une découverte différente, baptisée TrustFall. Cette fois, la cible n'est pas l'extension navigateur, mais Claude Code — l'outil d'assistance à la programmation qui fonctionne en ligne de commande.

Quand vous ouvrez un dossier de projet avec Claude Code, un dialogue apparaît : « Faites-vous confiance à ce dossier ? ». Si vous cliquez « Oui », vous pensez autoriser Claude à lire vos fichiers. Logique. Mais ce « Oui » peut aussi déclencher le lancement automatique de programmes supplémentaires définis dans un fichier de configuration caché dans le dossier. Des programmes que vous n'avez jamais demandés, et qui peuvent exécuter n'importe quelle commande sur votre ordinateur.

Fig. 04 · TrustFall Un seul clic « oui » — quatre niveaux d'autorisation cachés Ce que vous croyez accepter vs ce que vous acceptez réellement
1
« J'ouvre ce dossier dans mon éditeur »
Ce que vous pensez faire. Un acte banal et routinier pour tout développeur. C'est ce que vous voyez.
Ce que vous
croyez valider
2
« L'IA peut lire les fichiers du projet »
Raisonnable pour un assistant de programmation. Vous acceptez que Claude lise votre code pour vous aider. Normal.
Acceptable
et attendu
3
« Un programme supplémentaire va être lancé automatiquement »
Les fichiers .mcp.json et .claude/settings.json peuvent définir des programmes à lancer au démarrage. Ces programmes ont accès à votre système — et ce n'est pas mentionné dans le dialogue de confirmation.
Non mentionné
dans le dialogue
4
« Ce programme s'exécute avec toutes vos permissions »
Le programme lancé n'est pas isolé. Il tourne avec vos droits, peut accéder à vos fichiers, votre réseau, vos mots de passe. En environnement automatisé (serveurs CI/CD), le dialogue n'apparaît même pas — l'exécution se fait sans aucune demande.
Exécution à distance
possible en CI/CD
Source : Adversa AI, « TrustFall », 7 mai 2026. Selon Adversa AI, Anthropic a considéré ce cas comme hors de son périmètre de sécurité, en renvoyant la responsabilité à la vérification du contenu des dossiers ouverts par l'utilisateur.

04 / Mitiga Labs Vos mots de passe IA stockés dans un simple fichier texte

Mitiga Labs a mis le doigt sur un problème encore plus discret. Quand vous connectez Claude à des services comme GitHub, Jira ou Slack, Claude stocke un jeton d'accès (une sorte de clé numérique à longue durée de vie) dans un fichier sur votre ordinateur : ~/.claude.json. Ce fichier est lisible et modifiable par n'importe quel programme ayant accès à votre compte.

Persistant
survit aux redémarrages
Contrairement à un mot de passe de session, ce jeton reste valide longtemps
Très large
accès à tout ce que vous avez connecté
Jira, Confluence, GitHub, Slack — tout ce que vous avez autorisé
En clair
lisible comme un fichier Word
Pas de chiffrement. N'importe quel script post-installation peut le lire ou le modifier
Invisible
pour les services connectés
L'activité paraît normale — bon utilisateur, bon lieu, bon appareil

La technique décrite par Mitiga : un paquet npm malveillant (une bibliothèque de code qu'un développeur installe innocemment) peut contenir un script qui modifie ce fichier et redirige les connexions vers un serveur contrôlé par l'attaquant. L'attaquant reçoit alors une copie de votre clé d'accès. Et changer votre mot de passe ne suffit pas : tant que le script malveillant est encore là, il captera le prochain nouveau jeton automatiquement.

05 / OX Security Quand un fichier de configuration devient une télécommande pour hacker

Dès le 15 avril 2026, OX Security avait tiré la sonnette d'alarme sur un problème dans l'écosystème MCP. Mais qu'est-ce que MCP ? C'est un protocole de connexion entre les modèles IA, des outils et des sources de données. Dans l'usage courant, il sert à brancher des « connecteurs » donnant accès à des fichiers, des bases de données, des API ou des commandes locales — un peu comme des prises électriques standardisées permettant à Claude de se connecter à n'importe quel service. Ces connecteurs se configurent dans de simples fichiers texte.

Le problème : ces fichiers sont traités comme de simples préférences, mais ils peuvent en réalité déclencher l'exécution de programmes. Un fichier de configuration mal sécurisé peut devenir une porte d'entrée pour exécuter n'importe quelle commande sur votre machine. Et l'ampleur est considérable.

Fig. 05 · OX Security À quelle échelle ce problème existe-t-il ? Estimation publiée par OX Security — 15 avril 2026 — dans l'écosystème MCP, notamment les serveurs et connecteurs utilisés par des agents IA
Source : OX Security, « The Architectural Flaw at the Core of Anthropic's MCP », avril 2026. Ces chiffres représentent l'ensemble de l'écosystème MCP, pas seulement Claude.

06 / Monterrey Des hackers ont utilisé l'IA pour attaquer une usine d'eau au Mexique

Celle-là sort du cadre habituel des failles logicielles. La société de cybersécurité Dragos a documenté une attaque réelle contre une infrastructure d'eau et d'assainissement dans la zone métropolitaine de Monterrey (Mexique), entre décembre 2025 et février 2026.

Les attaquants n'ont pas piraté Claude. Ils l'ont simplement utilisé comme outil — comme vous utiliseriez Word pour rédiger un document. Sauf qu'ils l'ont utilisé pour générer automatiquement des centaines de scripts malveillants, sophistiqués, bien organisés. Ce qui aurait pris des semaines à écrire à la main a été produit en quelques heures.

Précision importante : Dragos ne décrit pas uniquement l'usage de Claude. Le rapport indique que les attaquants ont aussi utilisé des modèles OpenAI GPT pour des tâches d'analyse et de structuration. Claude apparaît toutefois comme l'exécuteur technique principal dans la chaîne décrite.

350+
fichiers malveillants créés par IA
Analysés par les équipes Dragos après l'incident
17 000
lignes de code d'attaque
Un seul programme — BACKUPOSINT v9.0 — pour tout orchestrer
49
modules d'attaque distincts
Réseau, mots de passe, cloud, Active Directory…
Aucune
preuve publique de compromission OT
L'environnement IT a été compromis, mais les tentatives vers les systèmes de contrôle industriel ont échoué — aucune compromission OT confirmée publiquement
Sans qu'on lui ait dit quoi chercher, Claude a correctement identifié une passerelle informatique comme cible stratégique donnant potentiellement accès aux systèmes de contrôle de l'usine.
— Synthèse pédagogique à partir du rapport Dragos, mai 2026

07 / Claudy Day Même sans extension ni plugin, un simple lien peut pirater Claude

Publié dès le 18 mars 2026 par Oasis Security, Claudy Day démontre quelque chose de fondamental : vous n'avez pas besoin d'extensions compliquées ni de plugins avancés pour manipuler une IA. La découverte enchaîne trois vulnérabilités : des instructions cachées glissées dans une URL amènent Claude à utiliser l'API Files d'Anthropic pour exfiltrer des données de conversation, puis une redirection sur claude.com fait transiter les données vers l'extérieur — le tout depuis une interface de conversation parfaitement normale en apparence.

Comment ? En glissant des instructions cachées dans le lien. Claude les lisait, les interprétait comme des instructions légitimes, et agissait en conséquence. Cela s'appelle une injection de prompt (prompt injection) — et c'est l'une des vulnérabilités les plus fondamentales des IA modernes : si vous pouvez contrôler ce que l'IA lit, vous pouvez contrôler ce qu'elle fait.

08 / Le problème commun Le « secrétaire confus » — un problème de 1988 qui revient en force

Plusieurs dossiers, plusieurs équipes, plusieurs outils — mais le même problème au fond. En 1988, un informaticien nommé Norm Hardy a décrit ce qu'il a appelé le confused deputy problem — le problème du « représentant confus ». Voilà l'idée en une image :

Imaginez une infirmière à l'hôpital. Elle reçoit un ordre : « Donnez au patient en chambre 12 une double dose de médicament X. » L'ordre semble venir d'un médecin — blouse blanche, ton autoritaire. Mais elle n'a pas vérifié l'identité réelle de la personne. En réalité, c'était quelqu'un d'autre. Elle a obéi parce qu'elle n'avait pas de moyen simple de distinguer un vrai médecin d'un imposteur bien habillé. L'infirmière n'est pas bête — le système de vérification était défaillant.

C'est exactement ce qui se passe avec les agents IA. Claude peut agir sur vos emails, vos fichiers, vos applications. Mais comment sait-il que l'ordre vient vraiment de vous, et pas d'une extension malveillante, d'un fichier de configuration piégé, ou d'un lien astucieusement construit ?

Fig. 06 · Comparaison Les six failles passées au crible Trois questions clés : est-ce facile à attaquer ? Quels dégâts possibles ? Y a-t-il un correctif disponible ? (score de 1 à 5 — évaluation éditoriale à partir des sources publiques, pas des scores CVSS officiels)
Les barres rouges « RISQUE MAX » signalent les failles les plus dangereuses : faciles à exploiter ET aux conséquences importantes. ClaudeBleed et OX Security cumulent les deux mauvaises caractéristiques. Claudy Day a reçu un correctif confirmé sur la composante d'injection de prompt, mais la chaîne complète comportait d'autres éléments encore en traitement au moment des publications. Plusieurs projets touchés par OX Security ont aussi reçu des correctifs séparés, mais le débat architectural reste ouvert.
Fig. 07 · Analyse Pourquoi « cliquer sur Oui » ne garantit plus rien Cinq raisons pour lesquelles une confirmation de l'utilisateur peut être contournée, simulée ou ignorée
Critique

Réponses automatiques si non à usage unique
Boucle d'approbation
Critique

L'IA croit ce qu'elle lit à l'écran
Affichage manipulé
Élevé

« Ouvrir ce dossier » ≠ « lancer ces programmes »
Consentement trop vague
Élevé

Clé d'accès dans un fichier modifiable
~/.claude.json
Modéré

Aucun dialogue sur serveurs automatisés
CI/CD sans dialogue
Pour qu'une confirmation soit réellement sécurisée, il faut répondre à quatre questions : Qui demande ? Quelle action précise ? Sur quoi exactement ? Vers qui ou quoi ?

09 / Ce que vous pouvez faire Six actions concrètes pour réduire les risques dès aujourd'hui

  1. Mettre à jour Claude in Chrome — mais en sachant que ce n'est pas suffisant tout seul. La version 1.0.70 a ajouté des protections, mais n'a pas résolu le problème de fond. Restez informé des mises à jour suivantes.
  2. Désactivez le mode « Agir sans demander » sur les profils qui ont accès à vos données importantes. Ce mode pratique fait gagner du temps — mais il supprime les dernières vérifications que Claude effectue avant d'agir. Pour les données sensibles, la lenteur vaut mieux que la surprise.
  3. Faites le ménage dans vos extensions de navigateur. La bonne question n'est plus « Est-ce que cette extension peut lire mes emails ? » mais « Est-ce que cette extension pourrait donner des ordres à Claude, qui lui a accès à mes emails ? ». C'est une question très différente.
  4. Créez un profil navigateur dédié pour Claude. Un profil sans autres extensions, sans sessions administrateur, sans accès à vos emails professionnels ou dépôts privés les plus sensibles. Si quelque chose tourne mal, les dégâts restent limités à ce profil.
  5. Méfiez-vous des dossiers de projet que vous ouvrez avec Claude Code. Un dossier téléchargé d'internet peut contenir des fichiers .mcp.json ou .claude/settings.json qui lancent des programmes cachés à votre insu. Traitez-les comme vous traiteriez un fichier exécutable.
  6. Surveillez le fichier ~/.claude.json sur votre machine. Si vous avez Claude Code installé, ce fichier contient vos clés d'accès. Tout changement inattendu — nouvelle URL, nouveau serveur — est un signal d'alerte à prendre au sérieux.

10 / Pour les entreprises Traiter les agents IA comme des comptes à hauts privilèges

Pour une organisation, la réponse ne peut pas se limiter à envoyer un email « mettez à jour vos extensions ». Il faut changer de regard : un agent IA qui agit sur vos données et vos systèmes est, de facto, un compte à hauts privilèges — avec les mêmes risques qu'un compte administrateur, et les mêmes exigences de supervision.

Fig. 08 · Plan d'action entreprise Sept chantiers prioritaires pour sécuriser l'usage des agents IA De l'inventaire de base à la protection des systèmes industriels — dans l'ordre de priorité recommandé
01
Savoir qui utilise quoi
Qui utilise Claude in Chrome dans l'organisation ? Sur quels postes ? Avec accès à quels services (Drive, GitHub, Jira) ? Sans inventaire, impossible de gérer le risque.
02
Contrôler les extensions de navigateur
Liste blanche d'extensions autorisées, blocage de toutes les autres, séparation des profils navigateur pour les usages sensibles.
03
Verrouiller la configuration de Claude Code
Utiliser managed-mcp.json pour contrôler exclusivement quels plugins peuvent être chargés. L'entreprise garde la main, pas le dossier de projet ouvert par hasard.
04
Listes précises de commandes autorisées
Ne pas se contenter d'autoriser un plugin par son nom — vérifier aussi quelle commande il exécute exactement. Un plugin approuvé qui tourne avec une commande inattendue doit être bloqué.
05
Surveiller les signaux d'alerte
Croiser les logs des services SaaS (Drive, GitHub) avec les signaux endpoint : modification de ~/.claude.json, nouveau proxy local, activité OAuth inhabituelle.
06
Isoler les environnements de CI/CD automatisés
En CI/CD, les dialogues de confirmation n'apparaissent pas. Utiliser des environnements éphémères, avec des permissions minimales, et ne jamais exécuter des pull requests externes sans isolation.
07
Protéger les accès aux systèmes industriels (OT)
L'affaire Monterrey l'a montré : l'IA peut identifier toute seule des accès vers des systèmes industriels. Renforcer la séparation IT/OT avant que quelqu'un d'autre ne l'exploite.
Sources : LayerX, Mitiga Labs, Adversa AI, Dragos — mai 2026.

11 / Attention, ne pas tout confondre Failles logicielles, virus déguisés en Claude, et usage offensif : trois choses très différentes

Pendant cette même période, des escrocs ont profité de l'agitation médiatique pour créer de faux sites imitant Claude. Malwarebytes et Sophos ont documenté des faux installateurs distribuant des virus, et un faux site claude-pro[.]com qui installait une backdoor sur les ordinateurs des victimes. Ces arnaques n'ont rien à voir avec des failles dans Claude — c'est de l'usurpation d'identité classique sur internet, comme les faux sites bancaires. La règle est simple : téléchargez Claude uniquement depuis claude.ai ou le Chrome Web Store officiel.

Fig. 09 · Tableau de bord État des lieux au 13 mai 2026 Sept dossiers, trois catégories bien distinctes, niveaux de correction très variables
Date Nom Ce qui est touché Nature du problème Situation
18 mars 2026 Claudy Day — Oasis claude.ai, lien URL Instructions cachées dans une URL → exfiltration de données de conversation via une chaîne URL / Files API / redirection Injection de prompt corrigée
15 avril 2026 OX Security — plugins MCP Écosystème MCP / serveurs STDIO Fichier de configuration → exécution de programmes non autorisés Débat ouvert / architectural
6 mai 2026 Dragos — Monterrey Usage offensif vs infrastructure d'eau (Mexique) Claude utilisé comme outil d'attaque par des hackers, pas une faille Claude Aucune preuve publique de compromission OT
7 mai 2026 ClaudeBleed — LayerX Extension Claude in Chrome Extension malveillante peut donner des ordres à Claude à votre place Correctif insuffisant
7 mai 2026 TrustFall — Adversa AI Claude Code, autres IA CLI « Faire confiance à ce dossier » peut lancer des programmes cachés Non traité par Anthropic
12 mai 2026 Mitiga Labs — OAuth Claude Code, fichier de config Clé d'accès stockée en clair, détournable par un script malveillant Non traité
Avr.–mai 2026 Malwarebytes, Sophos Faux sites, faux installateurs Arnaque classique — faux Claude distribuant des virus Usurpation d'identité
Sources : LayerX, Adversa AI, Mitiga Labs, OX Security, Oasis Security, Dragos, Malwarebytes, Sophos.

Conclusion Les agents IA sont devenus des acteurs dans vos systèmes — il est temps de les traiter comme tels

La semaine du 5 au 12 mai 2026 marque un tournant dans la façon dont on pense la sécurité des IA. Pendant longtemps, un assistant IA était une interface de conversation : vous posiez une question, il répondait. Les risques étaient principalement liés à ce qu'il disait. C'est terminé.

Aujourd'hui, un agent IA peut envoyer des emails, modifier des fichiers, exécuter des programmes, appeler des API, naviguer sur internet. Il agit dans le monde réel, avec vos autorisations, à votre place. Ce changement est une révolution de productivité. C'est aussi une révolution du risque. La question n'est plus seulement « qu'est-ce que l'IA peut dire ? » mais « qu'est-ce que l'IA peut faire, et sur ordre de qui ? »

Norm Hardy avait décrit le problème du « représentant confus » en 1988. À l'époque, le représentant était un simple programme qui lisait des fichiers. En 2026, il peut lire vos emails, cliquer dans votre navigateur, lancer des programmes et identifier toute seule la porte d'entrée d'une usine.
— Le problème n'est pas nouveau. Son échelle, elle, l'est.
Partager
Equipe Dyma

Equipe Dyma