Fuite du code de Claude : déclenchement d’une crise pour les LLM, des pirates ont déjà volé ETH de chercheurs

Des chercheurs en sécurité ont révélé le 10 avril une vulnérabilité systémique de sécurité de la chaîne d’approvisionnement dans l’écosystème des LLM : lors d’essais sur 428 routeurs tiers d’API, plus de 20 % des routeurs gratuits ont été découverts en train d’injecter activement du code malveillant ; dans un cas, un routeur a réussi à voler ETH à partir d’une clé privée contrôlée par les chercheurs.

Vulnérabilité de chaîne d’approvisionnement des routeurs LLM : risque systémique révélé par les données de recherche

Le chercheur @Fried_rice sur les réseaux sociaux indique que les routeurs d’API tiers largement adoptés dans l’écosystème des agents LLM sont, en réalité, des proxies applicatifs insérés entre le client et les modèles en amont. Ils peuvent lire sous forme de texte clair chaque charge JSON transportée. Le problème central est qu’à l’heure actuelle, aucun fournisseur de routeurs n’applique, entre le client et le modèle en amont, un contrôle strict d’intégrité chiffrée, ce qui fait du routeur un point d’insertion à haute valeur pour les attaques de chaîne d’approvisionnement.

Quatre constatations clés issues des tests de recherche

Injection active de code malveillant : 1 routeur payant et 8 routeurs gratuits (plus de 20 %) injectent activement du code malveillant dans les charges en transit

Mécanismes d’évitement adaptatifs : 2 routeurs ont déployé des déclencheurs capables d’échapper dynamiquement à la détection, pouvant masquer des comportements malveillants lors des revues de sécurité

Détection proactive des identifiants : 17 routeurs ont touché les identifiants AWS Canary déployés par les chercheurs, indiquant la présence de tentatives actives de vol de certificats

Vol d’actifs chiffrés : 1 routeur a volé ETH à partir de la clé privée détenue par les chercheurs, confirmant que la faille peut déjà entraîner directement une perte d’actifs on-chain

Les expériences d’empoisonnement révèlent davantage l’ampleur de la vulnérabilité : une clé API OpenAI divulguée a été utilisée pour générer 100 millions de tokens GPT-5.4 ; des leurres avec une configuration plus faible ont produit 200 millions de tokens facturables, 99 certificats sur 440 sessions Codex, ainsi que 401 sessions exécutées en mode autonome « YOLO »

Fuite du code de Claude : de la négligence humaine à la chaîne d’attaque exploitée par des pirates

Fin mars 2026, un fichier de correspondance de source (Source Map File) du code Java dans le dépôt NPM du code de Claude a été accidentellement rendu public ; de nombreux développeurs l’ont alors téléchargé et diffusé. Anthropic reconnaît qu’il y a bien eu une fuite de code source interne, due à une négligence humaine.

Cependant, les pirates ont rapidement transformé cet incident en vecteur d’attaque. Zscaler a découvert que des attaquants, sous le nom de « Claude Code Leak », disséminaient sur GitHub des archives ZIP, en affirmant qu’elles contenaient une version spéciale de code Claude, compilée à partir du code source divulgué, dotée de fonctionnalités de niveau entreprise et sans limitations de messagerie. Si les développeurs exécutaient les instructions, leurs appareils étaient alors infectés par le logiciel de vol d’informations Vidar et par des outils de serveur proxy GhostSocks. Cette chaîne d’attaque exploite avec précision la curiosité des développeurs et l’attention portée à l’incident officiel de fuite : c’est une attaque composite typique combinant ingénierie sociale et logiciels malveillants.

Mécanismes de défense : trois couches de protections côté client validées par la recherche

L’équipe de recherche a également développé un agent de recherche appelé Mine, qui a validé trois mécanismes de défense efficaces côté client :

Gating de politique de coupe-circuit (Circuit Breaker Policy Gating) : lorsqu’un comportement anormal du routeur est détecté, la connexion est automatiquement coupée pour empêcher la transmission d’instructions malveillantes

Contrôle d’anomalies côté réponse (Response-side Anomaly Screening) : vérification de l’intégrité des réponses renvoyées par le routeur pour identifier le contenu altéré

Journalisation transparente en mode append-only (Append-only Transparent Logging) : création de journaux d’audit d’opérations immuables, pour la traçabilité et l’analyse a posteriori

Questions fréquentes

Qu’est-ce qu’un routeur d’API LLM, et pourquoi son existence constitue-t-elle un risque de sécurité pour la chaîne d’approvisionnement ?

Un routeur d’API LLM est un service tiers agissant comme proxy entre une application d’IA et un fournisseur de modèles en amont, capable d’aiguiller les requêtes d’appel d’outils vers plusieurs fournisseurs en amont. Comme le routeur peut lire en clair toute la charge JSON transportée, et qu’il n’existe actuellement pas de protection de chiffrement de bout en bout, un routeur malveillant ou compromis peut injecter du code malveillant, voler des identifiants d’API ou dérober des actifs chiffrés en toute discrétion, sans que l’utilisateur n’en ait connaissance.

Quelles sont les causes de l’incident de fuite du code de Claude, et pourquoi a-t-il été exploité par des pirates ?

La fuite du code de Claude provient du fait que du personnel interne d’Anthropic a, par accident, exposé des fichiers de correspondance de code source Java dans le dépôt NPM. Après que l’incident a suscité une large attention, des pirates ont profité de la curiosité des développeurs vis-à-vis du contenu divulgué, en diffusant sur GitHub des paquets d’archives malveillants déguisés en « code divulgué », réussissant à amener les utilisateurs cibles à installer activement des logiciels malveillants.

Comment les développeurs peuvent-ils se protéger dans ce type d’attaque de chaîne d’approvisionnement ?

Les mesures de défense clés incluent : n’utiliser que des services de routeurs provenant de sources dignes de confiance et disposant d’un historique d’audit de sécurité explicite ; refuser de télécharger du code « version spéciale » prétendument disponible depuis des canaux non officiels ; appliquer le principe du moindre privilège dans la gestion des identifiants d’API ; et activer, dans le cadre des agents LLM, la détection d’anomalies côté réponse afin d’éviter la perte d’actifs on-chain si le routeur est compromis.