Anthropic n’a pas contesté le rapport de sécurité, mais a suggéré que cela serait uniquement dû à une erreur de l’utilisateur, où les utilisateurs ont délibérément installé les outils et accordé les autorisations appropriées.
Lorsque LayerX Security a publié lundi un rapport décrivant ce qu’il appelle « une vulnérabilité RCE critique sans clic dans les extensions de bureau Claude (DXT) d’Anthropic qui permet à une invitation malveillante de Google Calendar de compromettre silencieusement un système entier », les analystes, les consultants, les responsables de la sécurité et même Anthropic n’ont pas contesté les faits.
Mais cette révélation a relancé le débat sur la question de savoir s’il est de la responsabilité des fournisseurs d’IA de proposer des produits sécurisés et sécurisés, ou si c’est la responsabilité des RSSI de modifier les paramètres pour les adapter à leur environnement commercial.
« Contrairement aux extensions de navigateur traditionnelles, les extensions de bureau Claude fonctionnent sans bac à sable avec tous les privilèges du système. En conséquence, Claude peut chaîner de manière autonome des connecteurs à faible risque, tels que Google Calendar, à des exécuteurs locaux à haut risque sans que l’utilisateur en soit conscient ou sans son consentement », indique le rapport. « Si elle est exploitée par un acteur malveillant, même une invite inoffensive, associée à un événement de calendrier formulé de manière malveillante, suffit à déclencher l’exécution de code local arbitraire qui compromet l’ensemble du système. Cela crée des violations des limites de confiance à l’échelle du système dans les flux de travail pilotés par LLM, ce qui entraîne une surface d’attaque large et non résolue qui rend les connecteurs MCP dangereux pour les systèmes sensibles en matière de sécurité. LayerX a contacté Anthropic avec nos conclusions, mais la société a décidé de ne pas y remédier pour le moment. «
Roy Ben Alta, PDG du fournisseur d’IA Oakie.ai et ancien directeur de l’IA pour Meta, a déclaré que le problème est réel, mais qu’il en dit davantage sur la façon dont Anthropic a architecturé ses systèmes et sur son choix de fonctionner comme une extension de navigateur et de bureau.
« Le cadre (dans le rapport) qu’Anthropic a « refusé de corriger » passe à côté de l’essentiel », a-t-il déclaré. « Vous ne pouvez pas empêcher les agents autonomes d’être capables d’enchaîner des actions. C’est leur objectif. La solution réside dans des contrôles de déploiement appropriés, comme n’importe quel logiciel d’entreprise avec un accès privilégié. »
Un problème d’architecture
Il a souligné que le problème n’est pas propre à Anthropic ; tout agent d’IA disposant à la fois de capacités d’accès aux données externes et de capacités d’exécution locale offre des voies potentielles d’élévation de privilèges. « C’est l’architecture, pas un bug », a-t-il déclaré. « Anthropic devrait améliorer les limites d’autorisation et la gestion rapide. Les entreprises doivent contrôler quelles extensions sont déployées et surveiller leur utilisation. »
Steven Eric Fisher, un conseiller indépendant en cybersécurité et en risques qui a été directeur de la cybersécurité, des risques et de la conformité chez Walmart jusqu’en août 2025, a convenu que le problème est basé sur la façon dont Anthropic DXT a été conçu pour fonctionner, par opposition à un défaut technique.
« La couche de gestion des privilèges et des accès est un problème difficile au niveau d’un poste de travail individuel, sans parler d’essayer de gérer cela au niveau de l’entreprise. Les extensions de bureau et les navigateurs IA ne gèrent pas l’identité et les privilèges comme le fait un système d’exploitation mature », a déclaré Fisher. « L’informatique et la cybersécurité ne peuvent pas remédier directement à l’absence de capacité articulée dans les systèmes d’outils. Ils disposent d’une expérience et d’un ensemble d’outils pour gérer certaines limites au sein d’un environnement de bureau ou, dans certains cas, les comportements des applications. Mais cela revient à essayer de mettre des cordes autour du ring, ce qui ne gère pas ce qui se passe sur le ring ni tous les risques impliqués. »
Les chercheurs de LayerX Security ont déclaré que même s’il est vrai que ces problèmes d’autorisations/paramètres existent à des degrés divers chez tous les fournisseurs d’IA, l’approche d’Anthropic avec DXT aggrave encore le problème de sécurité.
La différence est « frappante »
Roy Paz, chercheur principal en sécurité de l’IA chez LayerX Security, a déclaré qu’il avait testé DXT avec Comet de Perplexity, Atlas d’OpenAI et CoPilot de Microsoft, et que les différences étaient frappantes.
« Lorsque vous demandez à Copilot, Atlas ou Perplexity d’utiliser un outil, il l’utilisera pour vous. Mais Claude DXT permet aux outils de communiquer avec d’autres outils, (comme) dans Google Calendar vers Desktop Commander, et peut le faire sans consulter l’utilisateur afin d’accomplir une tâche », a déclaré Paz. Avec ces autres fournisseurs, a-t-il noté, « si l’agent veut faire quelque chose qui dépasse le cadre des instructions explicites de l’utilisateur, il demandera l’autorisation, mais avec celui de Claude DXT, l’utilisateur n’est pas consulté ».
Eyal Arazi, responsable de la stratégie produit de LayerX, a également souligné les différents choix d’architecture et de paramètres d’Anthropic.
La plupart des fournisseurs de modèles d’IA développent actuellement des produits agents basés sur une plate-forme de navigateur, un environnement hautement sandbox et fortement isolé du système d’exploitation sous-jacent, a-t-il souligné. Cela signifie que même si les navigateurs à IA agentique ont leurs propres vulnérabilités, la compromission d’un navigateur ne donne pas accès au système de fichiers sous-jacent ni n’offre la possibilité d’exécuter du code à distance directement sur le système d’exploitation sous-jacent.
« Claude, cependant, fait les choses différemment », a déclaré Arazi. « Il s’agit d’une extension de navigateur actuellement uniquement sur Chrome, avec un agent de bureau couplé basé sur MCP. Bien que certaines solutions de navigateur telles que Dia, Microsoft et Google ne soient pas encore entièrement agents, la solution de Claude est véritablement agent. » Contrairement aux navigateurs, ils ont un accès direct au système de fichiers, donc la combinaison de capacités d’agent complètes et d’accès direct au système de fichiers crée une combinaison dangereuse, a-t-il noté. « C’est pourquoi il s’agit spécifiquement d’un problème d’implémentation d’Anthropic, que les autres navigateurs agents n’ont pas. »
La responsabilité incombe aux utilisateurs, déclare Anthropic
Anthropic a confirmé une grande partie du rapport, mais a déclaré qu’il incombe aux utilisateurs d’utiliser les produits correctement, en fonction de leur environnement.
« L’intégration MCP de Claude Desktop est un outil de développement local dans lequel les utilisateurs configurent et accordent explicitement des autorisations aux serveurs qu’ils choisissent d’exécuter », a déclaré la porte-parole d’Anthropic, Jennifer Martinez. « Pour être clair, la situation décrite dans l’article nécessite qu’un utilisateur ciblé ait intentionnellement installé ces outils et ait accordé l’autorisation de les exécuter sans invite. Nous recommandons aux utilisateurs de faire preuve de la même prudence lors de l’installation de serveurs MCP que lors de l’installation d'(autres) logiciels tiers. «
Martinez a ajouté que les utilisateurs configurent et accordent explicitement des autorisations aux serveurs MCP qu’ils choisissent d’exécuter localement, et que ces serveurs ont accès aux ressources en fonction des autorisations de l’utilisateur. « Étant donné que les utilisateurs conservent un contrôle total sur les serveurs MCP qu’ils activent et sur les autorisations dont disposent ces serveurs, la limite de sécurité est définie par les choix de configuration de l’utilisateur et les contrôles de sécurité existants de leur système », a-t-elle déclaré. « Les injections rapides sont un problème auquel tous les LLM sont sensibles, et Anthropic, ainsi que le reste de l’industrie de l’IA, s’efforcent de les combattre. »
Beaucoup de reproches à partager
La faute de cette faiblesse ne peut être attribuée à aucune source, a déclaré Fisher ; qu’il y a beaucoup de reproches à partager, notamment la lenteur des normes industrielles.
« Anthropic ou toute autre entreprise d’IA ne peut pas réparer ce qui n’est pas bien défini. Sans une norme commune, au mieux, elles pourraient produire une mise en œuvre sur mesure des droits », a-t-il souligné. « Le taux d’innovation, à mon avis, dépasse de loin la capacité d’identifier une norme de sécurité commune à mettre en œuvre autour des résultats. Les gens travaillent sur le défi (dans la mesure où) il existe un groupe qui travaille sur une norme de sécurité MCP. »
Mais c’est un travail en cours. « À l’heure actuelle », a-t-il déclaré, « il s’agit d’une (approche) rapide et innovante, qui repose en grande partie sur les contrôles de sécurité sous-jacents existants. Les systèmes existants ne peuvent tout simplement pas faire face à ce qui sera nécessaire pour articuler ce qui est nécessaire ou autorisé à la portée de l’IA. «
Cependant, Frank Dickson, vice-président du groupe pour la sécurité et la confiance chez IDC, s’est opposé à l’idée selon laquelle il s’agirait d’un problème commun à tous les agents autonomes.
« Il ne s’agit pas simplement d’une réalité, compte tenu des agents autonomes. Il s’agit du fait qu’un nouvel éditeur de logiciels étend son offre dans un espace inconnu, pour lequel il ne comprend pas les implications », a déclaré Dickson. « Ce bug vise davantage à renforcer la nécessité de sécuriser et de contrôler le navigateur plutôt qu’à Anthropic de publier un navigateur dangereux. »
Les startups de logiciels aiment échouer rapidement, a-t-il noté, mais elles ressentent le poids de tous les échecs. « Si ce n’est pas Anthropic qui fait une erreur, ce sera quelqu’un d’autre », a-t-il déclaré. « Anthropic n’obtient pas de laissez-passer, mais les organisations devraient s’attendre à ce que les startups commettent de telles erreurs et mettent en place des mesures pour contrôler et sécuriser leurs navigateurs. »
Pas une solution facile
Paz de LayerX a déclaré que ce problème ne serait pas facile à résoudre pour Anthropic car il est profondément enraciné dans les décisions architecturales. « Ce n’est pas une solution d’une demi-heure. Cela vaut des semaines de réparation. Cela va les obliger à procéder à une refonte complète. »
Rock Lambros, PDG de la société de sécurité RockCyber, a ajouté qu’il ne considérerait pas le problème anthropique comme un jour zéro, mais que cela reste un problème.
« C’est le résultat prévisible du fait de laisser un agent d’IA enchaîner une source de données inoffensive à un exécuteur de code privilégié sans porte de confirmation. Anthropic a déjà construit le sandboxing pour Claude Code, donc la défense » c’est comme ça que fonctionnent les agents « s’est effondrée lorsqu’ils ont livré des extensions de bureau sans cela », a déclaré Lambros. « Chaque entreprise qui déploie des agents doit actuellement répondre : « Avons-nous restreint les privilèges de chaînage d’outils avant l’activation, ou avons-nous remis la clé principale au stagiaire et sommes-nous allés déjeuner ? »
