# CVE Articles associés

Avec un accès illimité aux données ! Ce populaire outil de programmation IA révèle une faille majeure

Anthropic, dont le positionnement est axé sur la sécurité, a vu son outil de développement Claude Code exposé à une vulnérabilité majeure dans son bac à sable réseau. Cette faille, présente depuis le lancement de la fonctionnalité en octobre 2025, permettait de contourner complètement les restrictions d'accès au réseau. Le chercheur en sécurité indépendant Aonan Guan a découvert et divulgué un contournement complet du proxy SOCKS5 du bac à sable. L'attaque, une injection d'octet nul dans le protocole SOCKS5, exploitait une différence d'interprétation entre la couche JavaScript (filtrage) et la couche C (résolution DNS). Cela permettait à un processus dans le bac à sable de se connecter à n'importe quel hôte, malgré une liste blanche de domaines configurée par l'utilisateur. Combinée à une attaque par injection de prompt (précédemment révélée), cette vulnérabilité aurait permis l'exfiltration de données sensibles comme des clés API ou des identifiants. Anthropic a corrigé la faille silencieusement en avril 2026, sans publier d'avis de sécurité, de CVE ou d'information aux utilisateurs. Ce manque de transparence signifie que les utilisateurs de versions antérieures ignoraient que leurs systèmes étaient vulnérables pendant près de cinq mois et demi. Cette approche, similaire au traitement d'un précédent contournement, soulève des questions sur la communication de sécurité de l'entreprise. L'incident met en lumière les risques d'une confiance excessive dans les mécanismes de sécurité des assistants d'IA et souligne la nécessité d'une défense en profondeur et d'une plus grande transparence de la part des fournisseurs.

marsbitIl y a 12 h