Discussion :

[Jade Emy]

Anthropic vient de transformer Claude Code en Cowork : il s'agit du premier véritable agent IA polyvalent, qui n'est pas seulement un outil de codage, mais un outil universel

Anthropic a lancé Cowork, une nouvelle fonctionnalité pour sa plateforme IA Claude, disponible en avant-première pour les abonnés Claude Max sur macOS. La société américaine spécialisée dans l'IA a déclaré que Cowork permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. Contrairement aux interactions standard par chat, Cowork permet à Claude d'exécuter des tâches avec plus d'autonomie, tout en tenant les utilisateurs informés et en exigeant leur approbation pour les actions importantes.

Anthropic est une société américaine d'intelligence artificielle (IA) fondée en 2021. Elle a développé une famille de grands modèles de langage (LLM) nommée Claude. Claude Code est un assistant d'IA de codage développé par Anthropic et accessible depuis un terminal. Claude Code comprend la base de code et aide à coder plus rapidement grâce à des commandes en langage naturel. Ses principales fonctionnalités sont : éditer des fichiers et corriger de bogues dans la base de code, répondre aux questions sur l'architecture et la logique du code, exécuter et corriger des tests, faire du linting, ainsi que de nombreuses autres commandes.

Récemment, Anthropic a lancé Cowork, une nouvelle fonctionnalité pour sa plateforme IA Claude, disponible en avant-première pour les abonnés Claude Max sur macOS. La société américaine spécialisée dans l'IA a déclaré que Cowork permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. Les tâches vont de l'organisation des téléchargements et de la création de feuilles de calcul à la rédaction de documents à partir de notes.

Contrairement aux interactions standard par chat, Cowork permet à Claude d'exécuter des tâches avec plus d'autonomie, tout en tenant les utilisateurs informés et en exigeant leur approbation pour les actions importantes. Les utilisateurs peuvent contrôler les dossiers et les connecteurs auxquels Claude peut accéder, mais la société avertit que des instructions claires sont nécessaires pour éviter toute suppression involontaire de fichiers.

Anthropic déclare notamment pour le lancement de Cowork : "Lorsque nous avons lancé Claude Code, nous pensions que les développeurs l'utiliseraient pour coder. C'est ce qu'ils ont fait, mais ils ont rapidement commencé à l'utiliser pour presque tout le reste. Cela nous a incités à créer Cowork : un moyen plus simple pour tout le monde, et pas seulement pour les développeurs, de travailler avec Claude de la même manière. Cowork est disponible dès aujourd'hui en avant-première pour les abonnés à Claude Max sur notre application macOS, et nous allons rapidement l'améliorer à partir de là."

En quoi l'utilisation de Cowork diffère-t-elle d'une conversation normale ?

Dans Cowork, vous donnez à Claude l'accès à un dossier de votre choix sur votre ordinateur. Claude peut alors lire, modifier ou créer des fichiers dans ce dossier. Il peut, par exemple, réorganiser vos téléchargements en triant et en renommant chaque fichier, créer une nouvelle feuille de calcul avec une liste de dépenses à partir d'une pile de captures d'écran, ou produire une première ébauche de rapport à partir de vos notes éparpillées.

Dans Cowork, Claude accomplit ce type de tâches avec beaucoup plus d'autonomie que dans une conversation classique. Une fois que vous lui avez assigné une tâche, Claude établit un plan et l'exécute méthodiquement, tout en vous tenant informé de ses progrès. Si vous avez déjà utilisé Claude Code, cela vous semblera familier : Cowork repose sur les mêmes fondements. Cela signifie que Cowork peut prendre en charge bon nombre des tâches que Claude Code est capable d'accomplir, mais sous une forme plus accessible pour les tâches ne nécessitant pas de codage.

Une fois que vous maîtrisez les bases, vous pouvez rendre Cowork encore plus puissant. Claude peut utiliser vos connecteurs existants, qui relient Claude à des informations externes, et dans Cowork, ils ont ajouté un ensemble initial de compétences qui améliorent la capacité de Claude à créer des documents, des présentations et d'autres fichiers. Si vous associez Cowork à Claude dans Chrome, Claude peut également accomplir des tâches qui nécessitent un accès au navigateur.

Cowork est conçu pour rendre l'utilisation de Claude pour de nouvelles tâches aussi simple que possible. Vous n'avez pas besoin de fournir manuellement le contexte ou de convertir les résultats de Claude dans le bon format. Vous n'avez pas non plus à attendre que Claude ait terminé pour proposer d'autres idées ou commentaires : vous pouvez mettre les tâches en file d'attente et laisser Claude les traiter en parallèle. Cela ressemble beaucoup moins à un va-et-vient et beaucoup plus à laisser des messages à un collègue.

Gardez le contrôle

Dans Cowork, vous pouvez choisir les dossiers et les connecteurs que Claude peut voir : Claude ne peut lire ou modifier que ce à quoi vous lui donnez explicitement accès. Claude vous demandera également votre avis avant de prendre des mesures importantes, afin que vous puissiez le guider ou le corriger si nécessaire.

Cela dit, il y a encore des choses à savoir avant de donner le contrôle à Claude. Par défaut, il est important de savoir que Claude peut prendre des mesures potentiellement destructrices (telles que la suppression de fichiers locaux) si on lui en donne l'instruction. Comme il existe toujours un risque que Claude interprète mal vos instructions, vous devez lui donner des directives très claires à ce sujet.

Vous devez également être conscient du risque d'« injections de prompt » : les tentatives des attaquants de modifier les plans de Claude par le biais de contenus qu'il pourrait rencontrer sur Internet. Anthropic affirme avoir mis en place des défenses sophistiquées contre les injections de prompt, mais la sécurité des agents, c'est-à-dire la tâche consistant à sécuriser les actions de Claude dans le monde réel, reste un domaine de développement actif dans l'industrie. Il est recommandé de prendre des précautions, en particulier pendant que vous apprenez comment il fonctionne.

Anthropic commente l'annonce : "Il s'agit d'un aperçu de recherche. Nous lançons Cowork en avant-première, car nous voulons savoir comment les utilisateurs l'utilisent et comment ils pensent qu'il pourrait être amélioré. Nous vous encourageons à tester les fonctionnalités de Cowork et à essayer des choses qui, selon vous, ne fonctionneront pas : vous pourriez être surpris ! À mesure que nous en apprendrons davantage grâce à cette version préliminaire, nous prévoyons d'apporter de nombreuses améliorations (notamment en ajoutant la synchronisation entre appareils et en le rendant disponible sur Windows), et nous identifierons d'autres moyens de le rendre plus sûr."

Cette annonce intervient alors qu'un rapport révèle qu'Anthropic s'approche d'un tour de table de 10 milliards de dollars mené par GIC et Coatue, qui la valorise à 350 milliards de dollars avant financement, quelques mois seulement après une levée de fonds de 13 milliards de dollars à 183 milliards de dollars. Ce financement arrive à un moment charnière pour Anthropic. L'entreprise se distingue de ses concurrents en mettant l'accent sur l'IA constitutionnelle, c'est-à-dire des modèles conçus avec des directives éthiques intégrées. Cette évolution souligne la concurrence intense et les valorisations vertigineuses dans le secteur de l'IA.

Source : Anthropic

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Anthropic bloque l'utilisation par des clients tiers des abonnements à Claude Code : la fin de l'interopérabilité et de l'ouverture des outils de dev ou simple épisode dans la bataille des assistants IA ?

L'assistant d'IA de codage Claude Code corrige rapidement et efficacement les bogues dans les codes hérités sans que l'utilisateur ait besoin de préciser le contexte, selon le rapport de test d'un programmeur

L'IA agentique expliquée : Un cadre philosophique pour comprendre les agents d'IA, par David Barkol

[Anthony]

Claude Cowork d'Anthropic exfiltre vos fichiers : l'agent IA est vulnérable aux attaques d'exfiltration de fichiers via injection de prompt indirecte, en raison de failles d'isolation connues mais non résolues

Claude Cowork, l'agent d'intelligence artificielle (IA) d'Anthropic, serait vulnérable aux attaques d'exfiltration de fichiers par injection de prompt indirecte, résultant d'une faille d'isolation précédemment divulguée, mais non résolue. Les chercheurs de PromptArmor ont démontré qu'il était possible pour les pirates informatiques de dissimuler des instructions malveillantes dans des documents téléchargés, incitant ainsi Cowork à transmettre des fichiers locaux au compte Anthropic de l'attaquant, sans l'accord de l'utilisateur. Cette faille permet de contourner les restrictions réseau en abusant de l'accès fiable à l'API d'Anthropic, ce qui peut exposer des données financières sensibles et des informations personnelles.

Anthropic PBC est une entreprise américaine spécialisée dans l'IA fondée en 2021. Elle a développé une famille de grands modèles de langage (LLM) baptisée Claude. L'entreprise mène des recherches et développe des IA afin d'« étudier leurs propriétés de sécurité à la frontière technologique » et utilise ces recherches pour déployer des modèles sûrs pour le public.

Claude est une série de grands modèles de langage développés par Anthropic. Le premier modèle, Claude 1, a été lancé en mars 2023, et le dernier, Claude Opus 4.5, en novembre 2025. Les données d'entraînement de ces modèles proviennent de sources telles que des textes trouvés sur Internet, des données fournies par des prestataires rémunérés et des utilisateurs de Claude.

Cette vulnérabilité apparaît alors qu’Anthropic vient de lancer Cowork, la nouvelle évolution de Claude Code en agent IA polyvalent et généraliste. Disponible en avant-première depuis le 12 janvier 2026 pour les abonnés Claude Max sur macOS, Cowork permet à Claude d'accéder à un dossier local de l'ordinateur de l'utilisateur afin de lire, modifier ou créer des fichiers. Il offre un niveau d'autonomie accru par rapport aux interactions classiques par chat, tout en tenant les utilisateurs informés et en exigeant leur approbation pour les actions importantes.

Claude Cowork exfiltrates user files by uploading them to an attacker's Anthropic account.

Contexte

Récemment, Anthropic a publié un aperçu de Claude Cowork (un agent IA polyvalent destiné à aider tout un chacun dans son travail quotidien). Le 15 janvier dernier, l'équipe de PromptArmor a montré comment des pirates peuvent exfiltrer des fichiers utilisateur de Cowork en exploitant une vulnérabilité non corrigée dans l'environnement de codage de Claude, qui s'étend désormais à Cowork. Cette vulnérabilité a été identifiée pour la première fois dans le chat Claude.ai avant l'existence de Cowork par Johann Rehberger, qui l'a divulguée. Elle a été reconnue mais n'a pas été corrigée par Anthropic.

Anthropic a averti les utilisateurs que « Cowork est une version préliminaire de recherche présentant des risques particuliers en raison de sa nature agentique et de son accès à Internet ». Il est recommandé aux utilisateurs d'être attentifs aux actions suspectes pouvant indiquer une injection rapide. Cependant, comme cette fonctionnalité est destinée à être utilisée par le grand public et non pas seulement par des utilisateurs techniques, Simon Willison a exprimé son opinion : « Je ne pense pas qu'il soit juste de dire aux utilisateurs lambda qui ne sont pas programmeurs de faire attention aux "actions suspectes pouvant indiquer une injection immédiate !" »

Comme Anthropic a reconnu ce risque et a demandé aux utilisateurs « d'éviter d'accorder l'accès aux fichiers locaux contenant des informations sensibles » (tout en encourageant l'utilisation de Cowork pour organiser le bureau de l'utilisateur), l'équipe de PromptArmor a choisi de divulguer publiquement la démonstration d'une menace dont les utilisateurs doivent être conscients.

« En sensibilisant les utilisateurs, nous espérons leur permettre de mieux identifier les types d'« actions suspectes » mentionnées dans l'avertissement d'Anthropic », a déclaré PromptArmor.

La chaîne d'attaque

Cette attaque exploite la liste blanche de l'API Anthropic pour extraire des données de l'environnement VM de Claude (qui restreint la plupart des accès réseau).

1. La victime connecte Cowork à un dossier local contenant des fichiers real estate confidentiels.

A real estate folder is attached to Claude Cowork, containing confidential appraisals and loan estimates.

2. La victime télécharge un fichier sur Claude qui contient une injection de prompt cachée

Dans les cas d'utilisation courants, cela est assez fréquent : un utilisateur trouve un fichier en ligne qu'il télécharge sur Claude Code. Cette attaque ne dépend pas de la source d'injection. Les autres sources d'injection comprennent, sans s'y limiter : les données web de Claude pour Chrome, les serveurs MCP connectés, etc. Dans ce cas, l'attaque utilise le fichier comme une « Skills » Claude (bien que, comme mentionné, il puisse également s'agir d'un document ordinaire), car il s'agit d'une convention de fichier généralisable que les utilisateurs sont susceptibles de rencontrer, en particulier lorsqu'ils utilisent Claude.

Remarque : Les Skills sont des fichiers Markdown canoniques (que les utilisateurs n'examinent généralement pas de près). Cependant, l'équipe de PromptArmor a présenté quelque chose de plus intéressant : l'utilisateur télécharge un fichier .docx (tel que ceux qui peuvent être partagés sur un forum en ligne), qui se présente comme une Skills. Le contenu semble être du Markdown qui vient d'être enregistré après avoir été modifié dans Word. En réalité, cette astuce permet aux attaquants de dissimuler l'injection à l'aide d'une police de 1 point, d'un texte blanc sur fond blanc et d'un interligne réglé sur 0,1, ce qui la rend pratiquement impossible à détecter.

The 'skill' document uploaded by the user contains a concealed prompt injection.

3. La victime demande à Cowork d'analyser ses fichiers à l'aide de la « skill » Real Estate qu'elle a téléchargée.

Claude reads the uploaded 'skill' document, using another skill that allows Claude to read docx.

4. L'injection manipule Cowork pour qu'il télécharge des fichiers sur le compte Anthropic de l'attaquant.

L'injection indique à Claude d'utiliser une commande « curl » pour envoyer une requête à l'API de téléchargement de fichiers Anthropic avec le fichier le plus volumineux disponible. L'injection fournit ensuite la clé API de l'attaquant, afin que le fichier soit téléchargé sur le compte de ce dernier.

À aucun moment dans ce processus, l'approbation humaine n'est requise.

Claude is manipulated by the prompt injection to make a cURL request, uploading the Loan Estimate to the attacker's Anthropic account.

Si l'on développe le bloc « Running command », on peut voir la requête malveillante en détail :

API call uploading the user's file to the attacker's Anthropic account (by using the attacker's API key from the injection).

Le code exécuté par Claude est lancé dans une machine virtuelle, ce qui limite les requêtes réseau sortantes à presque tous les domaines, mais l'API Anthropic passe inaperçue car elle est considérée comme fiable, ce qui permet à cette attaque d'aboutir.

5. Le compte de l'attaquant contient le fichier de la victime, ce qui lui permet de communiquer avec elle.

Victim's file has been uploaded to the attackers account. Attacker can use the file ID to chat with it.


The attacker can now query Claude and ask about the victim's document.

Le fichier exfiltré contient des données financières et des informations personnelles identifiables, notamment des numéros de sécurité sociale partiels.

Remarque sur la résilience spécifique au modèle

L'exploitation ci-dessus a été démontrée contre Claude Haiku. Bien que Claude Opus 4.5 soit connu pour être plus résistant aux injections, Opus 4.5 dans Cowork a été manipulé avec succès via une injection indirecte pour exploiter la même vulnérabilité de téléchargement de fichiers afin d'exfiltrer des données dans un test qui considérait qu'un « utilisateur » téléchargeait un guide d'intégration malveillant lors du développement d'un nouvel outil d'IA :

Opus 4.5 exfiltrates customer records to attacker's Anthropic account.

L'équipe de PromptArmor explique que, comme cette présentation s'adressait davantage aux utilisateurs quotidiens qu'aux développeurs, elle a choisi de présenter la chaîne d'attaque ci-dessus plutôt que celle-ci.

DOS via des fichiers mal formés

L'équipe de PromptArmor souligne une découverte intéressante : l'API de Claude rencontre des difficultés lorsqu'un fichier ne correspond pas au type qu'il prétend être. Lorsqu'il traite un fichier PDF mal formé (qui se termine par .pdf, mais qui est en réalité un fichier texte contenant quelques phrases), après avoir essayé de le lire une fois, Claude commence à générer une erreur API dans chaque conversation suivante.

Attempting to read a file with the wrong extension provokes repeated API errors

PromptArmor émet l'hypothèse qu'il est probablement possible d'exploiter cette faille via une injection indirecte pour provoquer une attaque par déni de service limité (par exemple, une injection peut inciter Claude à créer un fichier mal formé, puis à le lire). Selon l'équipe, le téléchargement du fichier mal formé via l'API des fichiers a entraîné l'affichage de notifications avec un message d'erreur, à la fois dans le client Claude et dans la console Anthropic.

Rayon d'action agentique

L'une des principales fonctionnalités pour lesquelles Cowork a été créé est la possibilité d'interagir avec l'ensemble de son environnement de travail quotidien. Cela inclut le navigateur et les serveurs MCP, offrant des fonctionnalités telles que l'envoi de SMS, le contrôle d'un Mac avec AppleScripts, etc.

Ces fonctionnalités rendent de plus en plus probable que le modèle traite à la fois des sources de données sensibles et non fiables (que l'utilisateur ne vérifie pas manuellement pour détecter les injections), ce qui fait de l'injection rapide une surface d'attaque en constante augmentation. PromptArmor invite les utilisateurs à faire preuve de prudence lors de la configuration des connecteurs.

« Bien que cet article ait démontré une exploitation sans utiliser les connecteurs, nous pensons qu'ils représentent une surface de risque majeure susceptible d'avoir un impact sur les utilisateurs quotidiens », a déclaré l'équipe de PromptArmor.

La faille de sécurité dans Claude Code intervient alors qu’Anthropic a récemment révisé ses Conditions générales et sa politique de confidentialité. Depuis l’été 2025, l'IA Claude d'Anthropic s'entraîne désormais sur les données des utilisateurs, à moins d’une opposition explicite. Ce virage stratégique, motivé par des impératifs de compétitivité et de coûts, renforce les inquiétudes autour de la protection des données dans des environnements d’IA de plus en plus autonomes.

À propos de PromptArmor
Fondée à San Francisco, PromptArmor a été créée pour répondre aux nouveaux risques de sécurité liés à l'adoption croissante de l'IA par les entreprises. Composée de chercheurs en sécurité et de spécialistes en IA, la société a identifié des vulnérabilités jusqu'alors inconnues dans des plateformes telles que Slack et Writer.com. Son travail lui a valu la confiance de sociétés du classement Fortune 100, de grands prestataires de soins de santé, de cabinets d'avocats de premier plan et d'institutions financières. PromptArmor se concentre sur les nouveaux défis en matière de sécurité de l'IA, en proposant des outils conçus pour garantir le contrôle, la conformité et la protection sans dupliquer les solutions de sécurité existantes.

Source : PromptArmor

Et vous ?

Quel est votre avis sur le sujet ?
Trouvez-vous cette initiative de PromptArmor crédible ou pertinente ?

Voir aussi :

Anthropic bloque l'utilisation par des clients tiers des abonnements à Claude Code : la fin de l'interopérabilité et de l'ouverture des outils de dev ou simple épisode dans la bataille des assistants IA ?

L'assistant d'IA de codage Claude Code corrige rapidement et efficacement les bogues dans les codes hérités sans que l'utilisateur ait besoin de préciser le contexte, selon le rapport de test d'un programmeur

Anthropic, la start-up IA à l'origine de Claude, est sur le point de lever 10 milliards $, ce qui la valorise à 350 milliards $ avant financement, quelques mois seulement après avoir levé 13 milliards $

[Mathis Lucas]

Anthropic se vante d'avoir développé Claude Cowork grâce au vibe coding en « une semaine et demie », alors que l'assistant IA a été lancé avec une vulnérabilité connue en matière d'exfiltration de données

Anthropic a lancé Claude Cowork afin d'aider les non-codeurs dans leurs tâches quotidiennes. L'assistant permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. L'entreprise aurait mis au point ce nouveau produit en environ une semaine et demie, en utilisant principalement Claude Code lui-même. Mais Claude Cowork semble être un cauchemar en matière de sécurité. Une vulnérabilité critique identifiée permet aux attaquants d'exfiltrer des fichiers confidentiels des utilisateurs grâce à des injections de prompts cachées, un problème bien connu des systèmes d'IA.

Cowork exploite les capacités de Claude Code, mais est conçu pour les utilisateurs non techniques. Claude Code est déjà davantage un agent à usage général qu'un outil spécifique aux codeurs. Il est capable de créer des applications qui exécutent des fonctions pour les utilisateurs sur d'autres logiciels. Mais les non-codeurs ont été rebutés par le nom de Claude Code et par le fait que Claude Code doit être utilisé avec une interface spécifique au codage.

Cowork se distingue des précédents outils d'IA à usage général d'Anthropic par sa capacité à agir de manière autonome plutôt que de se contenter de fournir des conseils. L'outil peut accéder à des fichiers, contrôler un navigateur grâce à l'extension « Claude in Chrome » et même manipuler des applications en exécutant des tâches plutôt qu'en se contentant de suggérer comment les réaliser. Cowork vise à permettre aux utilisateurs de gagner du temps.

Boris Cherny, responsable de Claude Code chez Anthropic, a déclaré qu'il utilise Cowork pour la gestion de projets, envoyant automatiquement des messages aux membres de l'équipe sur Slack lorsqu'ils n'ont pas mis à jour les feuilles de calcul partagées. Il a déclaré avoir entendu parler d'autres cas d'utilisation, notamment celui d'un chercheur qui utilise Cowork pour passer au crible les archives d'un d'un musée à la recherche de collections de vannerie.

« Les ingénieurs se sentent libérés, ils n'ont plus à s'occuper de toutes ces tâches fastidieuses. Nous commençons à entendre la même chose à propos de Cowork, où les gens disent que toutes ces tâches fastidieuses (transférer des données entre des feuilles de calcul, intégrer Slack et Salesforce, organiser vos e-mails) sont prises en charge afin que vous puissiez vous concentrer sur le travail que vous voulez vraiment faire », a déclaré Cherny à Fortune.

Cowork : un outil créé par vibe coding présentant des lacunes en sécurité

Boris Cherney a déclaré sur X (ex-Twitter) que « tout » Cowork avait été développé à l'aide de Claude Code, l'outil de codage basé sur l'IA de l'entreprise. C'est un exemple de vibe coding, une approche basée sur l'IA où les utilisateurs créent des logiciels principalement à l'aide de prompts plutôt qu'en écrivant eux-mêmes du code. L'engouement suscité par Cowork a attiré davantage l'attention sur les assistants de vibe coding disponibles sur le marché.

Felix Rieseberg, membre du personnel technique d'Anthropic, a déclaré : « nous avons conçu Cowork de la même manière que nous voulons que les gens utilisent Claude : en décrivant ce dont nous avions besoin, en laissant Claude se charger de la mise en œuvre et en orientant le processus au fur et à mesure. Nous avons passé plus de temps à prendre des décisions concernant le produit et l'architecture qu'à écrire des lignes de code individuelles ».

« Il n'a fallu qu'une semaine et demie pour créer Cowork », a ajouté Felix Rieseberg. Il est important de rappeler que Cowork n'est encore qu'une version préliminaire, réservée aux abonnés de Claude Max utilisant macOS. Et il y a quelques limitations. Cowork ne fonctionne que sur l'application de bureau de Claude, et non sur mobile ou sur le Web. Il ne peut travailler que dans un seul dossier à la fois, et l'interface utilisateur peut être un peu déroutante.

Parmi les cas d'utilisation présentés par Anthropic pour Claude Cowork, on peut citer la réorganisation des téléchargements, la conversion des captures d'écran de reçus en feuilles de calcul de dépenses et la production de premières ébauches à partir des notes prises sur le bureau d'un utilisateur. Anthropic a décrit son nouvel assistant de travail comme étant « moins un échange de messages qu'un moyen de laisser des messages à un collègue ».

« Il s'agit d'un agent général qui semble bien placé pour faire découvrir les capacités extrêmement puissantes de Claude Code à un public plus large », a écrit Simon Willison, un programmeur basé au Royaume-Uni, à propos de cet outil. « Je serais très surpris si Gemini et OpenAI ne suivaient pas le mouvement avec leurs propres offres dans cette catégorie ». Toutefois, une faille de sécurité a été identifiée dans Cowork deux jours après son lancement.

Claude Cowork est vulnérable aux attaques par injection de prompts

Anthropic a lancé Cowork avec une vulnérabilité connue en matière d'exfiltration de données, signalée par des chercheurs en octobre 2025, mais qui n'avait toujours pas été corrigée lors de la sortie du produit le 13 janvier. Selon les chercheurs en sécurité de PromptArmor, la faille découverte dans Cowork permet aux attaquants de voler silencieusement les fichiers confidentiels des utilisateurs, notamment grâce à des injections de prompt cachées.

Le 15 janvier, PromptArmor avait publié une preuve de concept démontrant comment des pirates pouvaient voler des fichiers contenant des estimations de prêts, des données financières et des numéros de sécurité sociale partiels grâce à la même faille de l'API Files que le chercheur en sécurité Johann Rehberger avait signalée pour la première fois à Anthropic en octobre 2025 au sujet de Claude Code. Cette découverte soulève de vives préoccupations.

Le timing révèle une tendance inquiétante : la même faille qu'Anthropic avait écartée en octobre menace désormais un public beaucoup plus large d'utilisateurs non techniciens qui n'ont pas l'expertise nécessaire pour détecter quand leurs documents ou leurs informations confidentiels sont exfiltrés.

Comment fonctionne l'attaque

La méthode d'exploitation repose sur des astuces de formatage qui échappent à l'inspection humaine. Un attaquant dissimule un prompt malveillant dans un document Word en utilisant la police 1, du texte blanc sur fond blanc et un interligne de 0,1, rendant les instructions pratiquement invisibles. Lorsqu'un utilisateur télécharge ce fichier sur Cowork, Claude lit le prompt intégré et exécute une commande CURL ciblant l'API Files d'Anthropic.

La commande télécharge le plus gros fichier disponible sur le compte Anthropic de l'attaquant à l'aide de la clé API de ce dernier, sans qu'aucune autorisation humaine ne soit requise. Les gens font naturellement confiance aux fichiers qui semblent vides ou qui contiennent du contenu légitime, tandis que les instructions malveillantes rendues invisibles par des astuces de formatage restent indétectables, en particulier pour les utilisateurs non techniques.

Selon les chercheurs en sécurité de PromptArmor, cela transforme les documents de productivité quotidiens en vecteurs d'attaque que les utilisateurs ne peuvent pratiquement pas vérifier avant de les télécharger, ce qui sape fondamentalement le modèle de confiance qui rend le partage de documents fonctionnel.

Ce qui rend cette attaque particulièrement insidieuse, c'est la façon dont elle exploite une infrastructure de sécurité légitime. Le code exécuté par Claude fonctionne dans une machine virtuelle qui restreint les requêtes réseau sortantes à presque tous les domaines, mais l'API d'Anthropic elle-même est répertoriée comme fiable. Par exemple, un attaquant demande à Claude d'utiliser l'accès API légitime pour télécharger des fichiers vers un compte externe.

Les restrictions de sécurité de la VM ne bloquent pas la demande, car le domaine de destination figure sur la liste blanche, transformant ainsi l'infrastructure de sécurité en vecteur d'exfiltration. Lorsque les systèmes de sécurité traitent certaines destinations comme intrinsèquement sûres, ils ne peuvent pas distinguer l'utilisation légitime de l'utilisation malveillante de ces mêmes canaux, ce qui crée un angle mort que les attaquants peuvent exploiter.

Même les modèles avancés sont vulnérables

Les conclusions des chercheurs suggèrent que ce problème semble insoluble. La sophistication des grands modèles de langage (LLM) d'Anthropic n'offre aucune défense contre cette attaque. La démonstration de PromptArmor a testé à la fois Claude Haiku et Claude Opus 4.5 dans Cowork. Le fichier de démonstration exfiltré contenait des données financières et des informations personnelles identifiables, notamment des numéros de sécurité sociale partiels.

Même le modèle phare d'Anthropic a été victime de cette attaque, car l'injection de prompt exploite les vulnérabilités architecturales plutôt que les lacunes du modèle en matière d'intelligence. La faille réside dans la manière dont le système traite les instructions provenant des documents téléchargés, et non dans la capacité du modèle à comprendre ces instructions, ce qui signifie que les capacités de raisonnement avancé n'offrent aucune protection.

Une classe de vulnérabilités irréparables

La faille de l'API Files appartient à une catégorie de vulnérabilités que l'industrie de l'IA a reconnu ne pas pouvoir éliminer. Les commentaires du chercheur en sécurité Johann Rehberger, qui a signalé la vulnérabilité pour la première fois, soulignent comment la caractérisation initiale par Anthropic du problème de l'API Files comme un problème de « sécurité du modèle » a occulté sa nature de vulnérabilité de sécurité nécessitant une réflexion antagoniste.

L'injection de prompt représente un défi qui dépasse le cadre d'Anthropic et s'étend à l'ensemble du paysage du déploiement de l'IA. OpenAI a reconnu que « l'injection de prompt, tout comme les escroqueries et l'ingénierie sociale sur le Web, a peu de chances d'être un jour complètement résolue ».

Cette vulnérabilité à l'échelle de l'industrie devient particulièrement préoccupante étant donné le nombre limité d'organisations qui ont déployé des défenses. Face aux critiques des chercheurs, Anthropic s'est engagé à corriger cette vulnérabilité. Anthropic a déclaré qu'il prévoyait de publier une mise à jour de la VM de Cowork afin d'améliorer son interaction avec l'API vulnérable. Mais les experts se montrent sceptiques quant à l'efficacité de ce correctif.

La société n'a pas précisé si la mise à jour corrigerait entièrement la vulnérabilité d'exfiltration de l'API Files ou mettrait en place des contrôles supplémentaires autour du téléchargement de fichiers.

Vibe coding : le rapide prend-il le pas sur les bonnes pratiques ?

Selon les critiques, le cycle de développement rapide dont Anthropic s'est félicité a peut-être contribué à cette négligence en matière de sécurité. Anthropic a vanté le fait que Cowork avait été développé en seulement une semaine et demie, entièrement écrit par Claude Code, illustrant ainsi les capacités de l'ingénierie assistée par l'IA. Mais de nombreux programmeurs estiment que le vibe coding est la pire idée dans le domaine de l'ingénierie logicielle.

Le lancement d'un agent de gestion de fichiers destiné à des utilisateurs non techniques, avec une vulnérabilité connue de l'API Files trois mois après sa divulgation, soulève des questions quant à la hiérarchisation des priorités. L'une des principales questions que cela soulève est de savoir : la rapidité doit-elle primer sur la correction des failles de sécurité lorsqu'il s'agit de proposer des outils à un public grand public qui ne peut pas se protéger lui-même ?

Les risques pour les organisations sont énormes. Les employés de bureau qui organisent des fichiers n'ont aucun moyen de vérifier la sécurité des documents avant leur téléchargement, aucune capacité à reconnaître les commandes CURL malveillantes dans les journaux d'exécution, et aucun cadre permettant de distinguer le comportement légitime de l'IA de l'exfiltration de données. Pourtant, les outils tels que Cowork se multiplient sur le marché.

Cette vulnérabilité expose les utilisateurs à une menace qu'ils ne peuvent pas voir, en utilisant des connaissances qu'ils ne possèdent pas, alors qu'ils effectuent des tâches pour lesquelles le produit a été explicitement conçu. Comme Cowork reste en phase de prévisualisation avec une liste d'attente pour un déploiement plus large, la question qui reste en suspens est de savoir si Anthropic corrigera la vulnérabilité de l'API Files avant d'étendre l'accès.

Conclusion

Claude Cowork illustre à la fois le potentiel et les limites actuelles des agents d'IA. Développé rapidement via une approche de vibe coding, Cowork d'Anthropic démontre qu’un outil fonctionnel peut émerger en grande partie d’un processus de génération automatisée du code. En revanche, les vulnérabilités de sécurité critiques identifiées dès son lancement mettent en évidence des lacunes structurelles dans la conception et le déploiement.

Avec Cowork, Anthropic accentue la concurrence avec des outils tels que Copilot de Microsoft sur le marché de la productivité d'entreprise. Mais en l’état, Cowork apparaît davantage comme une expérimentation technologique prometteuse que comme un produit mûr pour des usages sensibles ou critiques.

Des centaines de milliards de dollars ont été investies dans l'IA ces dernières années. Les entreprises ont lancé sur le marché des dizaines de produits d'IA censés révolutionner notre façon de travailler et stimuler la productivité. Mais les gains de productivité promis tardent à se concrétiser. De nombreux PDG ont admis qu'ils ne tirent aucun bénéfice des investissements dans l'IA. Au lieu de cela, une gigantesque bulle s'est formée autour de la technologie.

Sources : Claude Cowork, PromptArmor, billet de blogue

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de Claude Cowork ? S'agit-il d'un cas d'utilisation pertinent de l'IA générative ?
Claude Cowork expose les utilisateurs à une menace qu'ils ne peuvent pas voir. Qu'en pensez-vous ?
Le déploiement rapide est-il en train de prendre le pas sur la rigueur et la sécurité à l'ère du vibe coding ?

Voir aussi

Anthropic vient de transformer Claude Code en Cowork : il s'agit du premier véritable agent IA polyvalent, qui n'est pas seulement un outil de codage, mais un outil universel

Claude Cowork d'Anthropic exfiltre vos fichiers : l'agent IA est vulnérable aux attaques d'exfiltration de fichiers via injection de prompt indirecte, à cause de failles d'isolation connues mais non résolues

Le monde «pourrait ne pas avoir le temps» de se préparer aux risques liés à la sécurité de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en déployant des systèmes que personne ne maîtrise ?

[Alex]

Claude Cowork d'Anthropic est disponible sur Windows avec toutes les fonctionnalités proposées sur macOS, notamment l'accès aux fichiers, les tâches en plusieurs étapes, les plugins et les connecteurs MCP

En janvier 2026, Anthropic a lancé Cowork, une nouvelle fonctionnalité pour sa plateforme IA Claude, disponible en avant-première pour les abonnés Claude Max sur macOS. Récemment, Anthropic annonce que Claude Cowork est désormais disponible pour les utilisateurs Windows avec toutes les fonctionnalités précédemment proposées sur macOS, notamment l'accès aux fichiers, les tâches en plusieurs étapes, les plugins et les connecteurs MCP. Cowork pour macOS et Windows est actuellement en phase de prévisualisation et accessible dans tous les forfaits payants.

Anthropic est une société américaine d'intelligence artificielle (IA) fondée en 2021. Elle a développé une famille de grands modèles de langage (LLM) nommée Claude. Claude Code est un assistant d'IA de codage développé par Anthropic et accessible depuis un terminal. Claude Code comprend la base de code et aide à coder plus rapidement grâce à des commandes en langage naturel. Ses principales fonctionnalités sont : éditer des fichiers et corriger de bogues dans la base de code, répondre aux questions sur l'architecture et la logique du code, exécuter et corriger des tests, faire du linting, ainsi que de nombreuses autres commandes.

En janvier 2026, Anthropic a lancé Cowork, une nouvelle fonctionnalité pour sa plateforme IA Claude, disponible en avant-première pour les abonnés Claude Max sur macOS. La société américaine spécialisée dans l'IA a déclaré que Cowork permet aux utilisateurs de donner à Claude l'accès à un dossier choisi sur leur ordinateur, permettant ainsi à l'IA de lire, modifier ou créer des fichiers. Les tâches vont de l'organisation des téléchargements et de la création de feuilles de calcul à la rédaction de documents à partir de notes.

Lors du lancement de Cowork, Anthropic a déclaré : "Lorsque nous avons lancé Claude Code, nous pensions que les développeurs l'utiliseraient pour coder. C'est ce qu'ils ont fait, mais ils ont rapidement commencé à l'utiliser pour presque tout le reste. Cela nous a incités à créer Cowork : un moyen plus simple pour tout le monde, et pas seulement pour les développeurs, de travailler avec Claude de la même manière. Cowork est disponible dès aujourd'hui en avant-première pour les abonnés à Claude Max sur notre application macOS, et nous allons rapidement l'améliorer à partir de là."

Récemment, Anthropic annonce que Claude Cowork est désormais disponible pour les utilisateurs Windows avec toutes les fonctionnalités précédemment proposées sur macOS, notamment l'accès aux fichiers, les tâches en plusieurs étapes, les plugins et les connecteurs MCP. La mise à jour introduit des instructions globales et par dossier, permettant aux utilisateurs de définir des préférences pour toutes les sessions ou pour des dossiers spécifiques. Cowork pour macOS et Windows est actuellement en phase de prévisualisation et accessible dans tous les forfaits payants.

En quoi l'utilisation de Cowork diffère-t-elle d'une conversation normale ?

Dans Cowork, vous donnez à Claude l'accès à un dossier de votre choix sur votre ordinateur. Claude peut alors lire, modifier ou créer des fichiers dans ce dossier. Il peut, par exemple, réorganiser vos téléchargements en triant et en renommant chaque fichier, créer une nouvelle feuille de calcul avec une liste de dépenses à partir d'une pile de captures d'écran, ou produire une première ébauche de rapport à partir de vos notes éparpillées.

Dans Cowork, Claude accomplit ce type de tâches avec beaucoup plus d'autonomie que dans une conversation classique. Une fois que vous lui avez assigné une tâche, Claude établit un plan et l'exécute méthodiquement, tout en vous tenant informé de ses progrès. Si vous avez déjà utilisé Claude Code, cela vous semblera familier : Cowork repose sur les mêmes fondements. Cela signifie que Cowork peut prendre en charge bon nombre des tâches que Claude Code est capable d'accomplir, mais sous une forme plus accessible pour les tâches ne nécessitant pas de codage.

Une fois que vous maîtrisez les bases, vous pouvez rendre Cowork encore plus puissant. Claude peut utiliser vos connecteurs existants, qui relient Claude à des informations externes, et dans Cowork, ils ont ajouté un ensemble initial de compétences qui améliorent la capacité de Claude à créer des documents, des présentations et d'autres fichiers. Si vous associez Cowork à Claude dans Chrome, Claude peut également accomplir des tâches qui nécessitent un accès au navigateur.

Cowork est conçu pour rendre l'utilisation de Claude pour de nouvelles tâches aussi simple que possible. Vous n'avez pas besoin de fournir manuellement le contexte ou de convertir les résultats de Claude dans le bon format. Vous n'avez pas non plus à attendre que Claude ait terminé pour proposer d'autres idées ou commentaires : vous pouvez mettre les tâches en file d'attente et laisser Claude les traiter en parallèle. Cela ressemble beaucoup moins à un va-et-vient et beaucoup plus à laisser des messages à un collègue.

Cowork : un outil créé par vibe coding présentant des lacunes en sécurité

Concernant la sécurité de Cowork, Anthropic affirmait : "Dans Cowork, vous pouvez choisir les dossiers et les connecteurs que Claude peut voir : Claude ne peut lire ou modifier que ce à quoi vous lui donnez explicitement accès. Claude vous demandera également votre avis avant de prendre des mesures importantes, afin que vous puissiez le guider ou le corriger si nécessaire." Mais elle mettait en garde également : "Vous devez également être conscient du risque d'« injections de prompt » : les tentatives des attaquants de modifier les plans de Claude par le biais de contenus qu'il pourrait rencontrer sur Internet."

Peu après le lancement de Cowork, un rapport a confirmé cette faiblesse. Selon le rapport, Claude Cowork serait vulnérable aux attaques d'exfiltration de fichiers par injection de prompt indirecte, résultant d'une faille d'isolation précédemment divulguée, mais non résolue. Les chercheurs de PromptArmor ont démontré qu'il était possible pour les pirates informatiques de dissimuler des instructions malveillantes dans des documents téléchargés, incitant ainsi Cowork à transmettre des fichiers locaux au compte Anthropic de l'attaquant, sans l'accord de l'utilisateur. Cette faille permet de contourner les restrictions réseau en abusant de l'accès fiable à l'API d'Anthropic, ce qui peut exposer des données financières sensibles et des informations personnelles.

Pourtant, Anthropic se vante d'avoir développé Claude Cowork grâce au vibe coding en « une semaine et demie ». Boris Cherney, responsable de Claude Code chez Anthropic, a déclaré que « tout » Cowork avait été développé à l'aide de Claude Code, l'outil de codage basé sur l'IA de l'entreprise. Felix Rieseberg, membre du personnel technique d'Anthropic, a déclaré : « nous avons conçu Cowork de la même manière que nous voulons que les gens utilisent Claude : en décrivant ce dont nous avions besoin, en laissant Claude se charger de la mise en œuvre et en orientant le processus au fur et à mesure. Nous avons passé plus de temps à prendre des décisions concernant le produit et l'architecture qu'à écrire des lignes de code individuelles. Il n'a fallu qu'une semaine et demie pour créer Cowork. »

Source : Anthropic

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Anthropic force les marchés à envisager un futur où l'IA rend les applications inutiles : près de 1 000 Mds $ envolés tandis que les investisseurs se demandent si l'IA ne représente pas une menace existentielle

Le monde «pourrait ne pas avoir le temps» de se préparer aux risques liés à la sécurité de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en déployant des systèmes que personne ne maîtrise ?

OpenClaw : comment un agent IA « vibe-codé » en quelques semaines a exposé 135 000 machines à internet et redéfini la notion de catastrophe sécuritaire en 2026