Ce qu’il faut retenir :
- Claude Opus 4.6 a développé un exploit fonctionnel pour Chrome V8 en une semaine pour 2 283 dollars d’API.
- L’exploit cible une vulnérabilité dans la même version de Chrome utilisée par l’application Claude Desktop d’Anthropic.
- Ce coût reste largement inférieur aux récompenses des programmes de bug bounty de Google et Discord, estimées à 15 000 dollars.
Un exploit Chrome développé par IA pour moins de 2 500 dollars
Une semaine d’allers-retours, 2,3 milliards de jetons, 2 283 $ de frais d’API, et environ 20 heures passées à débloquer la situation.
Mohan Pedhapati, CTO de Hacktron, a utilisé Claude Opus 4.6 d’Anthropic pour créer un exploit complet ciblant le moteur JavaScript V8 de Chrome 138. L’opération a nécessité une semaine d’interactions, 2,3 milliards de tokens, 2 283 dollars de coûts d’API et environ 20 heures de supervision humaine.
L’exploit vise une vulnérabilité de type out of bounds dans Chrome 146, la même version utilisée par l’application Claude Desktop d’Anthropic. Le code malveillant parvient à ouvrir l’application calculatrice, une preuve de concept standard démontrant la compromission réussie du système cible.
Un coût dérisoire comparé aux récompenses légitimes
Les 2 283 dollars investis représentent une fraction des semaines de travail qu’aurait nécessitées un développeur humain pour créer un exploit similaire. Même en ajoutant plusieurs milliers de dollars pour le temps de supervision de Pedhapati, le coût total reste largement inférieur aux 15 000 dollars théoriques que pourraient rapporter les programmes de récompenses de vulnérabilités de Google et Discord.
Cette économie devient encore plus préoccupante sur les marchés illégitimes, où les exploits zero-day se vendent à des prix bien supérieurs aux programmes légitimes de bug bounty.
Anthropic maintient Mythos en retrait par précaution
Anthropic a choisi de ne pas publier son modèle Mythos, spécialement conçu pour la découverte de vulnérabilités, par crainte qu’il permette aux attaquants de trouver et d’exploiter des failles avant toute réaction défensive. Le nouveau Claude Opus 4.7, lancé jeudi, présente des capacités cybersécuritaires similaires à la version 4.6 mais intègre des garde-fous automatiques.
Ces protections détectent et bloquent les requêtes indiquant des usages cybersécuritaires prohibés ou à haut risque, bien que Mythos Preview reste apparemment plus performant que les versions publiques.
Ce qu’il faut surveiller
L’amélioration continue des capacités de génération de code par les IA publiques pourrait démocratiser la création d’exploits. Pedhapati souligne que le problème dépasse le modèle spécifique utilisé et nécessite une révision des postures et procédures de sécurité.
Cet article vous a plu ? Recevez les prochains par email
Rejoignez +40 000 abonnés. L'essentiel du marché crypto dans votre boîte mail, tous les 2 jours.
