Anthropic lance un standard contre le jailbreak de Claude

Anthropic lance un standard contre le jailbreak de Claude

Trois semaines après avoir suspendu le modèle Claude Fable 5 sous la pression de Washington, Anthropic relance ses services à l’échelle internationale. L’entreprise américaine prépare également la création d’un standard commun, le Cyber Jailbreak Score (CJS), destiné à évaluer objectivement la gravité des piratages de modèles de langage. Ce référentiel vise à devenir la nouvelle norme en matière de cybersécurité de l’IA.

La situation entre Anthropic et la Maison-Blanche met en lumière le manque d’outils pour mer les risques réels liés aux contournements des règles de sécurité des algorithmes. En s’inspirant des systèmes de notation de la sécurité informatique classique, Anthropic s’associe aux géants de la technologie pour concevoir une grille d’évaluation universelle. L’objectif est d’offrir un langage commun aux gouvernements et aux entreprises pour classifier la dangerosité d’une faille, tout en ouvrant un canal de signalement officiel pour éviter de futures crises réglementaires.

Les origines de la crise et le besoin d’un cadre de notation

La genèse de ce projet remonte à juin 2026, lorsque le gouvernement américain a ordonné la suspension immédiate du modèle Claude Fable 5 pour des raisons de sécurité nationale. Des chercheurs d’Amazon avaient mis en évidence une faille permettant à l’IA d’ignorer ses filtres pour générer du code d’exploitation offensif. Face à l’impossibilité de filtrer la nationalité de ses utilisateurs en temps réel, Anthropic a préféré couper l’accès à tous ses clients mondiaux.

Aujourd’hui, les restrictions à l’exportation sont officiellement levées, mais Anthropic maintient sa ligne de défense initiale. L’entreprise affirme que le problème technique était limité à des vulnérabilités mineures déjà connues dans le secteur. Selon Anthropic, la véritable crise ne provenait pas de la faille elle-même, mais de l’absence d’un cadre pour en mer objectivement la dangerosité, d’où le lancement du chantier CJS.

Quatre nouveaux critères du Cyber Jailbreak Score pour évaluer le danger

Le projet de référentiel s’inspire du système CVSS, utilisé pour classifier les vulnérabilités logicielles. La grille d’évaluation d’Anthropic propose de noter chaque contournement de sécurité selon quatre critères, répartis en deux grandes familles.

  1. Me de l’avantage concret pour un pirate informatique :

    • Le gain de performance : L’attaque permet-elle d’accomplir des actions impossibles avec des outils traditionnels ou des IA moins puissantes ?
    • L’étendue des capacités acquises : La technique de contournement se limite-t-elle à une seule cible ou permet-elle d’exécuter plusieurs tâches offensives ?
  2. Évaluation de la vitesse de propagation de la menace :

    • La facilité d’utilisation : Quel est le niveau d’effort requis pour transformer la vulnérabilité en une attaque exploitable ?
    • La découvrabilité : La méthode est-elle confidentielle ou accessible publiquement sur Internet ?

Lancement d’un programme de bug bounty

Avec cette grille d’analyse, Anthropic souhaite calibrer ses réponses techniques de manière proportionnée. En cas de vulnérabilité critique confirmée, des mes d’atténuation préliminaires seront déployées sur les serveurs. Pour garantir la réactivité, Anthropic met en place une équipe spécialisée pour surveiller les canaux de soumission de failles 24h/24 et 7j/7.

Bien que ce cadre soit encore en phase de proposition, Anthropic collabore avec des acteurs majeurs tels qu’Amazon, Microsoft et Google pour valider ce standard industriel. De plus, l’entreprise a ouvert un programme de recherche de failles sur la plateforme HackerOne, permettant aux experts en sécurité de soumettre directement les vulnérabilités identifiées sur Fable 5. Cette initiative vise à canaliser les découvertes vers un circuit de correction officiel, évitant ainsi que des signalements non maîtrisés ne remontent directement aux agences fédérales américaines.

Source : Intelligence Artificielle

Source
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *