Anthropic rapporte des attaques de distillation à l'échelle industrielle par des laboratoires d'IA chinois sur Claude.

Opération d'extraction de modèle à l'échelle industrielle
Anthropic a publié des résultats détaillant des attaques de distillation coordonnées contre Claude par trois laboratoires chinois d'IA. Les attaques impliquaient la création de comptes frauduleux à grande échelle pour extraire les capacités de raisonnement de Claude via des interactions massives d'API.
Détails clés de l'attaque selon le rapport d'Anthropic
- DeepSeek, Moonshot et MiniMax ont créé plus de 24 000 comptes frauduleux
- Le total des échanges avec Claude a dépassé 16 millions
- MiniMax à lui seul a lancé 13 millions de requêtes
- Lorsqu'Anthropic a publié un nouveau modèle, MiniMax a redirigé près de la moitié de son trafic en 24 heures
- DeepSeek ciblait spécifiquement les chaînes de raisonnement et les réponses sûres en matière de censure
- Les attaques sont devenues plus sophistiquées avec le temps alors que les laboratoires adaptaient leurs méthodes
Implications pour la sécurité des développeurs d'IA
Cet incident met en lumière les vulnérabilités de la sécurité des modèles d'IA lorsque des laboratoires valant des milliards de dollars tentent systématiquement d'extraire des capacités propriétaires. L'ampleur et la persistance de ces attaques—s'étendant sur plusieurs organisations et s'adaptant aux nouvelles versions de modèles—suggèrent qu'il s'agit d'une menace continue plutôt que d'incidents isolés.
Les méthodes utilisées (création de comptes frauduleux, interrogation ciblée pour des capacités spécifiques, adaptation rapide aux nouvelles versions de modèles) pourraient potentiellement être reproduites contre d'autres systèmes d'IA, soulevant des questions sur la sécurité des outils d'IA tiers que les développeurs intègrent dans leurs flux de travail.
📖 Lire la source complète : r/ClaudeAI
👀 See Also

Laboratoire d'attaque et de défense RAG open-source pour piles locales ChromaDB + LM Studio
Un laboratoire open-source mesure l'efficacité de l'empoisonnement des bases de connaissances RAG sur les configurations locales par défaut avec ChromaDB et LM Studio, montrant un taux de réussite de 95 % sur les systèmes non défendus et évaluant les défenses pratiques.

Paquet PyTorch Lightning malveillant vole des identifiants et infecte les packages npm
Les versions 2.6.2 et 2.6.3 du package PyPI 'lightning' contiennent un malware sur le thème de Shai-Hulud qui vole des identifiants, des jetons et des secrets cloud, et se propage aux packages npm via des charges utiles JavaScript injectées.

Anthropic révèle une extraction de données à l'échelle industrielle de l'IA Claude par des laboratoires chinois.
Anthropic a confirmé que des laboratoires chinois d'IA ont utilisé plus de 24 000 comptes frauduleux pour extraire 16 millions d'échanges de Claude, siphonnant les garde-fous de sécurité et les structures logiques pour des systèmes militaires et de surveillance.

Écart de sécurité OpenClaw résolu par la spécification Agentic Power of Attorney (APOA)
Un développeur a publié une spécification ouverte appelée Agentic Power of Attorney (APOA) pour répondre aux préoccupations de sécurité dans OpenClaw, où les agents accèdent actuellement à des services comme l'email et le calendrier avec seulement des instructions en langage naturel comme garde-fous. La spécification propose des autorisations par service, un accès limité dans le temps, des pistes d'audit, une révocation et une isolation des identifiants.