Claude Cowork : Préoccupations de sécurité liées à la permission 'Autoriser toutes les actions du navigateur' et correctifs proposés

✍️ OpenClawRadar📅 Publié: March 23, 2026🔗 Source
Claude Cowork : Préoccupations de sécurité liées à la permission 'Autoriser toutes les actions du navigateur' et correctifs proposés
Ad

Un utilisateur sur r/ClaudeAI a soulevé d'importantes préoccupations de sécurité concernant le bouton 'Autoriser tout' dans les autorisations d'action du navigateur de Claude Cowork. La publication décrit comment les demandes d'autorisation répétées peuvent amener les utilisateurs à cliquer sur ce bouton par commodité, mais cela accorde à Claude un accès permanent et illimité au navigateur pour toutes les sessions futures.

Le problème de sécurité

Selon la source, une fois que 'Autoriser tout' est cliqué, il n'y a 'aucune visibilité, limites, expiration ou limitation de portée'. Cela transforme une gêne d'expérience utilisateur en 'une surface d'attaque invisible et permanente pour l'injection de prompt et d'autres comportements imprévisibles'. L'utilisateur souligne que la portée de cette autorisation est 'impossible pour l'utilisateur d'évaluer, de comprendre et de réfléchir correctement' au moment du clic.

Ad

Solutions proposées

La publication suggère de rendre les autorisations limitées par défaut avec ces alternatives spécifiques :

  • Limité à la session (par défaut) : Autoriser toutes les actions du navigateur uniquement pour cette session. Cela offre la même commodité mais expire automatiquement, donnant aux utilisateurs une meilleure compréhension de la portée.
  • Limité à la compétence : Accès au navigateur uniquement lorsqu'une compétence spécifique est active. Cela lie l'autorisation à l'intention plutôt que de fournir un chèque en blanc. La suggestion inclut l'ouverture d'une boîte d'approbation lorsqu'une compétence demande des autorisations afin que les utilisateurs puissent déterminer la pertinence dans le contexte actuel.
  • Persistant (comportement actuel) : Conserver comme option avancée, de dernier recours, avec un avertissement clair sur ce que signifie réellement 'tous les sites, toutes les sessions, pas d'expiration'. L'utilisateur suggère que cela ne devrait jamais être autorisé.

La publication inclut également une idée bonus : 'Maintenir une liste de sites de confiance qui peuvent être consultés sans demander d'autorisation.'

Justification

L'utilisateur soutient que 'empêcher les clics répétés d'autorisation est absolument utile - mais l'utilisateur ne devrait pas avoir à échanger une exposition permanente à la sécurité contre un confort de travail de base'. Ils notent que la fatigue des clics crée ses propres risques car les utilisateurs pourraient 'simplement tout autoriser pour se débarrasser de ces fichues demandes'.

📖 Lire la source complète : r/ClaudeAI

Ad

👀 See Also

Test des modèles Qwen 3.5 35B non censurés pour les questions de cybersécurité
Security

Test des modèles Qwen 3.5 35B non censurés pour les questions de cybersécurité

Un professionnel de la cybersécurité a testé trois modèles Qwen 3.5 35B non censurés sur des questions de piratage et de contournement de sécurité, constatant des différences significatives dans la qualité des réponses par rapport au modèle original censuré. Les modèles non censurés ont systématiquement fourni des réponses là où le modèle original refusait ou donnait des réponses incomplètes.

OpenClawRadar
Les outils d'IA open source présentent des risques de sécurité via une "sécurité illusoire par la transparence".
Security

Les outils d'IA open source présentent des risques de sécurité via une "sécurité illusoire par la transparence".

Un post Reddit alerte sur des logiciels malveillants déguisés en agents d'IA open source et outils, où du code malveillant peut être dissimulé dans de vastes bases de code que les utilisateurs supposent sûres car elles sont sur GitHub. Le post décrit comment le 'vibe-coding' et les agents d'IA autonomes conditionnent les utilisateurs à exécuter des programmes inconnus sans vérification.

OpenClawRadar
Nullgaze : Scanner de sécurité assisté par l'IA et open source publié
Security

Nullgaze : Scanner de sécurité assisté par l'IA et open source publié

Nullgaze est un nouveau scanner de sécurité open source assisté par l'IA qui détecte les vulnérabilités spécifiques au code généré par l'IA, avec un taux de faux positifs proche de zéro.

OpenClawRadar
La découverte des vulnérabilités de l'IA dépasse les délais de déploiement des correctifs.
Security

La découverte des vulnérabilités de l'IA dépasse les délais de déploiement des correctifs.

Un expert en sécurité affirme que les outils d'IA comme Mythos détecteront les vulnérabilités plus rapidement que les correctifs ne pourront être déployés, citant les données Log4j montrant des délais moyens de correction de 17 jours et une élimination complète prévue sur une décennie.

OpenClawRadar