Anthropic Bug Bounty
Avis aux chasseurs de primes, Anthropic a lancé un bug bounty, donc un programme de récompense à qui trouve des failles de sécurité dans leurs outils.
Anthropic ouvre son bug bounty au public sur HackerOne.
Décidément, Anthropic nous régale en ce moment avec ses annonces.
L'entreprise a officialisé le 7 mai 2026 le passage en accès public de son programme de bug bounty hébergé sur HackerOne.
Jusqu'ici réservé à un cercle restreint de chercheurs invités, le programme est désormais ouvert à toute personne capable d'identifier des vulnérabilités dans les produits de l'éditeur de Claude.
L'objectif affiché :
industrialiser le crowdsourcing de la sécurité IA, dans un contexte où les modèles sont de plus en plus intégrés à des workflows métiers critiques.
Le cœur du programme cible les universal jailbreaks, des exploits capables de contourner systématiquement les garde-fous de Claude sur un large spectre de sujets, et non de simples prompts adversariaux ponctuels.
Anthropic teste en particulier la robustesse de ses Constitutional Classifiers, le système maison conçu pour bloquer les sorties relevant des domaines à haut risque : CBRN (chimique, biologique, radiologique, nucléaire) et cybersécurité offensive.
Les participants obtiennent un accès anticipé aux versions non publiées du système de mitigation, en environnement contrôlé.
Côté récompenses, la grille est passée de 15 000 $ initialement à 25 000 $ pour un jailbreak universel vérifié sur le système non déployé.
Les vulnérabilités classiques (sécurité applicative, infra) restent rémunérées selon un barème de gravité standard, dans la lignée des programmes HackerOne traditionnels.
Les chercheurs doivent signer un NDA et utiliser un alias @wearehackerone.com pour accéder à la Claude Console dédiée.
La confidentialité du jeu de tests et des classifieurs reste une condition d'entrée non négociable.
L'ouverture publique s'inscrit dans la lignée des engagements volontaires signés par Anthropic auprès de la Maison Blanche sur le reporting tiers des failles de modèles.
Au-delà du symbole, c'est un signal de maturation : la sécurité des LLM sort du périmètre R&D interne pour s'aligner sur les pratiques éprouvées du logiciel classique (programmes de divulgation responsable, primes graduées, environnements de test isolés).
Une trajectoire que d'autres laboratoires devraient suivre à mesure que les régulateurs durcissent leurs exigences.
Alexandre P.
Développeur passionné depuis plus de 20 ans, j'ai une appétence particulière pour les défis techniques et changer de technologie ne me fait pas froid aux yeux.
Poursuivre la lecture
