Anthropic a dévoilé son modèle Claude Mythos, capable de détecter et exploiter des vulnérabilités logicielles sans intervention humaine. Cette avancée soulève des inquiétudes majeures pour la cybersécurité mondiale.
Il y a deux semaines, Anthropic a annoncé que son nouveau modèle, Claude Mythos Preview, peut autonomement identifier et exploiter des vulnérabilités logicielles, transformant celles-ci en exploits pleinement fonctionnels sans nécessiter d’expertise. Cette capacité concerne des failles dans des logiciels clés, comme les systèmes d’exploitation et les infrastructures internet, que des milliers de développeurs n’ont pas réussi à déceler. Les implications de cette technologie sur la sécurité sont considérables, menaçant les appareils et services que nous utilisons quotidiennement. En conséquence, Anthropic a décidé de ne pas rendre ce modèle accessible au grand public, mais de le limiter à un nombre restreint d’entreprises. Cette annonce a provoqué un choc dans la communauté de la sécurité internet, soulevant de nombreuses interrogations. Les détails fournis par Anthropic ont été jugés insuffisants, suscitant la colère de nombreux observateurs. Certains spéculent sur le fait qu’Anthropic ne dispose pas des GPU nécessaires pour faire fonctionner son modèle, utilisant la cybersécurité comme prétexte pour restreindre sa diffusion. D’autres soutiennent qu’Anthropic s’en tient à sa mission de sécurité en intelligence artificielle. Ce climat d’hype et de contre-hype complique la compréhension des enjeux, même pour les experts. Mythos est perçu comme une avancée réelle mais progressive dans un long processus d’évolution technologique. Pourtant, même les progrès modestes peuvent avoir un impact considérable sur l’ensemble du paysage de la cybersécurité. L’annonce de Mythos nous rappelle que l’intelligence artificielle a fait des avancées significatives ces dernières années : la référence a véritablement changé. La découverte de vulnérabilités dans le code source est une tâche que les grands modèles de langage d’aujourd’hui maîtrisent. Même si les vulnérabilités détectées par Mythos auraient pu être identifiées par des modèles d’IA précédents, il est clair que la technologie a évolué. La question qui se pose est celle de notre capacité à nous adapter à ces nouvelles réalités. Les experts estiment qu’un AI capable de pirater de manière autonome ne créera pas une asymétrie permanente entre l’attaque et la défense, mais que la situation sera plus nuancée. Certaines vulnérabilités peuvent être trouvées, vérifiées et corrigées automatiquement, tandis que d’autres seront plus difficiles à déceler mais faciles à corriger. En revanche, certaines failles seront faciles à repérer mais difficiles, voire impossibles, à corriger en pratique, comme celles des appareils IoT ou des équipements industriels rarement mis à jour.