Anthropic prévoit de publier une version publique de son modèle de cybersécurité. Appelé Mythe. Il peut détecter les failles logicielles plus rapidement que la plupart des équipes humaines. Et c’est dangereux.
La prise
Voici le problème. Ils n’ont pas de garanties.
Pas encore. De leur propre aveu. La société a déclaré que personne sur Terre n’avait construit de freins adéquats pour un système aussi puissant. Ils n’empêcheront pas les méchants d’en abuser si cela s’échappe trop tôt. Alors le plan ? Ralentissez. Tout d’abord, remettez les clés aux gouvernements américains et alliés. Et peut-être plus tard, pour tout le monde.
Le registre couvrait bien l’admission. Anthropic a qualifié la chronologie d'”incertaine”. Ils ont également jeté une fenêtre spécifique. Six à douze mois. Ils pensent que ces modèles de « classe Mythos » seront alors largement disponibles. Largement disponible dans le monde de la cybersécurité ne signifie pas vraiment sûr.
Pourquoi ça fait peur aux gens
Mythe est sorti en avril. Les statistiques sont bizarres. Lorsqu’il a été testé par rapport à des benchmarks standards, Mythos a généré des exploits fonctionnels dans 72 % du temps. Le modèle standard, Claude Opus 4. 6 ? Près de zéro pour cent.
Pensez à cet écart.
Des chercheurs qui ne connaissaient pas le code ont demandé à l’IA de rechercher des trous pendant leur sommeil. Ils se sont réveillés. Les exploits étaient prêts. Fonctionnel. Complet. Ce n’était pas une supposition. Cela fonctionnait.
“Les modèles au niveau du mythe vont se généraliser.” — Article de blog anthropique
Depuis, il a analysé un millier de projets open source. Il a trouvé plus de 23 000 failles. Des milliers d’entre eux étaient très graves ou critiques. Un gros échec a été celui de wolfSSL. Cette bibliothèque cryptographique fonctionne sur des milliards d’appareils. Mythos a trouvé un moyen de falsifier des certificats. Les attaquants auraient pu prétendre être n’importe quel site que vous visitez. C’est arrivé. L’équipe l’a réparé. À peine.
Le contrecoup
Les outils d’IA trouvent les bogues plus rapidement que quiconque ne peut les corriger.
Les programmes de bug bounty sont en train de mourir. Certains se sont complètement arrêtés parce qu’ils ne peuvent pas gérer le volume. Les responsables des logiciels open source ont demandé à Anthropic de faire une pause. Juste pour respirer. Le flot de rapports noie leur capacité.
Que propose Anthropic ? Plus d’IA.
Leur propre carte système prétend que les défenseurs finiront par gagner. Les pirates informatiques pourraient désormais avoir le dessus. Cela ne semble réconforter personne. Qui a envie de vivre dans le « présent » pendant que les hackers apprennent ?
