Les banques mondiales, les géants de la technologie et les gouvernements se sont démenés le mois dernier pour contenir les risques posés par Mythos, le modèle Anthropic considéré comme si puissant qu’il a découvert des milliers de vulnérabilités jusqu’alors inconnues dans l’infrastructure logicielle mondiale.
Il n’y a qu’un seul problème : la capacité qui les inquiète est déjà là.
Des consultants en cybersécurité et des chercheurs en intelligence artificielle ont déclaré à CNBC que les vulnérabilités logicielles révélées par Mythos peuvent être trouvées à l’aide de modèles existants, notamment ceux d’Anthropic et d’OpenAI.
“Ce que nous constatons désormais dans l’ensemble du secteur, c’est que les gens sont capables de reproduire les vulnérabilités découvertes avec Mythos grâce à une orchestration intelligente de modèles publics pour obtenir des résultats très, très similaires”, a déclaré Ben Harris, PDG de la société de cybersécurité watchTowr.
Mythos a secoué les dirigeants et les décideurs politiques, craignant qu’une nouvelle ère périlleuse de cybercriminalité basée sur l’IA ne soit proche. Anthropic a limité sa sortie à quelques sociétés américaines, dont Pomme, Amazone, JPMorgan Chase et Réseaux de Palo Alto pour réduire le risque que de mauvais acteurs mettent la fundamental dessus.
Même avec cette précaution, cette publication a incité l’administration Trump à envisager une nouvelle surveillance gouvernementale sur les futurs modèles.
Il s’agit du dernier d’une série de lancements très médiatisés d’Anthropic qui ont intensifié sa rivalité avec OpenAI alors que les deux géants de l’IA approchent de leurs introductions en bourse très attendues. Quelques semaines après l’arrivée de Mythos, Sam Altman, PDG d’OpenAI, a annoncé GPT-5.5-Cyber, un modèle spécialement conçu pour la cybersécurité.
OpenAI a autorisé jeudi un accès limité à GPT-5.5-Cyber aux équipes de cybersécurité contrôlées.
Le déploiement contrôlé de Mythos, dans le cadre d’une mesure de sécurité appelée Projet Glasswing, devait donner au monde de l’entreprise le temps de préparer ses cyberdéfenses contre une prochaine attaque d’attaques de groupes criminels et de nations antagonistes.
“Le hazard réside simplement dans une énorme augmentation du nombre de vulnérabilités, du nombre de violations, des dommages financiers causés par les ransomwares aux écoles, aux hôpitaux, sans parler des banques”, a déclaré cette semaine le PDG d’Anthropic, Dario Amodei, lors d’un événement d’Anthropic.
« Assez effrayant »
Mais pour ceux qui combattent dans les tranchées de la cyberguerre, l’une des capacités clés annoncées par Anthropic – la détection des vulnérabilités logicielles à grande échelle – existe depuis l’année dernière.
“Les modèles dont nous disposons actuellement sont suffisamment puissants pour détecter le jour zéro à grande échelle, et c’est déjà assez effrayant”, a déclaré à CNBC Klaudia Kloc, PDG de la société de cybersécurité Vidoc.
C’est le cas depuis “quelques mois, voire un an”, a-t-elle déclaré.
Le terme « jour zéro » fait référence à une faille logicielle jusqu’alors inconnue qui n’a pas été corrigée, donnant aux attaquants une fenêtre pour l’exploiter avant que les défenseurs ne puissent réagir.
Les chercheurs de Vidoc se sont appuyés sur une approach appelée « orchestration » pour tester s’ils pouvaient trouver les mêmes vulnérabilités que Mythos. Comme son nom l’indique, le processus implique la création de flux de travail qui divisent le code en morceaux plus petits, en coordonnant divers outils ou modèles pour vérifier les résultats.
“Nous avons exécuté des modèles plus anciens sur la même base de code pour voir si nous serions capables de détecter les mêmes vulnérabilités”, a déclaré Kloc. “Nous l’avons fait, avec les anciens modèles d’OpenAI et d’Anthropic.”
Une autre société de cybersécurité, Aisle, a découvert que bon nombre des principaux résultats de Mythos pouvaient être reproduits en utilisant des modèles moins chers fonctionnant en parallèle, ce qui suggère que l’échelle et la coordination étaient plus importantes que d’avoir le dernier modèle.
“Un millier de détectives compétents fouillant partout trouveront plus de bugs qu’un détective brillant qui doit deviner où chercher”, a écrit le fondateur d’Aisle, Stanislav Fort, dans un article de weblog.
Dans ses commentaires à CNBC, Anthropic n’a pas contesté le fait que les modèles antérieurs étaient capables de détecter des vulnérabilités logicielles.
En fait, a déclaré un porte-parole de l’entreprise, Anthropic prévient depuis des mois que les cybercapacités de l’IA progressent rapidement. Ils ont souligné un article de weblog de février montrant que Claude Opus 4.6, un modèle largement disponible, a trouvé plus de 500 vulnérabilités « de haute gravité » dans les logiciels open supply.
Lors de l’événement Anthropic de cette semaine, Amodei a affirmé ce level, affirmant que même si l’ampleur des vulnérabilités logicielles découvertes par Mythos a augmenté par rapport aux modèles précédents, la tendance n’était pas nouvelle.
“Les risques sont très réels. C’est pourquoi nous avons pris les mesures que nous avons prises”, a déclaré Amodei. “Mais ils ne sont pas non plus, dans un sure sens, si surprenants. … Nous recevons des avertissements à ce sujet depuis un sure temps.”
Hystérie et panique
Ce qui différencie Mythos, c’est sa capacité à passer à l’étape suivante, en développant des exploits fonctionnels avec peu ou pas d’intervention humaine, en automatisant efficacement un processus qui nécessitait auparavant des chercheurs qualifiés, a déclaré le porte-parole d’Anthropic.
Mais les pirates informatiques travaillant pour des groupes criminels et des pays antagonistes possèdent déjà cet ensemble de compétences, affirment les cyber-chercheurs. Les pirates informatiques en Corée du Nord, en Chine et en Russie « savent remark faire cela, avec ou sans Anthropic », a déclaré Kloc.
La menace du piratage basé sur l’IA inquiète les entreprises et les régulateurs gouvernementaux quant à la safety des systèmes cruciaux contre une nouvelle obscure de ransomwares et d’autres sorts d’attaques, selon Harris.
Il a qualifié les conversations avec les banques, les assureurs et les régulateurs ces dernières semaines d’« hystérie ».
Même avant l’avènement de l’IA générative, les entreprises étaient confrontées au problème de pirates informatiques expérimentés exploitant les nouvelles vulnérabilités en quelques heures, tandis que la mise à jour du code prenait souvent des jours, voire des semaines. Certains correctifs nécessitent la mise hors ligne des systèmes clés, ce qui complique les choses.
“L’industrie panique face au nombre de vulnérabilités auxquelles elle est actuellement confrontée”, a déclaré Harris. “Mais même avant que Mythos ne soit largement disponible, il ne pouvait pas corriger les vulnérabilités assez rapidement.”
Auparavant, selon Harris, seule une infime inhabitants d’consultants dans le monde avait la capacité et le temps de trouver des vulnérabilités obscures dans les logiciels et de les exploiter. Désormais, grâce aux modèles d’IA actuellement disponibles, les barrières à l’entrée pour causer des cyber-dévastations ont été abaissées.
Cela signifie que les banques et d’autres cibles seront confrontées à davantage d’attaques, et que les systèmes logiciels qui auparavant ne suscitaient pas autant d’intérêt de la half des cybercriminels seront désormais confrontés à des menaces, a déclaré Harris.
Avantage : Offensive
Alors qu’Anthropic, OpenAI et d’autres travaillent au développement de capacités de cyberdéfense adaptées aux problèmes qu’ils ont identifiés, l’avantage preliminary revient à l’offensive et non à la défense, affirment les chercheurs.
Jamie Dimon, de JPMorgan, l’a suggéré lorsqu’il a déclaré le mois dernier que si les outils d’IA pourraient éventuellement aider les entreprises à se défendre contre les cyberattaques, ils les rendraient d’abord plus vulnérables.
“Vous avez une augmentation significative du quantity de vulnérabilités découvertes, mais ils ne semblent pas avoir déployé d’outil qui vous aide à les corriger”, a déclaré Justin Herring, associé du cupboard d’avocats Mayer Brown et ancien surintendant adjoint exécutif pour la cybersécurité au régulateur financier de New York.
“La gestion des vulnérabilités est la grande tâche de Sisyphe de la cybersécurité”, a déclaré Herring.
Le groupe limité qui faisait partie de la model initiale de Mythos a pris une longueur d’avance dans la correction des vulnérabilités, mais il y a un inconvénient. Les chercheurs en IA n’ont pas eu accès à Mythos pour vérifier de manière indépendante les affirmations d’Anthropic ou pour commencer à construire des défenses contre cela.
Certains affirment que cela a empêché la cybercommunauté au sens massive de faire partie de la answer.
Cela a créé « des niveaux de nantis et de démunis », ce qui pourrait ralentir le rythme de l’innovation en matière de cybersécurité, a déclaré Pavel Gurvich, PDG de la start-up de cybersécurité Tenzai, qui utilise les modèles d’Anthropic.
De nombreuses startups de cybersécurité travaillent sur des options susceptibles d’aider les entreprises dans cette nouvelle ère de l’IA, a-t-il déclaré.
“Ils essaient de trouver le meilleur moyen de réparer le monde avant que celui-ci ne devienne accessible au monde”, a déclaré Ben Seri, co-fondateur de la start-up de cybersécurité Zafran Safety. “C’est ce style de state of affairs de poule et d’œuf, et vous allez casser des œufs. C’est inévitable.”
