Anthropic a récemment dévoilé Claude Mythos, un modèle en avant-première qui représente une avancée significative dans les capacités de l’intelligence artificielle. Cependant, contrairement aux versions précédentes, Mythos n’est pas mis à la disposition du grand public. Au lieu de cela, il se déroule dans un environnement contrôlé connu sous le nom de Projet Glasswing.
Cette décision a suscité d’intenses débats parmi les experts en cybersécurité. La question centrale n’est plus seulement de savoir ce que l’IA peut faire, mais aussi de savoir si certains modèles sont devenus si compétents en matière de cyberattaques qu’ils présenteraient un risque systémique pour la sécurité numérique s’ils étaient publiés.
Un changement de paradigme dans les capacités de l’IA
Mythos n’est pas simplement une mise à jour incrémentielle ; il s’agit d’une centrale spécialisée conçue pour le codage de haut niveau et le raisonnement en contexte long. Alors que les modèles d’IA précédents étaient souvent confrontés à des tâches complexes en plusieurs étapes, Mythos fait preuve d’un niveau de persistance autonome. Il peut analyser des bases de code volumineuses et « désordonnées », identifier les lacunes et, surtout, tester et affiner ses propres solutions jusqu’à ce qu’il trouve un résultat fonctionnel.
Les capacités du modèle vont au-delà de la simple analyse. Selon les propres rapports d’Anthropic, Mythos peut :
* Identifier les vulnérabilités « Zero-Day » : Il a découvert des milliers de failles graves dans les principaux systèmes d’exploitation et navigateurs, y compris certaines qui sont restées indétectables par les humains pendant des décennies.
* Exploits en chaîne : Il peut relier plusieurs faiblesses mineures entre elles pour contourner les « bacs à sable », les couches de sécurité conçues pour contenir le code malveillant.
* Weaponize Code : Il peut transformer des vulnérabilités nouvelles et connues en exploits fonctionnels, même pour les logiciels dont le code source n’est pas accessible au public.
“Mythos Preview d’Anthropic est un coup de semonce pour l’ensemble de l’industrie”, déclare Camellia Chan, PDG de X-PHY. “Le fait qu’Anthropic lui-même ait choisi de ne pas le publier publiquement vous dit tout sur le seuil de capacité que nous avons désormais franchi.”
Le défi du confinement : le projet Glasswing
Pour atténuer le risque d’utilisation abusive, Anthropic a mis en œuvre le Projet Glasswing. Ce cadre limite l’accès à un petit groupe contrôlé de grandes entreprises technologiques et d’organisations de cybersécurité. L’objectif est une « IA défensive » : utiliser la puissance du modèle pour trouver et corriger les failles avant que les pirates informatiques ne puissent les trouver.
Cependant, cette stratégie de confinement fait déjà l’objet d’un examen minutieux. Anthropic enquêterait sur des rapports selon lesquels des utilisateurs non autorisés auraient réussi à accéder au modèle via un environnement tiers. Cela soulève une préoccupation majeure : Si une IA est suffisamment puissante pour automatiser les cyberattaques, pourra-t-elle vraiment être contenue ?
La fenêtre de défense qui se rétrécit
L’émergence de Mythos marque un changement fondamental dans la « course aux armements » de la cybersécurité. Traditionnellement, il existe un calendrier prévisible : une vulnérabilité est découverte, un correctif est développé et les utilisateurs mettent à jour leur logiciel.
Les experts préviennent que l’IA réduit rapidement ce délai.
1. Vitesse de découverte : L’IA peut analyser le code beaucoup plus rapidement que les chercheurs humains.
2. Vitesse d’exploitation : L’IA peut écrire et tester des attaques en quelques secondes.
3. Barrière à l’entrée réduite : Comme l’a noté Anthropic, même les ingénieurs sans formation formelle en sécurité pourraient potentiellement utiliser le modèle pour produire des exploits sophistiqués.
Cela crée une crise de « répit ». Si les vulnérabilités sont identifiées et exploitées à la vitesse de la machine, les organisations risquent de perdre la capacité de détecter, de corriger et de récupérer avant que les dégâts ne soient causés.
Regard vers l’avenir : automatisation ou sécurité
Le débat sur Mythos met en évidence une tendance croissante dans le secteur de l’IA : l’évolution vers un accès hiérarchisé. À mesure que les modèles deviennent plus capables de « comportements autonomes non autorisés », les développeurs sont de plus en plus obligés de garder leurs outils les plus puissants.
L’impact à long terme de Mythos sera probablement défini par deux facteurs :
* La prolifération de modèles similaires : Si d’autres entités développent des capacités comparables, l’avantage « défensif » du projet Glasswing pourrait être neutralisé.
* Le passage à une sécurité basée sur le matériel : Certains experts affirment que, dans la mesure où les défenses basées sur les logiciels sont dépassées par l’IA, l’industrie devra peut-être s’appuyer davantage sur des protections au niveau matériel pour éviter une compromission totale du système.
Conclusion : Claude Mythos représente un seuil où l’IA passe d’un assistant utile à un agent autonome capable de mener une cyberguerre sophistiquée. Que cette technologie serve de bouclier aux défenseurs ou d’épée aux attaquants dépend entièrement de l’efficacité avec laquelle l’industrie parvient à gérer son déploiement et son confinement.
