Anthropic a récemment annoncé le lancement d’un nouveau modèle d’IA, Claude Mythos Preview, et a simultanément mis en place un programme de cybersécurité nommé « Project Glasswing ». Étant donné que les capacités de ce modèle à repérer des failles logicielles dépassent de loin celles des technologies existantes, Anthropic a décidé de ne pas publier le modèle au public pour l’instant, et de n’accorder l’accès qu’à 40 géants de la tech, dont Apple et Google, ainsi qu’à des entreprises d’infrastructures, afin d’éviter que ces capacités ne tombent entre les mains d’acteurs malveillants.
Anthropic lance Claude Mythos Preview, en dotant l’IA de capacités de cybersécurité
L’annonce positionne Claude Mythos Preview comme un modèle d’IA généraliste, et ses remarquables capacités en codage et en raisonnement permettent à l’IA de montrer des performances impressionnantes dans le domaine de la sécurité sur Internet.
Anthropic indique qu’au cours des dernières semaines de tests internes, Mythos Preview a identifié des milliers de vulnérabilités zero-day (failles zéro jour) qui n’avaient jamais été détectées auparavant, sur tous les systèmes d’exploitation et navigateurs web courants, dont beaucoup sont classées dans des niveaux de risque élevés, et certaines failles étaient même présentes dans les systèmes depuis des décennies.
Parmi ces cas, Mythos Preview a, de manière entièrement autonome, identifié et exploité une faille d’exécution de code à distance présente dans FreeBSD depuis 17 ans, permettant à des personnes non autorisées de prendre le contrôle complet d’un serveur depuis n’importe quel emplacement sur le réseau.
Anthropic souligne qu’à l’heure actuelle, plus de 99 % des failles découvertes n’ont pas encore été corrigées, et qu’elles ne peuvent donc pas être divulguées publiquement.
Project Glasswing : réparer avant les attaquants les systèmes clés mondiaux
Afin de faire servir les capacités de Mythos Preview à la défense plutôt qu’à l’attaque, Anthropic a lancé le programme Project Glasswing. Le nom du projet s’inspire de l’image du papillon de verre, symbolisant la caractéristique « fine et invisible » des failles logicielles, comme des ailes de papillon.
Les partenaires principaux incluent Amazon Web Services, Apple, Broadcom, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia, etc., ainsi que 40 organisations chargées de construire ou de maintenir des infrastructures logicielles critiques qui obtiennent un accès au modèle.
Anthropic s’engage à fournir jusqu’à 100 millions de dollars de crédits d’utilisation du modèle, permettant aux entreprises participantes de l’utiliser gratuitement à l’étape de la recherche en cybersécurité, et à faire en plus un don de 4 millions de dollars à des organisations de sécurité open source, notamment via des financements accordés par Linux Foundation à Alpha-Omega et à OpenSSF, ainsi que des dons à la Apache Software Foundation. Les partenaires partageront les résultats des tests, afin que l’ensemble de l’industrie technologique bénéficie de ces avancées.
Dilemme de l’épée à double tranchant : pourquoi Anthropic refuse-t-elle de publier ?
Newton Cheng, responsable de l’équipe cybersécurité d’Anthropic, affirme clairement qu’il n’est pas question d’ouvrir Claude Mythos Preview au grand public, par crainte de son risque d’attaque potentiel :
À mesure que les capacités de l’IA évoluent rapidement, des outils aussi puissants finiront tôt ou tard par se diffuser entre les mains d’acteurs malveillants ; et si cela se produisait, cela porterait un coup sévère à la sécurité économique, à la sécurité publique et à la sécurité nationale.
Dianne Penn, responsable de la gestion des produits de recherche chez Anthropic, indique qu’elle collabore avec le gouvernement américain pour discuter notamment de la coopération avec des organismes tels que l’Agence de la cybersécurité et de la sécurité des infrastructures des États-Unis (CISA) et le centre d’innovation et de standards liés à l’IA, etc.
Il convient de noter que le calendrier de cette annonce intervient quelques semaines après l’éclatement de controverses, entre Anthropic et le ministère américain de la Défense, au sujet de l’utilisation sécurisée des modèles Claude ; à ce jour, les deux parties ont encore des litiges juridiques.
(Anthropic poursuit le Pentagone : liste noire et risque de pertes de plusieurs milliards de dollars, atteinte sévère aux capacités de levée de fonds)
Dario Amodei : l’IA rendra le monde du réseau plus sûr, mais la période de transition sera pleine de défis
Anthropic reconnaît que la protection des infrastructures Internet mondiales pourrait nécessiter plusieurs années, et que la période de transition sera également pleine d’incertitudes. Toutefois, l’entreprise garde un optimisme prudent quant à la perspective à long terme, s’attendant à ce que les capacités de défense de l’IA finissent par prendre une position dominante, aidant à bâtir un écosystème logiciel plus sûr.
Anthropic prévoit aussi d’intégrer en premier, dans les prochains modèles de la série Claude Opus, des mécanismes de protection cybersécurité destinés aux sorties à haut risque ; une fois la technologie mûre, l’entreprise poussera progressivement le déploiement à grande échelle des modèles de niveau Mythos. Comme l’a déclaré le PDG d’Anthropic, Dario Amodei, sur X :
Une fois que nous aurons fait les choses correctement, nous aurons l’opportunité de construire un Internet et un monde plus sûrs que lorsque la capacité d’attaque du réseau pilotée par l’IA a commencé à émerger.
Cet article : Anthropic lance un programme mondial de cybersécurité Glasswing, pourquoi le nouveau modèle Mythos n’est-il pas ouvert au grand public ? Apparaît pour la première fois sur Chaine News ABMedia.
