Anthropic, l’un des principaux développeurs d’IA, a annoncé une avancée paradoxale : son tout nouveau modèle d’intelligence artificielle, Claude Mythos, est si compétent dans l’identification et l’exploitation des vulnérabilités logicielles que l’entreprise l’a jugé trop dangereux pour être rendu public.
Au lieu d’un lancement traditionnel auprès du consommateur, Anthropic s’oriente vers une stratégie défensive, partageant l’outil exclusivement avec les principaux fournisseurs d’infrastructures pour les aider à corriger les failles découvertes par l’IA.
L'”épée à double tranchant” de Claude Mythos
L’émergence de Claude Mythos représente un changement important dans la course aux armements en matière d’IA. Selon Anthropic, le modèle a atteint un niveau de sophistication de codage qui lui permet de surpasser presque tous les experts humains dans la recherche de failles de sécurité.
Les implications sont profondes :
– Découverte sans précédent : Lors de tests préliminaires, Mythos a identifié des milliers de vulnérabilités graves sur tous les principaux systèmes d’exploitation et navigateurs Web.
– Échelle et profondeur : Contrairement aux cadres de sécurité traditionnels, Mythos peut effectuer des analyses à une vitesse et une profondeur que les équipes humaines et les logiciels existants ne peuvent tout simplement pas égaler.
– Le risque de démocratisation : Bien que la recherche sur la vulnérabilité assistée par l’IA ne soit pas un concept nouveau, la préoccupation ici est la puissance même de ce modèle spécifique. S’il était rendu public, il pourrait fournir aux acteurs malveillants une « clé principale » pour accéder à l’infrastructure numérique mondiale.
Projet Glasswing : une coalition défensive
Pour atténuer les risques posés par Mythos, Anthropic a lancé le Projet Glasswing. Cette initiative vise à transformer une arme potentielle en bouclier défensif en donnant accès à un vaste consortium de géants de la technologie et de leaders de la sécurité.
La coalition comprend des poids lourds de l’industrie tels que :
– Cloud et infrastructure : Amazon Web Services (AWS), Microsoft, Google et Nvidia.
– Matériel et réseau : Réseaux Cisco, Broadcom et Palo Alto.
– Sécurité et finance : CrowdStrike, JPMorgan Chase et la Linux Foundation.
Anthropic soutient cet effort avec des ressources importantes, en engageant 100 millions de dollars en crédits d’utilisation pour le modèle Mythos et 4 millions de dollars en dons à des organisations de sécurité open source. L’objectif est de permettre à ces entreprises d’utiliser l’IA pour « renforcer » leurs défenses avant que les pirates informatiques puissent utiliser une technologie similaire pour les attaquer.
Réactions industrielles et politiques
La réponse du secteur technologique a été d’une urgence prudente. Les dirigeants d’AWS et de Cisco ont décrit le modèle comme un « changement radical » dans le raisonnement, notant qu’il découvre déjà des moyens de renforcer même les systèmes les plus testés.
Toutefois, les experts notent que cela s’inscrit dans une tendance qui s’accélère. Michal Salát, directeur des renseignements sur les menaces chez Norton, souligne que même si la recherche sur les vulnérabilités basée sur l’IA a existé dans des environnements contrôlés (comme les défis de la DARPA), l’arrivée de modèles spécialisés et hautement performants fait entrer la menace dans le monde réel à une échelle sans précédent.
Cette évolution attire également l’attention des décideurs politiques. Le sénateur américain Mark Warner a salué l’approche proactive, soulignant que, à mesure que l’IA accélère la découverte de failles, l’industrie doit agir tout aussi rapidement pour donner la priorité aux correctifs et à la protection des infrastructures critiques.
“Les dangers d’une erreur sont évidents, mais si nous y parvenons, il existe une réelle opportunité de créer un Internet fondamentalement plus sécurisé… qu’avant l’avènement des cybercapacités basées sur l’IA.” — Dario Amodei, PDG d’Anthropic
Conclusion
La décision d’Anthropic de cacher Claude Mythos au public met en évidence un tournant critique dans le développement de l’IA : le moment où les capacités d’un modèle deviennent un risque systémique pour la sécurité. Grâce au projet Glasswing, la société tente de créer un précédent en matière d’« IA défensive », en donnant la priorité au renforcement de l’infrastructure numérique mondiale plutôt qu’à une commercialisation immédiate.
