Des professionnels de la sécurité contestent les alertes selon lesquelles le modèle d’IA Mythos d’Anthropic non encore publié déclencherait une vague de piratages, qualifiant la réaction d’excessive un mois après son lancement.
Les praticiens tempèrent la panique autour de Mythos
Les risques de piratage liés à Mythos semblent plus limités que ce que les gouvernements craignaient au départ, a rapporté Reuters mercredi. Lors de son lancement en avril, Anthropic a indiqué que le modèle avait découvert des milliers de failles logicielles couvrant tous les principaux systèmes d’exploitation et navigateurs.
Des responsables de plusieurs pays ont rencontré des banques pour évaluer leur exposition, et la Maison-Blanche, début mai, envisageait déjà des règles sur la manière dont les laboratoires publient les nouveaux modèles après les tests de sécurité.
Dans le milieu de la cybersécurité, la réaction a été plus mesurée. « Je pense qu’il existe un très grand fossé de communication entre les praticiens et les décideurs politiques », a déclaré à Reuters Isaac Evans, fondateur et PDG de la société de sécurité logicielle Semgrep, dans une interview. Le modèle représente « un véritable progrès technique », a‑t‑il ajouté, même si la réaction du public « n’est pas étayée par ce que nous savons réellement ».
À lire aussi : Claude Mythos AI a construit des exploits fonctionnels sur 50 dépôts Cloudflare, puis a refusé de faire une démo
Des experts évaluent un risque mesuré
Le problème principal n’est pas tant de trouver des bugs que de les prioriser. Un chercheur en vulnérabilités ayant eu un accès anticipé a expliqué que l’IA a mis au jour davantage de failles que les équipes ne peuvent en traiter depuis des mois, la validation et la mise à jour des correctifs constituant le véritable goulot d’étranglement.
Mythos abaisse la barrière d’entrée, car il produit des résultats à partir de requêtes plus faibles que celles exigées par les modèles précédents.
Anthony Grieco, vice‑président senior et directeur de la sécurité et de la confiance chez Cisco, a souligné l’accélération de l’analyse de code et la réduction des faux positifs, ce qui aide les défenseurs à se concentrer sur les risques les plus urgents. Mythos comporte également moins de garde‑fous que les versions antérieures.
Cynthia Kaiser, ancienne haute responsable de la cybersécurité au FBI et désormais chez la société de sécurité Halcyon, a indiqué que la plupart des attaques ne reposent toujours pas sur l’IA. « Nos adversaires sont déjà devenus très efficaces sans IA », a‑t‑elle déclaré, notant que les groupes de rançongiciels parviennent désormais à frapper leurs victimes en moins d’une heure.
Contexte du Project Glasswing
Anthropic a lancé Project Glasswing le 7 avril, donnant à certaines organisations un accès au Claude Mythos Preview pour des travaux de cybersécurité défensive, avec des partenaires comme Apple, Microsoft, Google, AWS et CrowdStrike. Le Pentagone a qualifié Anthropic de risque pour la chaîne d’approvisionnement en mars, alors même que la NSA aurait continué d’utiliser Mythos Preview. Fin avril, la Maison‑Blanche a rejeté un plan visant à élargir la liste de partenaires d’environ 50 entreprises à près de 120.
À suivre : BitMine achète 71 672 ETH tandis que Tom Lee considère le creux à 2 200 $ comme une bonne affaire