Les hackers pourraient exploiter le modèle Mythos pour dénicher des vulnérabilités et mener des cyberattaques. C’est pourquoi la société Anthropic choisit de le garder sous restriction. Ce choix pourrait avoir de lourdes conséquences.
La récente annonce de la société d’IA Anthropic évoque un scénario alarmant : un modèle d’IA puissant pourrait permettre à des hackers malveillants de lancer des cyberattaques automatisées à grande échelle. Les systèmes de défense seraient alors submergés.
Pour l’heure, il n’en est pas encore là. Toutefois, ce que la firme a récemment publié est préoccupant. Son modèle de langage universel, Claude Mythos, est capable d’identifier de manière autonome des failles dans les logiciels et d’exploiter ces vulnérabilités.
Selon Anthropic, le modèle aurait détecté des milliers de failles potentielles, certaines demeurant inaperçues durant des années. Tous les systèmes d’exploitation majeurs et navigateurs seraient concernés, selon la société. Bien que toutes les vulnérabilités identifiées par Mythos n’aient pas pu être vérifiées, des échantillons révèlent un taux de précision compris entre 89 et 98 %.
Ce modèle a pu identifier les vulnérabilités uniquement en ayant accès au code source des logiciels. Cela ne signifie pas qu’il a mené des attaques automatiques sur des serveurs en ligne, mais les acteurs malveillants pourraient tirer profit de ses capacités pour des cyberattaques. Pour cette raison, Anthropic préfère ne pas rendre ce modèle d’IA accessible au grand public.
L’accès au modèle Mythos limité à certains utilisateurs
Au lieu de rendre Claude Mythos public, Anthropic le met à disposition d’un cercle restreint d’utilisateurs. Parmi eux se trouvent des entreprises technologiques comme Microsoft, Apple, Google, ainsi que des sociétés de sécurité informatique comme Crowdstrike, et JP Morgan Chase, la première banque américaine. Ces cinquante entreprises pourront utiliser le modèle dans le cadre d’un projet intitulé « Glasswing » pour renforcer la sécurité de leurs logiciels.
Les modèles d’IA progressent dans la détection des vulnérabilités, mais certains spécialistes estiment que l’annonce d’Anthropic relève davantage du marketing. La société Aisle, par exemple, utilise déjà divers modèles d’IA pour repérer les failles, avec succès. Elle a pu confirmer certaines des vulnérabilités révélées par Anthropic avec des modèles plus simples et anciens.
Néanmoins, si Anthropic mise sur le marketing avec son modèle Mythos, cela soulève une question cruciale en matière de cybersécurité : beaucoup de logiciels sont encore balbutiants, présentant trop de vulnérabilités. Cela expose un grand nombre de dispositifs à risque sur Internet, facilitant ainsi les cyberattaques.
L’IA peut entraîner d’importants changements dans ce domaine dans les mois à venir. Les attaquants auront moins besoin de compétences techniques pour identifier les failles et pouvoiront les exploiter plus rapidement. L’automatisation des cyberattaques devient donc envisageable. Dans un rapport récent, la Cloud Security Alliance indique qu’il faut s’attendre à un nombre croissant d’attaques complexes et innovantes.
Cependant, l’IA peut également aider à prévenir et à contrer les cyberattaques. Le fait qu’Anthropic utilise son dernier modèle pour permettre à certains partenaires de découvrir des failles plus rapidement est une avancée importante, même si Mythos n’est pas le seul modèle capable de déceler des vulnérabilités. Idéalement, le projet « Glasswing » pourrait marquer le début d’une initiative plus vaste, impliquant d’autres acteurs du secteur.
Anthropic souhaite s’établir comme un leader en matière de cybersécurité aux États-Unis, ce qui est d’autant plus significatif vu qu’elle fait face à des poursuites judiciaires de la part du gouvernement américain. Le ministère de la Défense estime que ses produits pourraient constituer un risque pour la sécurité nationale, ce qui pourrait avoir des répercussions économiques. Cela ne découle pas de réels problèmes de sécurité, mais de la volonté de l’entreprise de ne pas fournir ses modèles d’IA sans restrictions à l’armée américaine.
Les entreprises doivent s’attendre à davantage de mises à jour
Utiliser l’IA peut renforcer la sécurité des logiciels. Cependant, cela nécessite plus qu’un modèle performant pour identifier les vulnérabilités. Les sociétés de logiciels doivent avoir les ressources et les processus nécessaires pour produire et diffuser rapidement les mises à jour de sécurité. De plus, les utilisateurs doivent installer ces mises à jour, ce qui est souvent négligé.
Les nouvelles menaces que l’IA représente pour la cybersécurité sont désormais reconnues par de nombreux responsables. Cependant, ils n’obtiennent pas toujours les ressources nécessaires. L’arrivée du modèle Mythos pourrait susciter l’attention qu’il leur faut, comme le souligne la Cloud Security Alliance : « La publication de Mythos a attiré l’attention des dirigeants. » Cela pourrait ouvrir des portes pour obtenir les fonds indispensables. Si tel est le cas, l’engouement autour de Mythos pourrait avoir un impact bénéfique.