Le LLM Claude Mythos d’Anthropic pourrait avoir des conséquences catastrophiques pour la cybersécurité ; il n’est donc accessible qu’aux responsables chargés de son application.
L’entreprise d’IA Anthropic a dévoilé son dernier grand modèle de langage, le plus puissant à ce jour, baptisé Claude Mythos Preview. C’est le modèle le plus performant qu’elle ait jamais construit, et il est si puissant que l’entreprise refuse de le mettre à la disposition du public.
Anthropic espère que Mythos pourra être utilisé par les organisations d’infrastructures technologiques clés et les gouvernements pour verrouiller la cybersécurité avant que des outils de cette puissance ne tombent dans le domaine public. Voici un aperçu de Claude Mythos et de l’objectif de sa nouvelle initiative, le Projet Glasswing, qui réunit Apple, Amazon et plus de 40 autres poids lourds du secteur.
Qu’est-ce que Claude Mythos ?
Claude Mythos Preview est un nouveau modèle de pointe (“frontier model”) entraîné par Anthropic dans le but de sécuriser les logiciels les plus importants de la planète. Son expertise en cybersécurité est telle que les propres ingénieurs d’Anthropic ont découvert que le modèle était capable de trouver des dizaines de failles dans chaque système d’exploitation et navigateur web majeur. Anthropic affirme que Claude Mythos a débusqué « des milliers de vulnérabilités “zero-day”, dont beaucoup sont critiques », sans aucune aide humaine.
Par exemple, « Mythos Preview a découvert une vulnérabilité vieille de 27 ans dans OpenBSD — qui a pourtant la réputation d’être l’un des systèmes d’exploitation les plus sécurisés au monde et qui est utilisé pour faire fonctionner des pare-feu et d’autres infrastructures critiques. Cette faille permettait à un attaquant de faire planter à distance n’importe quelle machine utilisant ce système, simplement en s’y connectant. »
En effet, Claude Mythos est si performant qu’il risque de dépasser tous les efforts actuels de sécurisation des logiciels, surtout avec la prolifération rapide des outils d’IA. Il serait donc hautement irresponsable de rendre Claude Mythos public, étant donné que des acteurs malveillants exploiteraient sans aucun doute ces capacités pour mener à bien leurs sombres projets. Comme le résume Anthropic : « Les retombées — pour les économies, la sécurité publique et la sécurité nationale — pourraient être graves. »
Que fait Anthropic pour y remédier ?
Au lieu de diffuser le modèle au grand public, l’entreprise s’est associée à 40 des plus grandes sociétés technologiques et institutions financières mondiales pour leur offrir un accès restreint. Elles peuvent utiliser Mythos pour scanner leurs propres logiciels propriétaires à la recherche de vulnérabilités et corriger ces failles potentielles.
Cette initiative, baptisée Projet Glasswing, implique notamment Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Fondation Linux, Microsoft, NVIDIA et Palo Alto Networks.
Les entreprises utilisant Mythos Preview ont constaté un taux de protection contre les vulnérabilités de 83,1 %, contre 66,6 % pour le modèle Opus (version 4.6).
L’entreprise affirme que ces efforts ne sont que le début. Anthropic écrit : « Nous avons l’intention d’étendre la portée de ce travail sur plusieurs mois. Nous partagerons autant d’informations que possible pour que d’autres organisations puissent appliquer ces leçons à leur propre sécurité. »
D’ici 90 jours, Anthropic publiera un rapport sur les enseignements tirés, ainsi que sur les vulnérabilités corrigées. La collaboration portera également sur l’évolution des pratiques de sécurité à l’ère de l’IA, incluant :
• Les processus de divulgation des vulnérabilités ;
• La mise à jour des logiciels et la sécurité de la chaîne d’approvisionnement ;
• L’automatisation du tri des alertes (“triage”) et des correctifs (“patching”).
