Anthropic a annoncé qu'elle déploie son modèle d'IA, Claude Mythos Preview, auprès d'un groupe restreint d'entreprises uniquement, après que le nouveau modèle a découvert des milliers de vulnérabilités critiques dans les systèmes d'exploitation, les navigateurs web et d'autres logiciels.
Le nouveau modèle polyvalent, a déclaré Anthropic, a également découvert des vulnérabilités de haute sécurité dans tous les principaux systèmes d'exploitation et navigateurs web.
L'IA a déjà été utilisée par des pirates pour mener des cyberattaques. Il y a eu une augmentation de 72 % d'une année sur l'autre des cyberattaques pilotées par l'IA, avec 87 % des organisations mondiales subissant des cyberattaques alimentées par l'IA en 2025, selon AllAboutAI.
Anthropic a exprimé son inquiétude quant à ce qui se passerait si des capacités d'IA similaires étaient utilisées par des acteurs malveillants.
Pour lutter contre cela, Anthropic a annoncé mardi le Project Glasswing, une nouvelle initiative qui rassemble plus de 40 entreprises, dont Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft et Nvidia.
Le Project Glasswing utilisera les capacités de Claude Mythos Preview pour trouver défensivement des bugs, partager les données avec ses partenaires et devancer les menaces en corrigeant les vulnérabilités critiques avant que les acteurs malveillants ne puissent les exploiter.
Des bugs vieux de plusieurs décennies sont découverts
Une vulnérabilité zero-day est un bug logiciel qui peut être exploité avant même que quiconque ayant la capacité de le corriger ne sache qu'il existe. Les trouver et les corriger a historiquement nécessité une expertise humaine rare et coûteuse, mais l'IA pourrait changer l'échelle et la vitesse de détection.
Anthropic a déclaré que les vulnérabilités qu'elle trouve sont « souvent subtiles ou difficiles à détecter. »
Beaucoup d'entre elles ont 10 ou 20 ans, la plus ancienne trouvée jusqu'à présent étant un bug de 27 ans maintenant corrigé dans OpenBSD — un système d'exploitation connu principalement pour sa sécurité, a-t-elle ajouté.
Elle a également trouvé un bug de 16 ans dans la bibliothèque de traitement multimédia FFmpeg, une vulnérabilité d'exécution de code à distance de 17 ans dans le système d'exploitation open source FreeBSD et de nombreuses vulnérabilités dans le noyau Linux.
Connexe : Les actions de cybersécurité chutent après qu'Anthropic dévoile Claude Code Security
Mythos Preview a également identifié plusieurs faiblesses dans les bibliothèques, algorithmes et protocoles de cryptographie les plus populaires au monde, notamment TLS, AES-GCM et SSH.
Il a ajouté que les applications web « contiennent une myriade de vulnérabilités », allant du cross-site scripting et de l'injection SQL aux vulnérabilités spécifiques au domaine telles que la falsification de requête inter-sites, souvent utilisée dans les attaques de phishing.
Cycle de vie d'une exploitation zero-day. Source : PhoenixNAP
Anthropic a affirmé que 99 % des vulnérabilités qu'elle a trouvées n'ont pas encore été corrigées, « il serait donc irresponsable de notre part de divulguer des détails à leur sujet ».
Les logiciels émergeront plus sécurisés, mais pas du jour au lendemain
Anthropic a déclaré que ce n'est probablement que le début d'une tendance, et que le « travail de défense de l'infrastructure cyber mondiale pourrait prendre des années », mais l'IA aidera à renforcer les logiciels et les systèmes.
Magazine : Personne ne sait si la cryptographie sécurisée quantique fonctionnera même
- #Apple
- #Microsoft
- #Cybersécurité
- #IA et Haute Technologie
