Il y a un mois, Anthropic a dévoilé Claude Mythos, un modèle d’IA conçu pour identifier des failles de sécurité dans les logiciels. L’IA a rapidement montré qu’elle était aussi capable de mettre au point des méthodes d’exploitation sur base des vulnérabilités débusquées. Face aux risques d’usage malveillant, Anthropic a choisi de ne pas rendre Mythos accessible au grand public.
Pour l’heure, seuls une cinquantaine de partenaires triés sur le volet ont accès à cet outil. Parmi eux, on retrouve des géants comme Amazon Web Services, Apple, Google, Microsoft, NVIDIA, CrowdStrike, JPMorganChase ou encore Palo Alto Networks. Les partenaires, regroupés sous l’initiative du « Project Glasswing », se sont mis à déployer l’IA sur leurs systèmes et à colmater les failles détectées avant que des hackers ne les exploitent.
À lire aussi : Claude Code chez Microsoft – pourquoi la lune de miel n’aura duré que quatre mois
10 000 vulnérabilités, dont des brèches critiques
En l’espace de trente jours, Claude Mythos a débusqué plus de 10 000 vulnérabilités, indique Anthropic dans son premier rapport. Il s’agit de failles de niveau élevé ou critique, dénichées dans le code de logiciels très répandus. Mythos a notamment passé au crible des projets open source. Dans ceux-ci, l’IA a trouvé 1 726 failles réelles confirmées, dont plus de 1 000 jugées critiques ou à haut risque.
« Après un mois, la plupart des partenaires ont chacun trouvé des centaines de vulnérabilités critiques ou de haute gravité dans leurs logiciels. Collectivement, ils en ont trouvé plus de dix mille », déclare Anthropic.
Notez que Mozilla a intégré à Firefox 150 pas moins de 271 correctifs de sécurité, tous détectés par Claude Mythos. De son côté, Cloudflare a recensé 2 000 bugs dans ses propres systèmes, dont 400 critiques. Selon Anthropic, le taux de détection de bugs par ses partenaires a été multiplié par plus de dix. Microsoft a même averti que ses cycles de mises à jour de sécurité vont « continuer à croître en volume dans un avenir proche », surtout à cause des découvertes de Mythos.
Parmi les découvertes les plus préoccupantes dénichées par l’IA, on trouve une faille dans wolfSSL, une bibliothèque de sécurité intégrée dans plus de cinq milliards d’objets connectés et de routeurs. Le modèle a développé de lui-même une démonstration d’attaque, montrant comment un cybercriminel pourrait concrètement exploiter cette faille pour piéger les internautes.
À lire aussi : Fuite de Claude Mythos – un groupe Discord a trouvé le moyen de contourner la sécurité d’Anthropic
Embouteillage chez les équipes de sécurité
Face aux découvertes à la chaîne de Mythos, les équipes de sécurité peinent à suivre. Il est en effet plus compliqué de corriger une faille que de l’identifier. La découverte de failles va désormais beaucoup plus vite que leur correction, et c’est précisément ce qui inquiète Anthropic. Le délai moyen de correction d’un bug stagne autour de deux semaines. Avec des dizaines de milliers d’anomalies à traiter, les équipes se retrouvent complètement sous l’eau.
« Les progrès en matière de sécurité logicielle étaient autrefois limités par la vitesse à laquelle nous pouvions trouver de nouvelles vulnérabilités. Désormais, c’est la vitesse à laquelle nous pouvons vérifier, divulguer et corriger le grand nombre de vulnérabilités détectées par l’IA qui constitue le frein », explique la start-up américaine.
En réaction, « certains mainteneurs ont même demandé à ralentir le rythme des divulgations car ils ont besoin de plus de temps pour concevoir des correctifs ». En dépit de l’embouteillage provoqué par les découvertes de Mythos, Anthropic a lancé un programme de vérification pour professionnels de la cybersécurité. Celui-ci permet d’utiliser les modèles d’Anthropic sans restriction pour des missions de sécurité, comme des tests d’intrusion. De quoi accroître le nombre de failles découvertes, et accentuer le phénomène d’embouteillage…
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Anthropic
