L’entreprise d’intelligence artificielle Anthropic a présenté son modèle Mythos Preview, particulièrement efficace lorsqu’il s’agit d’identifier et d’exploiter des vulnérabilités. L’entreprise d’IA a annoncé en parallèle une initiative industrielle baptisée Glaswing, qui vise à mettre ces capacités au profit de la défense et renforcer la cybersécurité des systèmes critiques.
C’est une drôle de communication qu’a adoptée Anthropic pour vanter les mérites de ses produits. L’entreprise d’IA a présenté les capacités potentiellement malveillantes de son dernier modèle, Myhtos Preview, pour en démontrer la puissance. Annoncé le 7 avril, ce modèle est présenté comme le plus performant « à ce jour », en codage et en tâches agentiques, a assuré l’entreprise dans un billet de blog technique.
Des milliers de vulnérabilités critiques détectées
Ce nouveau modèle de langage à usage général n’est autre que Mythos d’Anthropic, qui fait craindre, de la part de l’entreprise elle-même et de ses experts en cybersécurité, une amplification des cyberattaques. « Même des non-experts peuvent exploiter Mythos Preview pour identifier et exploiter des vulnérabilités sophistiquées », écrivent les chercheurs. Le modèle est présenté comme si puissant qu’il peut identifier des vulnérabilités zero-day et concevoir les moyens de les exploiter et ce, « dans tous les principaux systèmes d’exploitation et tous les principaux navigateurs web, lorsqu’un utilisateur le lui demande ». Parmi les failles détectées, certaines, très difficiles à repérer, existaient depuis 20 ans. « La plus ancienne identifiée étant un bug vieux de 27 ans dans OpenBSD — un système d’exploitation pourtant réputé pour sa sécurité — et désormais corrigé », écrivent les chercheurs.
Le modèle a également été capable d’obtenir des élévations de privilèges locales sur Linux et d’autres systèmes en exploitant des conditions de concurrence subtiles et des contournements du KASLR. Pour prouver l’efficacité du modèle, s’il est utilisé de façon malveillante, les experts d’Anthropic ont comparé ses capacités à celles d’Opus 4.6. Ce dernier n’a réussi que deux fois sur plusieurs centaines de tentatives à transformer des vulnérabilités découvertes dans le moteur JavaScript Firefox 147 de Mozilla en exploits shell JavaScript. L’expérience a été répétée avec Mythos Preview. Résultat des courses ? Il a produit des exploits fonctionnels à 181 reprises et a obtenu le contrôle des registres dans 29 cas supplémentaires. À ce jour, Mythos Preview a découvert des milliers de vulnérabilités critiques. Les experts préviennent : « les modèles de langage sont désormais des machines remarquablement efficaces pour détecter et exploiter des vulnérabilités », et la tendance ne devrait pas s’inverser.
Des performances au service de la défense ?
L’entreprise prévient : « il ne faudra pas longtemps avant que ces capacités se généralisent, potentiellement au-delà d’acteurs engagés à les utiliser de manière responsable ». Elle tempère toutefois et estime que les capacités défensives finiront par dominer, et que les logiciels seront mieux sécurisés, notamment grâce au code écrit par les modèles.
Elle prévient cependant que : « la période de transition sera difficile. Nous devons donc commencer à agir dès maintenant », et invite la communauté à être proactive et à anticiper les menaces systémiques potentielles. Dans cette optique, Anthropic a annoncé le projet Glaswing. Cette initiative réunit Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks et a pour but de sécuriser les logiciels les plus critiques au monde et de mettre les capacités de son modèle au service de la défense.
Les partenaires utiliseront Mythos Preview dans leurs travaux de cybersécurité défensive ; Anthropic partagera ensuite les enseignements tirés. Anthropic a également accordé un accès à plus de 40 organisations supplémentaires qui développent ou maintiennent des infrastructures logicielles critiques, afin qu’elles puissent utiliser le modèle pour analyser et sécuriser leurs propres systèmes ainsi que des systèmes open source. L’entreprise s’engage à fournir jusqu’à 100 millions de dollars de crédits d’utilisation pour Mythos Preview dans le cadre de ces efforts, ainsi que 4 millions de dollars de dons directs à des organisations de sécurité open source.
