L’IA d’Anthropic jette le trouble sur la cybersécurité

Alerte générale ! Un article technique publié sur le blog par Anthropic a provoqué un tsunami de commentaires de vrais experts mais aussi hélas de soi-disant spécialistes en cybersécurité qui n’ont jamais vu de leur vie une ligne de code d’un virus.

Pourquoi une telle excitation ? Pour résumer ce fameux article en quelques mots, on peut dire que le projet Mythos d’Anthropic serait un super expert en cybersécurité. Ce nouveau modèle d’IA aurait trouvé de manière autonome des milliers de vulnérabilités « zero-day » sur tous les principaux systèmes d’exploitation et navigateurs web.

Une vulnérabilité zero day (ou 0-day) est un risque de sécurité dans un logiciel qui n’est pas connu publiquement et dont l’éditeur n’a même pas connaissance. Autant dire que la découverte d’une « zero day » permet au spécialiste qui l’a dénichée de partir tranquillement au soleil durant quelques semaines (avec 100 000 à plus de 200 000 euros en poche) surtout si elle concerne l’iOS d’Apple, Android ou un navigateur web.

Avec Mythos (mais d’autres IA en sont capables aussi), la découverte de vulnérabilités sur les logiciels bénéficie d’un énorme coup d’accélérateur. De quoi inquiéter les éditeurs de logiciels mais de façon générale toutes les entreprises qui pourraient être victimes d’une cyberattaque.

Autre raison de s’inquiéter, Mythos n’est pas disponible actuellement. Anthropic a préféré lancer Project Glasswing, un accès restreint pour un usage défensif uniquement. Seul Amazon Web Service, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft et Nvidia y ont droit.