Anthropic Says Its New AI Model Is So Good at Finding Security Risks, You Can't Use It

Anthropic déclare que son nouveau modèle d'IA est si performant pour détecter les risques de sécurité qu'il ne peut pas être utilisé

Le développeur d'IA Anthropic annonce que son dernier modèle d'intelligence artificielle, Claude, est si efficace pour identifier les vulnérabilités en cybersécurité qu'il ne sera pas mis à la disposition du public. L'entreprise fournit plutôt cet outil aux grands fournisseurs d'infrastructure technologique afin qu'ils puissent corriger les failles qu'il détecte.

À la fin mars, des rumeurs ont commencé à circuler concernant le dernier modèle d'IA d'Anthropic, baptisé Claude Mythos. L'entreprise a maintenant présenté ses capacités et averti que Mythos représente une menace majeure pour la cybersécurité, car ses fonctionnalités permettent de détecter et d'exploiter les vulnérabilités de sécurité en ligne. "Les modèles d'IA ont atteint un niveau de capacité de codage où ils peuvent surpasser tous sauf les humains les plus qualifiés dans la détection et l'exploitation des vulnérabilités logicielles", a déclaré l'entreprise dans un article de blog mardi.

Anthropic a indiqué que Mythos Preview, qui n'a pas été rendu public, a déjà identifié ce qu'elle considère comme des milliers de vulnérabilités de sécurité graves "dans chaque système d'exploitation majeur et navigateur web". Lorsqu'on lui a demandé un commentaire, un représentant d'Anthropic a renvoyé CNET vers l'article de blog de l'entreprise.

Pour répondre aux risques de cybersécurité, Anthropic a annoncé le lancement d'un consortium appelé Project Glasswing, qui inclut des entreprises telles qu'Apple, Amazon Web Services, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks. Anthropic a précisé que ces organisations, ainsi que plus de 40 autres, auront accès à Mythos afin de commencer à renforcer les défenses contre les attaques et les exploits basés sur l'IA. L'entreprise s'engage à fournir 100 millions de dollars en crédits d'utilisation pour Mythos et 4 millions de dollars en dons à des organisations de sécurité open-source.

"Les dangers de se tromper sont évidents, mais si nous réussissons, il y a une réelle opportunité de créer un internet et un monde fondamentalement plus sûrs qu'avant l'avènement des capacités de cybersécurité alimentées par l'IA", a posté le PDG d'Anthropic, Dario Amodei, sur X.

Dans une vidéo publiée sur YouTube à propos du Project Glasswing, des dirigeants d'entreprises telles que Microsoft, la Linux Foundation et Anthropic ont discuté des dommages que les vulnérabilités logicielles peuvent causer. De grandes entreprises de cloud computing ont déjà travaillé avec le nouveau modèle pour identifier des vulnérabilités. "Ce que nous avons trouvé a été éclairant", a écrit Anthony Grieco, responsable de la sécurité et de la confiance chez Cisco, dans un article de blog. "Maintenant, le vrai travail commence. L'analyse alimentée par l'IA découvre des données à une échelle et une profondeur que les cadres hérités n'étaient pas conçus pour accueillir."

Amazon Web Services a déclaré que le modèle avait déjà trouvé des moyens de renforcer le code même dans ses systèmes les plus éprouvés. Amy Herzog, vice-présidente et responsable de la sécurité de l'information chez AWS, a qualifié Claude Mythos Preview de "changement radical dans le raisonnement et les capacités de l'IA pour la cybersécurité".

Quelle est l'importance de ce nouveau modèle ?

Le phénomène selon lequel l'IA peut découvrir et potentiellement exploiter des vulnérabilités logicielles n'est pas nouveau. Le DARPA Cyber Grand Challenge a déjà vu plusieurs cas d'IA attirant l'attention dans ce domaine, a déclaré Michal Salát, directeur de l'intelligence des menaces chez Norton, le fournisseur d'antivirus.

Cependant, la technologie d'IA qui pourrait être accessible à tous possède certaines de ces capacités. "Le Project Glasswing d'Anthropic est axé sur la protection de cette technologie puissante, qui peut transformer la recherche de vulnérabilités mais aussi poser un risque sérieux si elle est mal utilisée à des fins malveillantes", a déclaré Salát dans un e-mail. "Bien qu'il représente un avancement majeur par rapport aux modèles actuels tels que Opus 4.6, la capacité sous-jacente existe déjà aujourd'hui, et la recherche de vulnérabilités émerge rapidement comme l'un des principaux cas d'utilisation concrets de l'IA en cybersécurité."

Les décideurs nationaux, qui ont oscillé entre la nécessité d'une réglementation fédérale sur l'IA, suivront probablement de près les progrès du consortium.

Le sénateur Mark Warner a salué l'initiative dans une déclaration. "J'applaudis ces entreprises leaders pour avoir reconnu cette menace et pour partager proactivement des informations, des capacités et des ressources informatiques afin de mieux protéger notre infrastructure critique", a déclaré le démocrate de Virginie. "Alors que l'IA accélère considérablement la découverte de nouvelles vulnérabilités, j'espère que l'industrie accélérera et re-priorisera en conséquence le patching."

Warner, dont l'État est un foyer de centres de données IA, a récemment qualifié une proposition de moratoire sur la construction de centres de données d'"idiotie", mais a également averti des risques pour la société posés par le développement rapide de l'IA, entraînant d'énormes pertes d'emplois.