A new Anthropic model found security problems ‘in every major operating system and web browser’

Un nouveau modèle d'Anthropic révèle des problèmes de sécurité dans tous les principaux systèmes d'exploitation et navigateurs web

Anthropic dévoile un nouveau modèle d'IA dans le cadre d'un partenariat en cybersécurité avec Nvidia, Google, Amazon Web Services, Apple, Microsoft et d'autres entreprises. Appelé Project Glasswing, il est présenté comme un moyen pour les grandes entreprises, et potentiellement même le gouvernement, de signaler les vulnérabilités dans leurs systèmes avec pratiquement aucune intervention humaine.

Anthropic offre à ses partenaires de lancement un accès à Claude Mythos Preview, un nouveau modèle à usage général qu'elle ne prévoit pas de publier publiquement en raison de préoccupations de sécurité. Newton Cheng, responsable de l'équipe rouge d'Anthropic, a déclaré à The Verge que le modèle devrait idéalement donner aux défenseurs cybernétiques un "avantage" face aux adversaires. Les partenaires utiliseront le modèle pour analyser leur système afin de repérer des vulnérabilités critiques et les aider à les corriger. L'accès est restreint pour empêcher ces mêmes adversaires de l'utiliser pour trouver des points faibles et mener des attaques.

Bien que Claude Mythos Preview n'ait pas été spécifiquement formé à des fins de cybersécurité, Anthropic a déclaré dans un communiqué que les "fortes compétences en codage et en raisonnement" du modèle sont à l'origine de ses avancées en cybersécurité. Dans une interview avec The Verge, Newton Cheng a refusé de partager des détails spécifiques sur les succès en cybersécurité du modèle au-delà des exemples publiés par l'entreprise, mais le billet de blog d'Anthropic a indiqué que, ces dernières semaines, Mythos Preview a signalé "des milliers de vulnérabilités de haute gravité, y compris certaines dans chaque système d'exploitation et navigateur web majeur." Le billet de blog d'Anthropic ne mentionne pas la nécessité de garder les humains impliqués dans les analyses de cybersécurité du modèle ; en fait, il souligne que le modèle a identifié des vulnérabilités "et développé de nombreuses exploitations connexes — entièrement de manière autonome, sans aucune intervention humaine."

L'existence de Claude Mythos Preview a été rapportée pour la première fois le mois dernier dans une fuite de données, qu'Anthropic attribue à une erreur humaine. Dianne Penn, responsable de la gestion des produits chez Anthropic, a déclaré à The Verge dans une interview que l'entreprise "prend des mesures pour solidifier nos processus … Cela n'était pas lié aux vulnérabilités logicielles de quelque manière que ce soit."

Mythos Preview sera disponible de manière privée pour les partenaires de Glasswing de l'entreprise, qui incluent également JPMorgan Chase, Broadcom, Cisco, CrowdStrike, la Linux Foundation et Palo Alto Networks, ainsi qu'environ 40 autres organisations qui maintiennent ou construisent des infrastructures logicielles. Pour l'instant, Anthropic aidera à subventionner le coût de son utilisation. L'entreprise affirme qu'elle s'engagera jusqu'à 100 millions de dollars en crédits d'utilisation, ainsi que 4 millions de dollars en dons directs à la Linux Foundation et à l'Apache Software Foundation, a déclaré Cheng. À long terme, alors qu'Anthropic et d'autres entreprises d'IA font face à la pression de réaliser des bénéfices, le programme pourrait évoluer vers un service payant qui fournirait une nouvelle source de revenus — si cela fonctionne suffisamment bien pour que les entreprises continuent à l'utiliser.

Malgré son récent affrontement très médiatisé avec l'administration Trump, Anthropic a également déclaré dans le communiqué qu'elle a eu des "discussions continues avec des responsables du gouvernement américain au sujet de Claude Mythos Preview et de ses capacités offensives et défensives en cybersécurité." Lorsque The Verge a demandé ce que cela signifiait, Penn a confirmé que l'entreprise avait "informé des responsables de haut niveau du gouvernement américain sur Mythos et ce qu'il peut faire," et que l'entreprise est toujours "engagée à travailler en étroite collaboration avec tous les niveaux du gouvernement." Cheng a indiqué qu'Anthropic est "engagée avec" le gouvernement, mais a refusé de préciser qui l'entreprise avait informé.