L'IA Mythos d'Anthropic découvre 2 000 failles et suscite des craintes pour les infrastructures

Le nouveau modèle d'IA Mythos d'Anthropic a découvert plus de 2 000 vulnérabilités logicielles en seulement sept semaines de test, forçant une vague de correctifs logiciels et lançant l'alerte sur la sécurité des infrastructures critiques nationales. Le modèle, capable de surpasser les experts humains pour identifier les bugs, fait actuellement l'objet d'un essai limité auprès d'environ 40 institutions, dont Amazon, Microsoft et JPMorgan Chase. Ces révélations ont déclenché des discussions urgentes entre les entreprises et les gouvernements sur la gestion des risques d'une technologie à double usage aussi puissante.

« De ce que je comprends, il y avait un monde avant Mythos, et il y a un monde après Mythos », a déclaré Jeetu Patel, chef de produit chez Cisco, dans une interview au Financial Times.

L'effet immédiat pour les participants à l'essai a été un déluge de mises à jour logicielles. Bryan Preston, directeur financier de Fifth Third Bank, a noté que son fournisseur technologique Microsoft a poussé près de 150 mises à jour depuis la sortie de Mythos. Bien que le modèle ne soit pas public, Anthropic a révélé cette semaine qu'elle enquêtait sur des rapports d'accès non autorisés via des canaux tiers, intensifiant les craintes quant à la prolifération du modèle.

La menace principale réside dans la capacité avancée du modèle à « enchaîner » plusieurs vulnérabilités pour contourner les systèmes de sécurité, une capacité qui le rend bien plus dangereux que les outils précédents en cas de mauvaise utilisation. Cela pose un risque sans précédent pour les secteurs critiques tels que la banque, les hôpitaux et les services publics, qui dépendent souvent de logiciels anciens difficiles à mettre à jour sans causer de perturbations majeures de service.

Le flux de correctifs crée une pression opérationnelle

Si la valeur défensive de la découverte de failles cachées est évidente, le volume impressionnant de vulnérabilités identifiées par Mythos crée de nouveaux défis opérationnels. Haider Pasha, responsable de la sécurité chez Palo Alto Networks, a averti que le modèle pourrait déclencher des déploiements de correctifs à grande échelle mettant en péril la stabilité des systèmes d'entreprise. La difficulté est plus aiguë pour les opérateurs d'infrastructures critiques, qui ne peuvent souvent pas se permettre d'interruption du système. « Le plus dur avec les correctifs, c'est qu'il faut parfois arrêter le système », a déclaré Patel. « La plupart des organisations ne peuvent pas se permettre de temps d'arrêt, elles le font donc lors de fenêtres programmées. » Ce décalage entre la découverte de la vulnérabilité et le correctif pourrait créer une fenêtre dangereuse pour des attaquants armés des mêmes capacités d'IA.

Les gouvernements et les banques se mobilisent

L'émergence de Mythos a suscité une réaction rapide des gouvernements et des institutions financières du monde entier. La ministre indienne des Finances, Nirmala Sitharaman, a présidé une réunion de haut niveau avec les dirigeants de banques, la Banque de réserve de l'Inde et l'équipe d'intervention d'urgence informatique indienne (CERT-In) pour évaluer la menace. Saluant le travail de cybersécurité accompli par les banques, elle a souligné que la menace posée par ce dernier modèle d'IA est « sans précédent » et nécessite un haut degré de vigilance et de coordination. Le gouvernement a insisté sur la nécessité d'un cadre de partage de renseignements sur les menaces en temps réel entre les banques et les agences. Les banques centrales et les institutions financières auraient demandé l'accès à Mythos auprès d'Anthropic, mais l'entreprise a refusé de fournir un calendrier, citant les risques immenses.

Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.