Anthropic a annoncé le déploiement de son modèle d'IA, Claude Mythos Preview, auprès d'un groupe restreint d'entreprises après que le nouveau modèle ait découvert des milliers de vulnérabilités critiques dans les systèmes d'exploitation, les navigateurs web et d'autres logiciels.
Le nouveau modèle polyvalent, a déclaré Anthropic, a également trouvé des vulnérabilités de haute sécurité dans chaque système d'exploitation et navigateur web majeur.
« Compte tenu du rythme des progrès de l'IA, il ne faudra pas longtemps avant que de telles capacités ne prolifèrent, potentiellement au-delà des acteurs engagés à les déployer en toute sécurité. »
L'IA a déjà été utilisée par des pirates informatiques pour mener des cyberattaques. Il y a eu une augmentation de 72 % d'une année sur l'autre des cyberattaques basées sur l'IA, 87 % des organisations mondiales ayant subi des cyberattaques activées par l'IA en 2025, selon AllAboutAI.
Anthropic a exprimé son inquiétude quant à ce qui se passerait si des capacités d'IA similaires étaient utilisées par des acteurs malveillants.
Pour lutter contre cela, Anthropic a annoncé mardi le Projet Glasswing, une nouvelle initiative qui rassemble plus de 40 entreprises, dont Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft et Nvidia.
Le Projet Glasswing utilisera les capacités de Claude Mythos Preview pour trouver des failles de manière défensive, partager les données avec ses partenaires et anticiper les menaces en corrigeant les vulnérabilités critiques avant que des acteurs malveillants ne puissent les exploiter.
Une vulnérabilité zero-day est une faille logicielle qui peut être exploitée avant même que quiconque ayant la capacité de la corriger n'en ait connaissance. Historiquement, la découverte et la correction de ces failles exigeaient une expertise humaine rare et coûteuse, mais l'IA pourrait modifier l'échelle et la vitesse de détection.
Anthropic a déclaré que les vulnérabilités qu'il découvre sont « souvent subtiles ou difficiles à détecter ».
Beaucoup d'entre elles ont 10 ou 20 ans, la plus ancienne découverte à ce jour étant une faille vieille de 27 ans, désormais corrigée, dans OpenBSD — un système d'exploitation principalement connu pour sa sécurité, a-t-il ajouté.
Il a également trouvé une faille vieille de 16 ans dans la bibliothèque de traitement multimédia FFmpeg, une vulnérabilité d'exécution de code à distance vieille de 17 ans dans le système d'exploitation open-source FreeBSD et de nombreuses vulnérabilités dans le noyau Linux.
Article connexe : Les actions de cybersécurité chutent après le dévoilement de Claude Code Security par Anthropic
Mythos Preview a également identifié plusieurs faiblesses dans les bibliothèques de cryptographie, les algorithmes et les protocoles les plus populaires au monde, y compris TLS, AES-GCM et SSH.
Il a ajouté que les applications web « contiennent une myriade de vulnérabilités », allant du cross-site scripting et de l'injection SQL à des vulnérabilités spécifiques au domaine telles que la falsification de requêtes intersites (cross-site request forgery), qui est souvent utilisée dans les attaques de phishing.
Anthropic a affirmé que 99 % des vulnérabilités qu'il a découvertes n'ont pas encore été corrigées, « il serait donc irresponsable de notre part d'en divulguer les détails ».
Anthropic a déclaré que ce n'est probablement que le début d'une tendance, et que le « travail de défense de la cyber-infrastructure mondiale pourrait prendre des années », mais que l'IA aidera à renforcer les logiciels et les systèmes.
« À long terme, nous nous attendons à ce que les capacités de défense dominent : le monde émergera plus sûr, avec des logiciels mieux renforcés — en grande partie grâce au code écrit par ces modèles. Mais la période de transition sera périlleuse. »
Magazine : Personne ne sait si la cryptographie quantique sécurisée fonctionnera un jour
