Anthropic a provoqué la panique à l’échelle de l’industrie la semaine dernière en annonçant Claude Mythos Preview, un modèle d’intelligence artificielle capable de découvrir des vulnérabilités de cybersécurité de haut niveau.
Parmi ses réalisations, le modèle a découvert une faiblesse désormais corrigée dans OpenBSD, un système d’exploitation connu pour sa sécurité, qui, selon Anthropic, n’a pas été découverte depuis 27 ans.
Il a également découvert « des milliers de vulnérabilités supplémentaires de haute gravité et critiques » dans les programmes open source et fermés, selon la société.
Les experts techniques et autres experts ont ensuite paniqué à l’idée que le grand modèle linguistique puisse perturber la cybersécurité, mais un vétéran de l’industrie depuis 25 ans est sceptique.
David Lindner, responsable de la sécurité des informations chez Contrast Security, a déclaré à Fortune que même si Mythos peut aider à résoudre d’innombrables problèmes, celui-ci n’est pas nécessairement le plus important.
“Nous n’avons jamais eu de problème pour trouver les vulnérabilités. Nous les trouvons tous les jours. En fait, nous en avons beaucoup que nous ne corrigeons tout simplement pas”, a-t-il déclaré. “Donc je ne pense pas que cela change vraiment quoi que ce soit.”
Lindner a noté que les faiblesses sont plus faciles à trouver qu’à corriger, notant que le billet de blog d’Anthropic annonçant Mythos affirmait que plus de 99 % des vulnérabilités découvertes par le modèle n’avaient pas été corrigées.
Plus précisément, a-t-il déclaré, Mythos ne fait pas grand-chose pour aider à résoudre l’un des plus gros problèmes auxquels sont confrontés les experts en cybersécurité : l’ingénierie sociale. Les pirates peuvent toujours utiliser les outils existants et l’intelligence artificielle pour se faire passer pour le patron ou l’informaticien d’un employé et accéder aux systèmes, a-t-il soutenu.
Anthropic a déclaré que Mythos est si puissant qu’il ne sera pas rendu public et sera disponible uniquement à un groupe de 40 organisations, y compris des sociétés technologiques telles que Microsoft, Apple et Google, ainsi que d’autres comme la société de cybersécurité CrowdStrike et la banque JPMorgan Chase afin qu’elles puissent utiliser la technologie pour améliorer leur propre infrastructure de sécurité grâce à un effort appelé Project Glasswing.
Étant donné que de nombreuses personnes ont accès au modèle, Lindner a également prédit qu’il ne resterait pas secret longtemps.
“Même si, entre guillemets, ils ne la publient pas, la Chine aura une version dans cinq ou six mois, et il y aura une version open source d’ici un an ou deux”, a-t-il déclaré.
À propos, Fortune a été le premier à rendre compte du développement de Mythos, grâce à une faille de sécurité dans laquelle la société a laissé des détails sur le grand modèle de langage dans une base de données accessible au public.
Pendant ce temps, le capital-risqueur Marc Andreessen s’est demandé si Anthropic retardait réellement le lancement de Mythos pour des raisons de sécurité ou parce qu’il n’avait pas la puissance de calcul nécessaire pour prendre en charge un lancement général. Anthropic a récemment été confronté à de fréquentes pannes et a limité la puissance de calcul de ses utilisateurs pendant les heures de pointe, a rapporté le Wall Street Journal ce week-end.
Pourtant, d’autres experts en cybersécurité restent attentifs à Mythos et à son potentiel à remodeler la cybersécurité. Zach Lewis, directeur de l’information et responsable de la sécurité de l’information à l’Université des sciences de la santé et de la pharmacie de Saint-Louis, a déclaré à Fortune qu’il craignait que Mythos facilite grandement l’exploitation des systèmes par les mauvais acteurs, même ceux qui ont peu d’expérience en codage.
“Les acteurs malveillants n’ont même pas besoin de connaissances (ils n’ont pas besoin d’expérience) en matière de codage ou de conception de logiciels pour comprendre le fonctionnement de ces systèmes. Ils peuvent déployer un agent qui peut le faire à leur place”, a-t-il déclaré.
Selon Lewis, une partie de la solution pour les organisations pourrait consister à redoubler d’efforts dans les stratégies qui déjouent déjà des centaines, voire des milliers de tentatives d’exploitation par jour.
Cela implique de corriger les vulnérabilités existantes et de garantir que les autorisations dont disposent les employés sont strictement limitées afin qu’elles ne puissent pas être exploitées.
“Ces choses doivent être bloquées”, a-t-il déclaré.
