L’accès non autorisé d’un groupe Discord au puissant modèle Mythos d’Anthropic AI fait plus que soulever des questions sur les barrières de sécurité entourant les puissants outils de cybersécurité de l’IA.
Cela révèle un problème plus important pour le secteur de la cybersécurité : l’IA peut désormais trouver des failles et les exploiter si rapidement que les défenseurs pourraient être véritablement exposés.
Un groupe de chercheurs d’informations Discord alimentés par l’IA, l’un d’eux lié à un fournisseur tiers d’une startup d’IA, a réussi à accéder au système de défense de cybersécurité hautement gardé en février, le jour même de son lancement.
Grâce à une combinaison d’accès internes, de robots de recherche sur le Web et d’ingéniosité, la violation déclenche une nouvelle vague d’alarme dans un secteur déjà effrayé.
Ironiquement, alors que l’incident de Discord se déroulait, la Cloud Security Alliance – dans un rapport de réponse rapide publié quelques jours après le dévoilement de Mythos – a averti que l’IA accélérait la découverte de vulnérabilités plus rapidement que les organisations ne pouvaient suivre, créant ainsi la tempête parfaite pour les défenseurs.
En détectant des milliers de bogues et de zéros dans des centaines de systèmes logiciels, l’introduction de Mythos a effectivement réduit la fenêtre de mise à jour des correctifs sur laquelle les défenseurs s’appuient depuis des années, de quelques jours à quelques heures seulement.
Si elles sont publiées et adoptées par les pirates informatiques, les équipes de sécurité seront inévitablement chargées de créer un tout nouveau manuel pour aider à décider comment prioriser et résoudre ce qui compte, et rien ne garantit qu’elles pourront arrêter la cyber-hémorragie.
Plus de 250 responsables de la sécurité ont contribué à l’élaboration du briefing, qui affirme que le défi n’est plus seulement de trouver des failles, mais de décider lesquelles présentent réellement un risque réel et de les corriger avant qu’elles ne deviennent des vulnérabilités opérationnelles.
Il s’agit d’un changement que certains experts en sécurité affirment que l’industrie sous-estime encore. Le problème n’est plus seulement la découverte. Il s’agit de mesures correctives, de responsabilité et de savoir si les défenseurs peuvent suivre le rythme alors que l’IA passe de l’identification des vulnérabilités à la démonstration de la manière dont elles peuvent être exploitées dans le monde réel.
En fin de compte, le moment Mythe a peut-être moins à voir avec un modèle de cybersécurité unique et puissant qu’avec ce qui se passe dans la fenêtre de plus en plus étroite entre la découverte d’une faille et sa militarisation.
La réponse d’Anthropic, pour l’instant, est le projet Glasswing, un effort étroitement contrôlé visant à utiliser Mythos pour aider à protéger les logiciels critiques avant que des modèles comparables ne soient plus largement disponibles.
Mais même cela met en évidence le problème plus vaste : l’industrie sait ce qui s’en vient et a encore du mal à élaborer à temps le manuel indispensable pour se défendre contre des menaces plus importantes, comme les attaques d’États-nations ou les ransomwares.
Si un groupe de passionnés de l’IA pouvait s’introduire dans Mythos, soi-disant sans intention malveillante, imaginez les conséquences si les prochains à franchir cette porte étaient de véritables criminels.
Les opinions exprimées dans les commentaires de Fortune.com sont uniquement celles de leurs auteurs et ne reflètent pas nécessairement les opinions et croyances de Fortune.
