Les modèles d’IA de Frontier n’aident plus seulement les ingénieurs à écrire du code plus rapidement ou à automatiser les tâches de routine. Ils sont de plus en plus capables de détecter leurs erreurs.
Anthropic affirme que son nouveau modèle, Claude Opus 4.6, excelle dans la découverte des types de faiblesses logicielles qui sous-tendent les cyberattaques majeures. Selon un rapport de l’équipe Frontier Red de la société, lors des tests, Opus 4.6 a identifié plus de 500 vulnérabilités zero-day jusqu’alors inconnues (des failles inconnues des personnes qui ont écrit le logiciel ou de la partie responsable de son patch ou de sa réparation) dans les bibliothèques de logiciels open source. En particulier, il n’était pas explicitement demandé au modèle de rechercher des failles de sécurité, mais il détectait et signalait les problèmes de lui-même.
Anthropic affirme que « les résultats montrent que les modèles de langage peuvent ajouter une réelle valeur aux outils de découverte existants », mais reconnaît que les capacités sont également intrinsèquement « à double usage ».
Les attaquants peuvent facilement utiliser les mêmes fonctionnalités qui aident les entreprises à trouver et à corriger les failles de sécurité pour découvrir et exploiter les vulnérabilités avant que les défenseurs ne puissent les trouver. Un modèle d’IA capable d’identifier de manière autonome les exploits du jour zéro dans des logiciels largement utilisés pourrait accélérer les deux côtés de la course aux armements en matière de cybersécurité, faisant potentiellement pencher l’avantage vers celui qui agit le plus rapidement.
Logan Graham, chef de l’équipe Border Red d’Anthropic, a déclaré à Axios que l’entreprise considérait la cybersécurité comme une compétition entre attaque et défense, et souhaitait s’assurer que les défenseurs aient d’abord accès à ces outils.
Pour gérer une partie du risque, Anthropic met en œuvre de nouveaux systèmes de détection qui surveillent l’activité interne de Claude au fur et à mesure qu’elle génère des réponses, en utilisant ce que l’entreprise appelle des « sondes » pour signaler en temps réel toute utilisation abusive potentielle. La société affirme qu’elle étend également ses capacités d’application de la loi, notamment la capacité de bloquer le trafic identifié comme malveillant. Anthropic reconnaît que cette approche créera des frictions pour les chercheurs légitimes en sécurité et le travail défensif, et s’engage à collaborer avec la communauté de la sécurité pour relever ces défis. Selon l’entreprise, ces mesures de protection représentent « un pas en avant important » dans la détection et la réponse rapide aux abus, même si les travaux sont en cours.
OpenAI, en revanche, a adopté une approche plus prudente avec son nouveau modèle de codage, GPT-5.3-Codex, également publié jeudi. La société a souligné que même si le modèle a entraîné une augmentation des performances de chiffrement, ces gains s’accompagnent de graves risques en matière de cybersécurité. Le PDG d’OpenAI, Sam Altman, a déclaré dans un article sur
En conséquence, OpenAI implémente GPT-5.3-Codex avec des contrôles plus stricts. Bien que le modèle soit disponible pour les utilisateurs payants de ChatGPT pour les tâches de développement quotidiennes, la société retarde l’accès complet à l’API et restreint les cas d’utilisation à haut risque qui pourraient permettre une automatisation à grande échelle. Les applications les plus sensibles sont protégées par des mesures de sécurité supplémentaires, notamment un programme d’accès fiable destiné aux professionnels de la sécurité agréés. OpenAI a déclaré dans un article de blog accompagnant le lancement qu’il n’avait pas encore de « preuve définitive » que le modèle pouvait entièrement automatiser les cyberattaques, mais qu’il adoptait une approche de précaution, en mettant en œuvre ce qu’il a décrit comme sa suite de cybersécurité la plus complète à ce jour, y compris une surveillance améliorée, une formation à la sécurité et des mécanismes d’application éclairés par les renseignements sur les menaces.
