L'intelligence artificielle expose des vulnérabilités, créant une opportunité brève mais alarmante pour les pirates informatiques de frapper

En bref

Anthropic affirme que son IA a découvert des dizaines de milliers de vulnérabilités logicielles.

Le PDG Dario Amodei a prévenu qu'il y avait une fenêtre de 6 à 12 mois pour les résoudre.

Les critiques affirment que les risques pourraient être surestimés, même si les préoccupations en matière de sécurité augmentent.

Une discussion entre le PDG d'Anthropic, Dario Amodei, et le PDG de JPMorgan Chase, Jamie Dimon, a porté mardi sur la menace croissante en matière de cybersécurité posée par l'intelligence artificielle, car elle identifie les vulnérabilités plus rapidement que les organisations ne peuvent les corriger.

Lors de l'événement de près de deux heures lié à l'avancée d'Anthropic dans les services financiers, au cours duquel Anthropic a dévoilé des agents d'IA pour des tâches telles que les pitchbooks, l'examen des bénéfices et le travail de conformité, Amodei a déclaré qu'il pourrait y avoir une fenêtre de six à 12 mois pour corriger les dizaines de milliers de failles découvertes par le modèle Mythos de l'entreprise avant que des fonctionnalités similaires ne soient plus largement disponibles.

« Le danger réside simplement dans une augmentation énorme du nombre de vulnérabilités, du nombre de violations, des dommages financiers causés par les ransomwares aux écoles, aux hôpitaux, sans parler des banques », a déclaré Amodei.

Les dernières déclarations d'Amodei font suite à des tests antérieurs avec Mozilla, lorsqu'une première version de Mythos a identifié 271 vulnérabilités dans le navigateur Firefox en un seul passage, montrant comment l'IA peut analyser de grandes bases de code beaucoup plus rapidement que les chercheurs humains.

Anthropic a déclaré que le modèle peut découvrir des milliers de faiblesses jusque-là inconnues dans des logiciels largement utilisés. Beaucoup restent confidentiels car ils n’ont pas encore été corrigés, laissant des failles non résolues.

"Si nous annonçons quelque chose sans que cela soit corrigé, alors les méchants l'exploiteront", a déclaré Amodei.

Lors de tests contrôlés, Mythos a réalisé des simulations d'attaques réseau en plusieurs étapes sans intervention humaine, démontrant sa capacité à passer de l'identification des faiblesses à leur exploitation.

Anthropic a limité le modèle à un petit groupe de partenaires dans le cadre du projet Glasswing, dans le but de corriger les vulnérabilités avant que des outils similaires ne soient largement disponibles.

Les chercheurs ont montré que des éléments des capacités de Mythos peuvent être reproduits à l’aide de modèles existants et de techniques open source, ce qui suggère que des outils similaires pourraient se propager plus rapidement que prévu.

Ces avertissements ont suscité le scepticisme au sein de l’industrie. En avril, Sam Altman, PDG d'OpenAI, a déclaré que les inquiétudes concernant Mythos étaient peut-être exagérées et a suggéré qu'Anthropic utilisait un « marketing basé sur la peur » pour encadrer les risques et justifier la limitation de l'accès à la technologie.

"Vous pouvez justifier cela de différentes manières, et certaines d'entre elles sont réelles, comme s'il y aurait des problèmes de sécurité légitimes", a déclaré Altman. "Mais si vous voulez dire 'nous avons besoin de contrôler l'IA, juste nous, parce que nous sommes des personnes dignes de confiance', je pense que le marketing basé sur la peur est probablement le moyen le plus efficace de justifier cela."

Même avec cette réaction, malgré une querelle publique avec Anthropic, le gouvernement américain aurait utilisé Claude Mythos pour analyser les réseaux classifiés à la recherche de vulnérabilités et tester ses capacités de cybersécurité, selon Axios. Bien qu’il n’ait pas abordé la bataille juridique en cours, Amodei a déclaré qu’Anthropic était « bon pour ce pays ».

"Je pense que le point de vue d'Anthropic est le même qu'il a toujours été. En termes de politisation, c'est ce que j'ai dit sur la nécessité d'être rationalisé, systématique et juste envers tout le monde", a déclaré Amodei. « Le but des lois, et non de faire les choses de manière ponctuelle, est que toutes les entreprises soient, du moins en principe – je sais que c’est plus compliqué en pratique – traitées de la même manière, et nous devrions aspirer à cela même si cela ne se passera jamais parfaitement ainsi.

Amodei a présenté le moment comme une fenêtre d'action étroite, avertissant que la rapidité avec laquelle les organisations réagissent pourrait déterminer si les risques s'aggravent ou sont maîtrisés.

"Il s'agit d'un moment de danger où si nous y réagissons correctement, et je pense que nous avons commencé à faire les premiers pas, alors nous pourrons avoir un monde meilleur de l'autre côté", a déclaré Amodei. "Il n'y a qu'un nombre limité de bugs à trouver."