Les problèmes de sécurité incitent Anthropic à restreindre l’utilisation des outils d’IA dans un contexte croissant de cybermenaces.
Anthropic a annoncé le déploiement de son modèle d'IA, Claude Mythos Preview, auprès d'un groupe sélectionné d'entreprises uniquement, après que le nouveau modèle a détecté des milliers de vulnérabilités critiques dans les systèmes d'exploitation, les navigateurs Web et autres logiciels.
Le nouveau modèle à usage général, a déclaré Anthropic, a également découvert des vulnérabilités de haute sécurité dans tous les principaux systèmes d'exploitation et navigateurs Web.
« Compte tenu du rythme des progrès de l’IA, de telles capacités ne tarderont pas à proliférer, potentiellement au-delà des acteurs qui s’engagent à les déployer en toute sécurité. »
L’IA a déjà été utilisée par des pirates informatiques pour mener des cyberattaques. Il y a eu une augmentation de 72 % d’une année sur l’autre des cyberattaques basées sur l’IA, et 87 % des organisations mondiales ont été victimes de cyberattaques basées sur l’IA en 2025, selon AllAboutAI.
Anthropic s'est dit préoccupé par ce qui se passerait si des capacités d'IA similaires étaient utilisées par de mauvais acteurs.
Pour lutter contre cela, Anthropic a annoncé mardi le projet Glasswing, une nouvelle initiative qui rassemble plus de 40 entreprises, dont Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft et Nvidia.
Le projet Glasswing utilisera les capacités de Claude Mythos Preview pour rechercher les bogues de manière défensive, partager les données avec ses partenaires et anticiper les menaces en corrigeant les vulnérabilités critiques avant que des acteurs malveillants ne puissent les exploiter.
Des bugs vieux de plusieurs décennies sont découverts
Une vulnérabilité Zero Day est un bug logiciel qui peut être exploité avant même que quiconque ayant la capacité de le corriger ne connaisse son existence. Leur détection et leur correction ont toujours nécessité une expertise humaine rare et coûteuse, mais l’IA pourrait modifier l’échelle et la vitesse de détection.
Anthropic a déclaré que les vulnérabilités trouvées sont « souvent subtiles ou difficiles à détecter ».
Beaucoup d’entre eux ont 10 ou 20 ans, le plus ancien trouvé jusqu’à présent étant un bug vieux de 27 ans désormais corrigé dans OpenBSD – un système d’exploitation connu principalement pour sa sécurité, ajoute-t-il.
Il a également découvert un bug vieux de 16 ans dans la bibliothèque de traitement multimédia FFmpeg, une vulnérabilité d'exécution de code à distance vieille de 17 ans dans le système d'exploitation open source FreeBSD et de nombreuses vulnérabilités dans le noyau Linux.
Mythos Preview a également identifié plusieurs faiblesses dans les bibliothèques, algorithmes et protocoles de cryptographie les plus populaires au monde, notamment TLS, AES-GCM et SSH.
Il ajoute que les applications Web « contiennent une myriade de vulnérabilités », allant des scripts intersites et de l'injection SQL à des vulnérabilités spécifiques à un domaine telles que la falsification de requêtes intersites, qui est souvent utilisée dans les attaques de phishing.
Cycle de vie d'un exploit Zero Day. Source : PhénixNAP
Anthropic a affirmé que 99 % des vulnérabilités trouvées n’ont pas encore été corrigées, « il serait donc irresponsable de notre part de divulguer des détails à leur sujet.
Les logiciels deviendront plus sécurisés, mais pas du jour au lendemain
Anthropic a déclaré qu’il ne s’agissait probablement que du début d’une tendance et que « le travail de défense de la cyber-infrastructure mondiale pourrait prendre des années », mais l’IA contribuera à renforcer les logiciels et les systèmes.
« À long terme, nous nous attendons à ce que les capacités de défense dominent : à ce que le monde en ressorte plus sûr, avec des logiciels mieux renforcés – en grande partie grâce au code écrit par ces modèles. Mais la période de transition sera difficile.»