- Claude Mythos Preview a détecté des milliers de failles critiques dans des logiciels fondamentaux, dépassant de loin les capacités de détection des humains et des outils traditionnels.
- Le projet Glasswing est une coalition restreinte de 50 géants de la technologie et de la finance qui utilisent cette IA pour corriger les vulnérabilités avant qu'elles ne soient exploitées.
- Le modèle reste à accès contrôlé en raison de son niveau de risque ASL-4, car il a la capacité de générer des exploits fonctionnels de manière autonome.
Imaginez que les logiciels qui sous-tendent Internet, des navigateurs que vous utilisez pour lire ceci aux systèmes d'exploitation des serveurs les plus puissants, présentent des failles invisibles que personne n'a remarquées depuis des décennies. Eh bien, il s'avère que… Anthropic a fait sensation avec un outil qui non seulement repère ces failles, mais sait exactement comment s'y introduire, obligeant ainsi l'ensemble du secteur à repenser la manière dont nous protégeons nos données.
Il ne s'agit pas d'une simple mise à jour d'une messagerie instantanée, mais d'un changement de paradigme complet. Avec le lancement de Projet GlasswingL'entreprise a décidé d'adopter une approche proactive en matière de défense, en réunissant des poids lourds des secteurs technologique et financier pour nettoyer le code global avant qu'une personne mal intentionnée ne décide d'utiliser cette même technologie pour créer un chaos numérique.
Le cerveau derrière l'opération : Claude Mythos (Aperçu)
Le véritable moteur de toute cette mascarade est Aperçu du mythe de ClaudeMythos, un modèle d'IA qui surpasse ses prédécesseurs en matière d'analyse de sécurité. Contrairement aux modèles commerciaux, Mythos possède une capacité de raisonnement profonde qui lui permet de… Identifier des milliers de vulnérabilités zero-dayAutrement dit, des défauts dont même les développeurs d'origine n'avaient pas conscience.
Ce qui fait de ce modèle une véritable bête de course, c'est sa capacité à... chaîne de vulnérabilitésDans la réalité, un pirate informatique n'exploite généralement pas une seule vulnérabilité, mais combine plutôt plusieurs failles mineures pour obtenir un accès complet. Mythos est capable de déduire comment assembler ces éléments et, plus impressionnant encore, de écrire et exécuter du code de test pour démontrer que la défaillance est réelle et exploitable, éliminant ainsi le bruit des faux positifs qui sont si agaçants. Les analystes en cybersécurité et leurs outils.
Des chiffres qui vous donnent la chair de poule.
Si vous pensiez que les logiciels matures étaient sécurisés, les données de Glasswing vont vous donner des cauchemars. En seulement trente jours, les partenaires du programme ont détecté… plus de 10.000 vulnérabilités de gravité élevée ou critique. Cloudflare, déjà une référence en matière de sécurité, a découvert à elle seule 2 000 failles dans ses propres systèmes, dont 400 étaient critiquesdémontrant ainsi que même les personnes les mieux préparées ne sont pas à l'abri des erreurs.
La situation des logiciels libres est encore plus alarmante. Anthropic a analysé quelque 1 000 projets essentiels au web et a découvert plus de 23 000 failles potentielles. 6 202 d'entre eux ont été classés comme graves.Pour vous donner une idée, le modèle a mis au jour un bug dans OpenBSD qui avait été 27 ans de sommeil…en plus de 16 et 17 ans de vulnérabilités dans FFmpeg et FreeBSD, respectivement. Des logiciels qui avaient passé mille audits et qui présentaient encore une vulnérabilité.
Pourquoi ne pouvons-nous pas utiliser Mythos à la maison ?
Vous vous demandez sans doute pourquoi Anthropic ne rend pas ce modèle public. La réponse est simple : il est trop dangereux. Mythos a été classé en interne comme ASL-4 (Niveau de sécurité IA 4)Cela signifie qu'il pourrait causer des dégâts catastrophiques s'il tombait entre de mauvaises mains. Un modèle capable de détecter un bug avec une telle précision peut, en un clin d'œil, générer l'exploit parfait attaquer un infrastructures critiques du secteur.
Par conséquent, l'accès est limité à un cercle restreint de 50 organisations sélectionnéesIl s'agit notamment de géants comme Microsoft, Google, Apple, Amazon et JPMorgan Chase. L'idée est que ces entités utiliseront l'IA pour patcher le logiciel en masse Avant que les attaquants ne développent leurs propres outils basés sur des modèles similaires. Il s'agit en fait d'une course aux armements où Anthropic souhaite que les « gentils » prennent l'avantage.
Leçons pour le secteur et l'avenir du développement
Ce déploiement démontre clairement que la sécurité ne peut plus être négligée. Cloudflare a souligné que l'utilisation d'agents d'IA exige un environnement de test très spécifique ; il ne suffit pas de demander au modèle de « rechercher des bugs », mais plutôt… segmenter les tâches et utiliser l'examen contradictoire (un deuxième agent qui remet en question les résultats du premier) pour empêcher l'IA d'inventer des choses.
De plus, un goulot d'étranglement humain inquiétant est apparu : l'IA détecte les bugs plus vite que les programmeurs ne peuvent les corriger. Si Mythos détecte des milliers d'erreurs, le processus de triage, signalement et correctifs Elle repose encore sur un personnel surchargé. Cela a conduit certaines entreprises à tenter de réduire leurs SLA de réponse à des niveaux aussi bas que possible. deux heures après la publication d'un CVECependant, cela comporte le risque de publier des correctifs sans tests de régression appropriés.
Pour lutter contre cela, Anthropic a lancé Claude Security en version bêta Pour les entreprises clientes et le programme de vérification de la cybersécurité, ils permettent aux professionnels légitimes d'utiliser leurs modèles sans les restrictions habituelles. Ils ont également alloué des millions de dollars à des fondations telles que la Linux Foundation et Apache afin d'aider les mainteneurs de logiciels libres. gérer ce tsunami de rapports de sécurité.
En réalité, le coût de la découverte des vulnérabilités a chuté de façon spectaculaire, et le délai entre la découverte et l'exploitation est plus court que jamais. Le succès du projet Glasswing démontre que la seule façon de survivre dans ce nouvel écosystème est de… transparence et collaboration intersectorielle, reconnaissant que l'IA est désormais le principal outil d'attaque et de défense de l'infrastructure numérique mondiale.
