Anthropic coupe l’accès à Mythos après avoir découvert des milliers de failles
Anthropic freine net. La start-up californienne, connue pour l’assistant Claude, reporte la sortie de son nouveau modèle d’IA, Mythos, après des tests internes jugés trop risqués pour l’état actuel de la cybersécurité. Problème, le modèle a mis au jour des milliers de vulnérabilités de type zero-day dans des programmes disponibles en ligne, des failles dont ni les éditeurs ni les utilisateurs n’avaient connaissance.
Sur le papier, tu te dis, bonne nouvelle, ça va aider à sécuriser le web. Mais le même outil, entre de mauvaises mains, peut accélérer la découverte de points d’entrée exploitables. Anthropic assume donc un choix rare dans une industrie où les lancements s’enchaînent depuis six mois à un rythme très agressif, avec une concurrence qui pousse à sortir vite, parfois trop vite.
Anthropic identifie des milliers de zero-day avec Mythos
Anthropic explique que Mythos n’avait pas été pensé au départ comme un produit de cybersécurité, mais comme un modèle généraliste. Sauf que ses capacités en audit de code ont dépassé le cadre prévu, au point de révéler des milliers de failles zero-day. Le terme compte, parce qu’il ne s’agit pas de vulnérabilités déjà connues et documentées, mais de points faibles invisibles pour l’écosystème au moment où ils sont trouvés.
Un exemple cité par l’entreprise illustre le niveau de subtilité. Une vulnérabilité a été repérée dans un logiciel vidéo testé plus de cinq millions de fois par ses auteurs sans que le défaut n’apparaisse. Dit autrement, si un outil automatisé peut faire ressortir ce type d’angle mort, il peut aussi, s’il est détourné, alimenter une chasse industrielle aux failles dans des briques logicielles très répandues.
Tu peux y voir une bascule, et des responsables sécurité le formulent clairement. Chez Cisco, Anthony Grieco estime que les potentialités de l’IA ont franchi un seuil qui change le niveau d’urgence pour protéger les infrastructures. La critique à garder en tête, c’est que des milliers reste une notion floue, sans métrique publique, sans liste de produits touchés, et sans calendrier détaillé. Le risque, c’est de créer de la peur sans donner les moyens de vérifier.
Le projet Glasswing limite l’accès à une poignée de partenaires
Plutôt que de publier Mythos largement, Anthropic met en place le projet Glasswing, avec un accès restreint à une version préliminaire. L’idée affichée, c’est de laisser une poignée d’acteurs corriger d’abord leurs failles, puis d’envisager une commercialisation grand public plus tard. Parmi les partenaires cités figurent Microsoft, la Fondation Linux, Apple et Cisco, dans un schéma qui ressemble à une divulgation coordonnée, mais à l’échelle d’un modèle d’IA.
Sur le volet cybersécurité pur, Anthropic s’appuie aussi sur des spécialistes comme CrowdStrike et Palo Alto Networks. Lee Klarich, directeur technologique chez Palo Alto Networks, prévient que tout le monde doit se préparer à l’arrivée de pirates aidés par l’IA. Là, tu as la logique du report, réduire la probabilité qu’un outil de détection devienne un accélérateur d’attaque, surtout si des acteurs malveillants se mettent à industrialiser les découvertes.
Le dispositif est musclé sur le plan matériel. Anthropic annonce fournir à ses partenaires des capacités de calcul évaluées à 100 millions de dollars pour travailler avec Mythos. C’est un signal, l’entreprise veut que les corrections aillent vite, et que les retours profitent à l’industrie. Mais ce modèle de coopération pose aussi une question d’équité, les grandes organisations partenaires vont renforcer leur code en premier, pendant que le reste de l’écosystème attend, avec le même internet exposé.
Une course aux modèles IA qui met la cybersécurité sous pression
Ce report fait parler parce qu’il casse une tendance, le déploiement accéléré des nouveaux modèles depuis environ six mois, sur fond de compétition intense. Anthropic, créée par d’anciens d’OpenAI, sait que chaque semaine compte. Mais l’entreprise choisit de ralentir pour ajouter des garde-fous et empêcher les utilisations les plus dangereuses. Le message est clair, le risque n’est pas théorique, il est directement lié à la capacité d’identifier des failles exploitables.
Côté industrie, le mouvement ressemble à une mobilisation organisée. En plus des géants déjà cités comme Amazon, Google, Nvidia ou Microsoft, Anthropic indique qu’environ 40 organisations impliquées dans la conception et la maintenance de systèmes informatiques ont rejoint le groupe. Le professeur Gang Wang, à l’université d’Illinois, résume l’intérêt, la détection des failles demandait beaucoup d’intervention humaine, alors qu’une IA peut travailler 24 heures sur 24 et permettre un assainissement massif.
Mais tu ne peux pas ignorer l’autre face. Si Mythos rend la recherche de vulnérabilités plus rapide, il rend aussi la fenêtre entre découverte et exploitation potentiellement plus courte. Et même avec des partenaires triés, il reste une incertitude, la diffusion des méthodes, la reproduction par d’autres modèles, ou la fuite d’informations. Anthropic dit viser un déploiement à grande échelle, y compris pour la cybersécurité et d’autres usages, mais la question centrale devient politique, qui a accès, quand, et avec quelles obligations de correction.
À retenir
- Anthropic reporte Mythos après la découverte de « milliers » de failles zero-day lors de tests internes
- L’accès est limité via le projet Glasswing, avec des partenaires comme Microsoft, Apple, CrowdStrike et Palo Alto Networks
- Anthropic met à disposition l’équivalent de 100 millions de dollars de calcul pour accélérer les corrections
- Environ 40 organisations sont associées à l’initiative pour partager les résultats de sécurisation
- Le report souligne la tension entre vitesse de lancement des IA et risques concrets de cyberattaques
Questions fréquentes
- Pourquoi Anthropic reporte-t-elle la sortie de Mythos ?
- Parce que Mythos a identifié lors de tests internes des « milliers » de vulnérabilités zero-day dans des programmes en ligne. Sans correction préalable, ces failles pourraient offrir des angles d’attaque à des pirates, ce qui augmente le risque pour les infrastructures numériques.
- Qu’est-ce qu’une faille zero-day dans ce contexte ?
- Une zero-day est une vulnérabilité inconnue des éditeurs et des utilisateurs au moment où elle est découverte. Elle est particulièrement sensible car elle peut être exploitée avant qu’un correctif ne soit disponible.
- Qu’est-ce que le projet Glasswing annoncé autour de Mythos ?
- Glasswing est une initiative d’accès restreint à une version préliminaire de Mythos. Une poignée de partenaires, dont de grands éditeurs et acteurs de la cybersécurité, l’utilisent pour identifier et corriger des vulnérabilités avant une sortie plus large.
- Quels acteurs travaillent avec Anthropic sur Mythos ?
- Anthropic cite notamment CrowdStrike et Palo Alto Networks, et des partenaires technologiques comme Amazon, Google, Nvidia, Apple et Microsoft. La Fondation Linux et Cisco figurent aussi parmi les organisations mentionnées.
- Que représente l’aide de calcul annoncée par Anthropic ?
- Anthropic indique fournir à ses partenaires des capacités de calcul évaluées à 100 millions de dollars, pour exécuter Mythos et accélérer le travail d’audit et de correction des failles.
Sources
- Anthropic reporte la sortie de son nouveau modèle d'IA, le temps de …
- Anthropic reporte la sortie de sa nouvelle IA, trop dangereuse pour la cybersécurité actuelle – Yahoo Actualités France
- Anthropic reporte la sortie de sa nouvelle IA, trop dangereuse pour la cybersécurité actuelle | TV5MONDE – Informations
- Anthropic restreint le lancement de son dernier modèle d’IA pour prévenir les risques de cyberattaque
- Anthropic reporte la sortie de sa nouvelle IA, trop dangereuse pour la cybersécurité actuelle – RTBF Actus
