Le gouvernement américain a ordonné à Anthropic de suspendre ses tout derniers modèles, Claude Fable 5 et Mythos 5, par crainte d'une utilisation abusive par des acteurs malveillants.
Selon Reuters, Anthropic a déclaré qu'elle allait « désactiver brusquement » ses modèles d'IA les plus avancés pour tous les utilisateurs, après que le gouvernement américain lui a ordonné de suspendre l'accès à ces modèles pour les ressortissants étrangers, invoquant des raisons de sécurité nationale.
Les responsables estimeraient qu' une évasion pourrait transformer Fable 5 et Mythos 5 en outils de détection de vulnérabilités pour les adversaires. Anthropic affirme donc qu'elle désactive ces services à l'échelle mondiale plutôt que d'essayer de filtrer les accès en fonction de la nationalité, car il est pratiquement impossible de vérifier la nationalité de chaque utilisateur.
Dans un communiqué publié sur son site web, Anthropic déclare:
« La lettre ne fournissait pas de détails précis concernant ces préoccupations en matière de sécurité nationale. D’après ce que nous avons compris, le gouvernement estime avoir découvert une méthode permettant de contourner, ou de « débloquer », Fable 5. Nous avons assisté à une démonstration de cette technique spécifique, utilisée pour identifier un petit nombre de failles mineures déjà connues. Ces failles semblent toutes relativement simples, et nous avons constaté que d’autres modèles accessibles au public permettent également de les détecter sans qu’il soit nécessaire de les contourner. »
Mythos 5 est la version complète non accessible au grand public, qui n'est actuellement utilisée que par des organismes gouvernementaux et certaines entreprises partenaires pour renforcer la sécurité de leurs systèmes. Fable 5 est un modèle de la classe Mythos qui serait censé être sûr pour un usage général.
Il me semble logique que si Fable 5 est facile à « jailbreaker », il soit soumis aux mêmes restrictions que Mythos 5. Cependant, Anthropic affirme qu'il intègre des mesures de sécurité qui font que les requêtes portant sur certains sujets recevront plutôt une réponse du modèle le plus performant suivant, Claude Opus 4.8.
Les relations entre le gouvernement américain et Anthropic semblaient s'être quelque peu apaisées au sein de certaines instances gouvernementales, après les tensions liées à l'utilisation militaire, à la surveillance et aux armes autonomes. En mars, le secrétaire à la Défense Pete Hegseth a qualifié cette entreprise basée à San Francisco de « risque pour la sécurité nationale au niveau de la chaîne d'approvisionnement ».
Pour bien saisir la nature de cet argument, il faut savoir que Mythos 5 est décrit dans de nombreux rapports comme un outil particulièrement efficace pour détecter les failles logicielles, y compris les bogues de longue date présents dans des systèmes complexes et hérités, tels que ceux utilisés dans le secteur bancaire et d’autres infrastructures critiques. Beaucoup considèrent qu’il s’agit d’un outil à double usage: idéal pour renforcer la sécurité, mais potentiellement catastrophique s’il tombe entre de mauvaises mains.
Les dernières mises à jour publiées par de grands éditeurs de logiciels tels que Microsoft et Google ont révélé une augmentation du nombre de failles corrigées depuis que ces éditeurs ont commencé à recourir à la recherche guidée par l'IA pour détecter de nouvelles failles dans leurs propres logiciels. Nous savons également que Mozilla a identifié plus de270 failles dans Firefoxgrâce au nouveau modèle Claude Mythos d'Anthropic.
Ce que cela signifie
Entre de mauvaises mains, ces failles pourraient sans aucun doute causer beaucoup de dégâts. Il semble donc qu'il faudra encore un certain temps avant que les consommateurs lambda et les développeurs puissent accéder pleinement à Fable 5 et Mythos 5. Les modèles Anthropic existants (les anciennes versions de Claude) restent toutefois disponibles.
Pour les particuliers qui se contentaient de discuter avec Claude ou de l'utiliser pour des tâches de script basiques, ce changement se traduira principalement par un message indiquant que « cette version spécifique n'est pas disponible », plutôt que par une interruption générale des services d'IA.
Le fait de retirer de la circulation un modèle haut de gamme de détection de vulnérabilités ne complique que très peu la tâche des cybercriminels disposant de peu de ressources qui cherchent à automatiser la découverte de failles complexes dans les logiciels et services destinés au grand public. D'autres modèles tout aussi efficaces sont disponibles sur le marché noir. Et pour la plupart des cybercriminels, il est bien plus pertinent de transformer une vulnérabilité en une méthode qu'ils peuvent exploiter dans le cadre d'une attaque.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
