Le modèle le plus performant d'Anthropic à ce jour, Claude Mythos Preview (également appelé Mythos), a été qualifié de « véritable tournant » en matière de performances de l'IA, notamment dans le domaine de la cybersécurité.
Anthropic a tenté de garder Mythos secret jusqu'à il y a quelques semaines, lorsqu'une fuite de données a révélé l'existence de ce que l'entreprise a présenté comme son intelligence artificielle la plus puissante à ce jour. Ce modèle est considéré à la fois comme un outil défensif puissant et, potentiellement, comme une arme cyberoffensive redoutable.
C'est pourquoi l'entreprise restreint fortement l'accès à cette technologie et indique qu'elle n'envisage pas pour l'instant de la commercialiser à grande échelle. Sa capacité supposée à détecter de manière autonome, voire à enchaîner, des failles logicielles à grande échelle est au cœur tant de l'engouement qu'elle suscite que du danger qu'elle représente.
Imaginez un outil capable de détecter de manière autonome de nouvelles vulnérabilités dans les logiciels, les systèmes et les plateformes, puis de les transformer en exploits, même si cela implique de les combiner avec d'autres vulnérabilités.
Entre de mauvaises mains, cela pourrait constituer une menace majeure pour notre cybersécurité. C'est pourquoi Anthropic a limité l'accès à un petit nombre d'organisations à travers le monde, notamment de grandes entreprises technologiques et un groupe restreint d'organismes gouvernementaux ou de sécurité. La NSA utilis erait déjà Mythos Preview, apparemment pour soumettre à des tests de résistance et renforcer la sécurité de systèmes sensibles, bien que le Pentagone ait qualifié Anthropic de risque pour la chaîne d'approvisionnement.
Mythos est capable de détecter des vulnérabilités dans de vastes bases de code plus rapidement et de manière plus fiable que les outils existants ; il peut rechercher plusieurs failles au sein d’un même système et les combiner en chaînes d’exploitation en plusieurs étapes pour mener à bien une compromission (par exemple, en passant d’un simple bug web à la prise de contrôle totale d’un domaine). Il faudrait des mois à un chasseur de bugs pour trouver une autre vulnérabilité, sans parler d'une vulnérabilité pouvant être combinée avec celle(s) déjà découverte(s). Il serait hautement improbable d'y parvenir avant la première.
Concrètement, cela pourrait se traduire par des attaques plus rapides, des intrusions plus complexes et moins de temps pour les entreprises afin de corriger leurs failles avant qu'elles ne soient exploitées.
Anthropic a elle-même souligné que Mythos peut fonctionner avec un minimum de supervision pendant de longues périodes, ce qui signifie qu'il pourrait mener des campagnes d'attaques systématiques à une échelle qu'aucune équipe humaine ne serait en mesure d'atteindre.
Anthropic a signalé ces risques de sécurité dans un document interne:
- L'IA abaisse le seuil de compétence requis pour mener des opérations offensives. Des acteurs moins expérimentés pourraient ainsi avoir accès à des outils très efficaces, ce qui augmenterait considérablement le nombre d'attaques sophistiquées.
- Les techniques telles que le fuzzing, les attaques par dictionnaire et d'autres méthodes par force brute gagnent considérablement en efficacité lorsqu'elles sont accélérées par l'automatisation. Les itérations assistées par l'IA permettent à un pirate de multiplier considérablement le nombre de tentatives avant que l'attaque ne soit détectée.
Mais la conclusion la plus préoccupante est que, dans la phase actuelle du développement de l'IA, les acteurs malveillants s'adaptent plus rapidement, tandis que les équipes de sécurité adoptent généralement les outils d'IA plus tardivement que leurs adversaires.
Comme on le sait, l'IA en matière de cybersécurité est à double tranchant. Elle nous aide à nous défendre contre les nouvelles menaces, mais elle peut aussi servir à en créer. C'est pourquoi, entre de mauvaises mains, Mythos peut s'avérer être un adversaire redoutable.
L'objectif reste le même, mais le chemin pour y parvenir est facilité par des outils tels que Mythos. Du point de vue de l'attaquant, rien de nouveau concernant la destination. La nouveauté réside dans le fait que Mythos automatise désormais la carte, le véhicule et la majeure partie de la conduite.
Nous ne nous contentons pas de signaler les menaces, nous les éliminons.
Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.
