Anthropic reporte la sortie de sa nouvelle IA, trop dangereuse pour la cybersécurité actuelle
La start-up d'intelligence artificielle (IA) Anthropic a annoncé mardi reporter la commercialisation de son nouveau modèle d'IA, Mythos, le temps de combler, avec la collaboration de plusieurs grands acteurs du milieu, des milliers de failles informatiques identifiées par l'interface.
Selon l'entreprise californienne, lors de tests effectués en interne, Mythos a repéré "des milliers" de vulnérabilités "zero-day" dans des programmes accessibles en ligne, terme signifiant que leurs concepteurs et utilisateurs n'ont pas conscience du point de faiblesse considéré.
Sans intervention pour les combler, ces failles offriraient potentiellement à des pirates informatiques autant d'angle d'attaque informatique.
"Les potentialités de l'IA ont franchi un seuil qui change fondamentalement le niveau d'urgence requis pour protéger les infrastructures (informatiques) des attaques", a commenté Anthony Grieco, responsable de la sécurité au sein du spécialiste des réseaux informatiques Cisco.
Beaucoup d'observateurs ont souligné que le report de la sortie de Mythos était un événement notable car le déploiement des nouveaux modèles s'est nettement accéléré depuis six mois, dans un contexte de concurrence sans merci.
"Les failles qu'il trouve sont souvent subtiles et difficiles à détecter", a prévenu mardi Anthropic, prenant l'exemple d'un défaut dans un logiciel vidéo testé plus de cinq millions de fois par ses auteurs sans relever le problème.
Avant de mettre en ligne son modèle, la société créée par des anciens d'OpenAI a décidé de le partager avec les spécialistes de cybersécurité CrowdStrike et Palo Alto Networks, mais aussi notamment avec Amazon, Google, Nvidia, Apple ou Microsoft.
Quelque 40 organisations assurant la conception et la maintenance de systèmes informatiques ont aussi rejoint le groupe.
"Jusqu'ici, la détection des failles était un procédé nécessitant beaucoup d'intervention humaine, avec une efficacité qui n'était pas très élevée", a analysé Gang Wang, professeur d'informatique à l'université d'Illinois (UIUC).
"Mais avec l'IA qui travaille 24h sur 24, on peut faire de l'assainissement massif", dit-il, en référence à une technique aussi appelée CDR qui consiste à examiner tous les fichiers, en supprimer les éléments potentiellement dangereux pour les remplacer par une version plus sûre.
- "Du bon côté" -
Les partenaires du projet Glasswing "vont travailler avec la version test de Mythos sur la sécurité informatique et partageront leurs résultats pour qu'ils bénéficient à toute l'industrie", a expliqué Anthropic.
Cette dernière va offrir à ses partenaires des capacités de calcul d'une valeur de 100 millions de dollars pour utiliser Mythos.
"Tout le monde doit se préparer à l'arrivée de pirates aidés par l'IA", a déclaré Lee Klarich, responsable de la technologie chez Palo Alto Networks.
Pour Gang Wang, "la bonne nouvelle est que ces entreprises IA veulent être du bon côté" de la bataille de la cybersécurité. Le fait de mettre au point les interfaces d'IA leur donne de l'avance sur les pirates car elles peuvent les tester et anticiper leurs effets avant de les commercialiser.
Mais pour Luka Ivezic, du Forum sur la sécurité de l'information (ISF), organisme de recherche et de diffusion des bonnes pratiques de cybersécurité, l'IA "abaisse le coût de détection d'une faille (pour un cybercriminel) et permet de démultiplier les tentatives", avec davantage de sophistication, y compris pour des pirates de moindre calibre.
L'entreprise a indiqué que Mythos avait initialement été conçu comme un modèle généraliste et pas comme un outil dédié à la cybersécurité.
"Notre but final reste de déployer Mythos à grande échelle", soit pour le grand public, "à des fins de cybersécurité mais aussi pour la myriade d'autres possibilités que ce modèle va offrir", a annoncé Anthropic.
Avant cela, la start-up veut y ajouter des garde-fous supplémentaires et "empêcher les utilisations les plus dangereuses".
Anthropic indique avoir également eu des échanges avec le gouvernement américain au sujet de Claude Mythos.
Ces discussions ont eu lieu bien que l'administration Trump ait décrété, fin février, la rupture de tous les contrats qui la liait à la start-up de San Francisco, une décision suspendue fin mars en référé par un tribunal fédéral, en attendant l'examen de l'affaire au fond.
P.Barry--TNT
En vedette