Le nouveau modèle Mythos d’Anthropic suscite l’inquiétude des experts en cybersécurité

Mythos vient de fuiter et le compteur Geiger de la cybersécurité s’affole.

Les premiers rapports montrent un modèle d’intelligence artificielle capable de découvrir des failles plus vite qu’un botnet sous amphét’.

Dans les Slack d’admins, l’inquiétude monte, et ce n’est pas qu’une habitude parano !

Fuite de Mythos : les experts redoutent un changement d’équilibre

Anthropic a gardé le silence jusqu’à la bourde d’un brouillon de blog laissé public, révélant que Mythos avait déjà repéré des vulnérabilités “majeures” dans chaque OS grand public.

Je lis le mémo interne : la bête génère des proof-of-concept exploitables après quelques prompts, sans hésiter sur l’offset ni le registre.

Résultat : des chercheurs du MIT parlent d’une “arme à double tranchant” qui risque de remettre les défenses réseau à l’âge de pierre.

Une IA qui chasse la vulnérabilité comme Shodan survoltée

Le papier de red-team indique que Mythos teste des hypothèses, écrit du code, lance l’exploit, puis produit le rapport CVE complet avec score CVSS.

Cette boucle serait bouclée en minutes, alors qu’un pentester humain rame pendant des jours.

Ça change tout : la fenêtre entre découverte et patch se réduit à la taille d’un tweet… pour les deux camps.

Project Glasswing : la cage dorée d’Anthropic

Face aux risques, Anthropic limite l’accès via “Glasswing”, une sandbox géante fermée aux curieux.

Seuls AWS, Microsoft, Cisco, la Linux Foundation et quarante autres poids lourds ont le droit de jouer avec la bête.

Je note les 100 millions de crédits offerts : joli, mais dérisoire si un zéro-day touche le kernel de billions d’appareils.

Un pari défensif ou un aveu d’impuissance ?

L’idée officielle : donner l’outil aux patchers avant qu’il n’atterrisse chez les pirates.

Mais l’histoire montre que ce genre de technologie finit toujours par s’échapper, souvenez-vous de EternalBlue en 2017.

Alors, combien de temps avant qu’un clone open-source de Mythos ne traîne sur GitLab ?

Menaces nouvelles et règles du jeu réécrites

La capacité d’un modèle à auditer du code en masse bouscule la sécurité informatique traditionnelle, centrée sur le temps de réaction.

Je m’attends à voir des “patch Tuesdays” quotidiens, des mainteneurs exsangues et des budgets bug-bounty qui explosent.

Et si les gouvernements imposaient bientôt des licences d’export pour les IA offensives ? Le débat démarre déjà sur Mastodon.

Que faire avant la prochaine alerte rouge ?

Compiler ses dépendances, surveiller les commits, automatiser les tests : les gestes de base deviennent vitaux.

Je conseille aussi de suivre les canaux SIG-Security du kernel ; les correctifs critiques risquent de pleuvoir.

Enfin, gardons la tête froide : chaque révolution techno crée ses propres contre-mesures, mais il va falloir courir vite cette fois.

Source: tech.yahoo.com