Limites d’accès de l’IA par Anthropic : 99 % de vulnérabilités non corrigées, une défense conjointe des 40 géants

Anthropic annonce que son tout nouveau modèle d’IA généraliste Claude Mythos Preview a mis en évidence des milliers de vulnérabilités critiques dans des systèmes d’exploitation courants, des navigateurs web et des protocoles cryptographiques, dont 99% ne sont pas encore corrigées. Étant donné que des acteurs malveillants peuvent exploiter cette capacité, Anthropic ne la fournit qu’à un groupe restreint de partenaires sélectionnés, tout en lançant simultanément le « Project Glasswing », un programme conjoint regroupant plus de 40 organisations.

Découvertes de Claude Mythos Preview : des vulnérabilités vieilles de 27 ans aux faiblesses des protocoles cryptographiques

（来源：PhoenixNAP）

Le périmètre et la profondeur des vulnérabilités balayées par Claude Mythos Preview dépassent largement les attentes de l’industrie. Anthropic indique que ces vulnérabilités « sont généralement très subtiles ou difficiles à détecter », et que la plupart d’entre elles se dissimulent dans les systèmes depuis des décennies, des failles de sécurité majeures étant présentes dans tous les logiciels courants, y compris l’ensemble des systèmes d’exploitation et des navigateurs web grand public.

Les découvertes concrètes incluent : une vulnérabilité dans OpenBSD, en dormance depuis 27 ans (déjà corrigée), qui constitue la plus ancienne vulnérabilité identifiée à ce jour ; une vulnérabilité vieille de 16 ans dans la bibliothèque multimédia FFmpeg ; une vulnérabilité d’exécution de code à distance vieille de 17 ans dans le système d’exploitation FreeBSD ; ainsi qu’un grand nombre de vulnérabilités dans le noyau Linux. Les bibliothèques et protocoles cryptographiques les plus largement utilisés dans le monde n’ont pas non plus été épargnés : des faiblesses ont été trouvées dans TLS, AES-GCM et SSH. Côté applications web, les vulnérabilités couvrent des vecteurs d’attaque courants tels que le cross-site scripting (XSS), l’injection SQL et la falsification de requêtes intersites (CSRF).

Comme 99% des vulnérabilités identifiées ne sont pas encore corrigées, Anthropic indique clairement qu’il ne publiera pas les détails : « Si nous divulguons des détails concernant ces vulnérabilités, ce serait irresponsable. »

Project Glasswing : un réseau de défense proactif rassemblant 40 géants de la tech et de la finance

Anthropic a annoncé mardi le lancement du « Project Glasswing », en appliquant la capacité de découverte des vulnérabilités de Claude Mythos Preview à un usage défensif, afin d’effectuer les corrections avant que des acteurs malveillants ne puissent les exploiter, et de partager les données de vulnérabilité entre les partenaires pour permettre une défense coordonnée.

Principales organisations participantes au Project Glasswing

· Amazon Web Services

· Apple

· Cisco

· Google

· JPMorgan Chase

· Linux Foundation

· Microsoft

· NVIDIA

（Plus de 40 organisations participantes）

Le contexte de lancement de ce programme est le suivant : le nombre d’attaques réseau pilotées par l’IA augmente à un rythme de 72% d’une année sur l’autre, avec une projection selon laquelle, d’ici 2025, 87% des organisations dans le monde seront confrontées à des attaques réseau pilotées par l’IA. Anthropic estime que la réponse la plus systémique actuellement consiste à prendre l’offensive grâce à l’IA.

Perspective à long terme : la capacité de défense finira par dominer, mais la période de transition est pleine de défis

Anthropic souligne que « protéger les infrastructures du réseau mondial pourrait nécessiter plusieurs années », mais se montre prudemment optimiste quant à la perspective à long terme, en prévoyant que « la capacité de défense occupera une place dominante : le monde deviendra plus sûr et les logiciels seront plus robustes — en grande partie grâce au code écrit par ces modèles. Mais la période de transition sera pleine de défis. »

Anthropic met également en garde : « Compte tenu de la vitesse de développement de l’IA, cette capacité se diffusera très rapidement, et pourrait dépasser le contrôle de la part des acteurs qui se consacrent au déploiement sécurisé », ce qui constitue la logique centrale limitant l’accès à Claude Mythos Preview.

Questions fréquentes

Pourquoi Anthropic limite-t-elle l’accès à Claude Mythos Preview ?

Claude Mythos Preview dispose déjà d’une capacité à découvrir et exploiter des vulnérabilités logicielles qui dépasse celle de la très grande majorité des humains. Anthropic craint qu’en cas de diffusion généralisée de cette capacité, elle puisse être utilisée par des acteurs malveillants pour mener des attaques réseau à grande échelle. C’est pourquoi Anthropic a décidé de ne fournir ce modèle qu’à un groupe restreint de partenaires sélectionnés, afin de garantir que la capacité soit appliquée dans un périmètre contrôlable.

Qu’est-ce que le Project Glasswing ?

Le Project Glasswing est un programme d’IA de sécurité défensive mené par Anthropic. Il réunit plus de 40 organisations technologiques et financières et utilise Claude Mythos Preview pour balayer de manière proactive les vulnérabilités de sécurité dans les systèmes des partenaires, afin d’effectuer les corrections avant que les attaquants ne les exploitent, et de partager les données de vulnérabilité entre les partenaires pour parvenir à une défense coordonnée à l’échelle du système.

Les vulnérabilités découvertes par Claude Mythos Preview ont-elles été divulguées publiquement ?

Anthropic indique qu’à l’heure actuelle, 99% des vulnérabilités identifiées ne sont pas encore corrigées ; la société déclare donc clairement ne pas publier les détails précis des vulnérabilités, afin d’éviter de fournir des voies d’attaque aux agresseurs malveillants. Parmi les exemples corrigés figure une vulnérabilité en dormance depuis 27 ans dans OpenBSD.