Anthropique il vient d’enlever le voile Claude Mythe Aperçuun nouveau modèle d’intelligence artificielle généraliste – c’est-à-dire conçu pour un usage général et non spécialisé – qui a fait ses preuves capable d’identifier de manière autonome des milliers de vulnérabilités critiques dans les principaux systèmes d’exploitation et navigateurs Web. Ses capacités de raisonnement d’agent (qui lui permettent de fonctionner de manière autonome, en planifiant et en accomplissant des tâches complexes sans supervision) et sa programmation avancée en font un outil potentiellement révolutionnaire pour cybersécurité défensive. Mais en même temps, ils le configurent comme un seul technologie potentiellement dangereuse. S’il tombait entre de mauvaises mains, il pourrait être utilisé pour détecter et exploiter des failles de sécurité ; pas pour les corriger.
C’est pour cette raison qu’Anthropic a choisi de ne le rendez pas publicen le distribuant en avant-première en exclusivité à un groupe sélectionné de partenaires industriels dans le cadre du Projet Aile de Verreune initiative coordonnée impliquant des entreprises du calibre d’Amazon, Apple, Microsoft, Google, Cisco, CrowdStrike, Linux Foundation, Palo Alto Networks, entre autres. L’objectif est de permettre aux responsables de la cybersécurité de renforcer les défenses des systèmes les plus critiques avant que des modèles dotés de capacités similaires ne deviennent accessibles à tous.
Qu’est-ce que Mythe et quel est son potentiel
L’histoire de Mythe commence, paradoxalement, d’un fuite de nouvelles. Il y a quelques semaines, des chercheurs en sécurité ont découvert un dossier de documents non protégé – librement accessible au public via un lac de donnéesqui est un magasin de données non structurées – une ébauche interne d’Anthropic qui décrivait le modèle, alors appelé « Capybara ». Le document disait à propos de Mythe : «du modèle d’intelligence artificielle le plus puissant de loin» jamais développé par l’entreprise, supérieur même aux modèles de la famille Opus, jusqu’à présent considérée comme la plus avancée de la gamme. Anthropic a ensuite attribué l’incident à une erreur humaine, par ex. Dianne Pennresponsable de la gestion des produits, a précisé qu’il ne s’agissait en aucun cas d’une vulnérabilité logicielle.
Ce qui rend Mythos particulièrement digne d’attention, c’est le nature de ses capacités de sécuritén’est pas le résultat d’une formation spécialisée, mais d’une conséquence des améliorations générales du modèle en matière de codage et de raisonnement. Lors de tests internes réalisés par l’entreprise gérés par Dario AmodeiMythe identifié vulnérabilité du jour zéro (ces failles encore inconnues de tous, pas même des développeurs des logiciels concernés) dans tous les principaux systèmes d’exploitation et navigateurs. Beaucoup de ces défauts existaient depuis une décennie ou deux ! Le plus ancien découvert jusqu’à présent est un bug datant de 27 ans OpenBSDun système d’exploitation historiquement considéré comme l’un des plus sécurisés jamais créés. Réparez-le maintenant grâce à Mythos.
Les performances du Mythos dépassent clairement celles des modèles précédents. Pour donner un exemple concret : lorsqu’Anthropic a testé à la fois Opus 4.6 et Mythos sur la capacité de transformer les vulnérabilités trouvées dans le moteur JavaScript de Mozilla Firefox, 147 en exploits fonctionnels (c’est-à-dire en code capable d’exploiter activement le bug), Opus 4.6 n’a réussi que deux fois sur des centaines de tentatives. Mythos a produit des exploits qui ont fonctionné dans 181 casprenant le contrôle du registre chez d’autres 29. L’écart entre les deux modèles est catastrophique.
La méthode utilisée par Anthropic pour tester est volontairement simple : vous démarrez un conteneur isolé d’Internet et d’autres systèmes avec le logiciel à analyser, vous donnez au modèle une instruction de base telle que « trouver une vulnérabilité dans ce programme », et vous le laissez fonctionner de manière autonome. Claude Code avec Mythos Preview lit le code, formule des hypothèses, exécute le logiciel pour les tester, utilise des outils de débogage et renvoie un rapport complet avec preuve de concept de l’exploit. Et tout cela sans la moindre intervention humaine.
Gestion responsable de cette technologie
Bien sûr, le point central reste là gestion responsable de cette technologie. Plus de 99% des vulnérabilités identifiées ne sont pas encore corrigées : les divulguer publiquement avant que les mainteneurs du logiciel n’aient eu le temps d’intervenir serait irresponsable de la part d’Anthropic. En fait, la société d’Amodei suit une procédure de divulgation coordonnée, signalant les bogues aux responsables et attendant qu’ils soient résolus avant de les faire connaître.
Historiquement, les nouveaux outils de sécurité ont d’abord profité aux attaquants, pour ensuite devenir partie intégrante de la défense des entreprises. C’est arrivé avec moi fuzzeur (logiciel qui « bombarde » les programmes avec des entrées aléatoires pour trouver les points faibles) aujourd’hui considéré comme fondamental pour la sécurité des logiciels open source. Anthropic estime que le même sort attend les modèles de langage avancés : à long terme, les défenseurs en bénéficieront le plus en identifiant et en corrigeant les vulnérabilités avant même que le code ne soit publié. Cette période de transition délicate nécessite cependant beaucoup d’attention. Et c’est exactement la raison pour laquelle Project Glasswing existe et c’est pour la même raison que Mythos ne sera pas accessible au public, du moins pour le moment.