La fuite du modèle Mythos d'Anthropic ravive les craintes de sécurité mondiale

Résumé

Le modèle Mythos d'Anthropic, conçu pour détecter les vulnérabilités logicielles, a été accédé par des utilisateurs non autorisés via un environnement de fournisseur tiers. Anthropic enquête sur cet incident qui soulève des préoccupations majeures auprès des banques centrales et agences de renseignement.

Les faits

Anthropic a lancé Mythos en avril dans le cadre du projet Glasswing, un modèle d'intelligence artificielle présenté comme particulièrement efficace pour détecter les vulnérabilités logicielles. L'entreprise avait volontairement limité l'accès à un groupe restreint de quarante grandes entreprises, dont Amazon, Apple, Cisco, JPMorgan Chase et Nvidia, en raison des risques potentiels liés à une utilisation malveillante. Cependant, selon Bloomberg, un groupe d'utilisateurs non autorisés a obtenu l'accès au modèle dès son annonce publique via une discussion Discord privée, en exploitant l'accès d'un membre du groupe qui travaille comme sous-traitant pour Anthropic. Le groupe non autorisé a pu localiser le modèle en s'appuyant sur des connaissances antérieures concernant les pratiques d'infrastructure d'Anthropic, obtenues lors d'une fuite précédente impliquant la startup Mercor. Bien que ce groupe n'ait pas utilisé le modèle pour des cyberattaques, il continue d'y accéder régulièrement depuis sa publication. Anthropic a confirmé son enquête sur cet accès non autorisé mercredi, affirmant que l'incident s'est limité à l'environnement du fournisseur tiers et qu'aucune compromission des systèmes Anthropic n'a été détectée. Cette fuite intervient après que Mythos a déjà démontré des capacités remarquables : le modèle a identifié une vulnérabilité vieille de vingt-sept ans dans OpenBSD et Mozilla a utilisé une version préliminaire pour identifier et corriger deux cent soixante-dix-une vulnérabilités dans Firefox. Cependant, des chercheurs ont rapidement montré que certaines des principales découvertes de Mythos, y compris la vulnérabilité FreeBSD mise en avant par Anthropic, peuvent être reproduites avec des modèles beaucoup plus petits et accessibles.

Pourquoi c’est important

Cet incident expose une tension fondamentale dans la gouvernance de l'intelligence artificielle : la difficulté à maintenir le contrôle sur des technologies potentiellement dangereuses, même avec des mesures de restriction volontaires. Des responsables fédéraux, des experts en sécurité et des dirigeants d'institutions mondiales comme le Fonds monétaire international ont exprimé des craintes quant aux conséquences si Mythos tombait entre les mains d'acteurs malveillants. La fuite révèle que même une distribution limitée à quarante entreprises majeures ne garantit pas la sécurité, puisque des milliers de personnes potentiellement avaient accès au programme au sein de ces organisations. Le contexte géopolitique amplifie les enjeux : les experts en cybersécurité avertissent que si un groupe aléatoire sur Discord a pu accéder à Mythos, les adversaires américains comme la Chine disposent probablement déjà de cette technologie. Cela redéfinit les priorités de sécurité pour les entreprises et gouvernements, mettant l'accent sur le renforcement des défenses et la limitation drastique de l'accès aux systèmes critiques. Le modèle Mythos symbolise ainsi un tournant : l'intelligence artificielle abaisse le seuil de compétence requis pour les attaquants tout en accélérant la cadence de divulgation des vulnérabilités zéro-day.

Questions fréquentes

Comment le groupe non autorisé a-t-il obtenu l'accès à Mythos ?

Un membre du groupe travaille comme sous-traitant pour Anthropic. Le groupe a ensuite utilisé des connaissances antérieures sur l'infrastructure d'Anthropic, obtenues lors d'une fuite précédente impliquant Mercor, pour localiser le modèle.

Quelles entreprises avaient initialement accès à Mythos ?

Anthropic avait limité l'accès à environ quarante grandes entreprises, dont Amazon, Apple, Cisco, JPMorgan Chase, Nvidia, Microsoft et Google, pour renforcer leur sécurité avant une publication plus large.

Le groupe non autorisé a-t-il utilisé Mythos pour des cyberattaques ?

Non, selon Bloomberg, le groupe n'a pas utilisé le modèle pour des cyberattaques, mais il continue d'y accéder régulièrement depuis la publication du modèle.

Quelles vulnérabilités Mythos a-t-il découvertes ?

Mythos a identifié une vulnérabilité vieille de vingt-sept ans dans OpenBSD et Mozilla l'a utilisé pour découvrir et corriger deux cent soixante-dix-une vulnérabilités dans Firefox.

Anthropic a-t-elle détecté des compromissions de ses propres systèmes ?

Non, Anthropic a confirmé que l'accès non autorisé s'est limité à l'environnement d'un fournisseur tiers et qu'aucune compromission des systèmes Anthropic n'a été détectée.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.