Anthropic découvre des milliers de failles avec l’IA et les garde secrètes : trop dangereux

Anthropic a restreint l’accès à un nouveau modèle d’IA après que celui-ci a identifié des milliers de vulnérabilités dans des logiciels couramment utilisés. Conçu pour des applications générales, le modèle s’est révélé capable de détecter des failles graves dans d’importants systèmes d’exploitation et navigateurs web. 99 % de ces vulnérabilités n’ont pas encore été corrigées.

L’IA découvre ce que l’homme a longtemps manqué

Il est frappant de constater que de nombreuses vulnérabilités découvertes existent depuis des années dans les systèmes. Certaines erreurs sont présentes depuis plusieurs décennies sans être détectées. Ainsi, le modèle a identifié une faille vieille de 27 ans dans OpenBSD, un système d’exploitation réputé pour sa sécurité.

Des bugs ont également été découverts dans FFmpeg, FreeBSD et le noyau Linux. Des technologies de sécurité largement utilisées telles que TLS, AES-GCM et SSH se sont révélées vulnérables. Les applications web étaient sensibles à des techniques d’attaque connues comme le phishing, le cross-site scripting et l’injection SQL.

Anthropic ne divulgue volontairement aucun détail pour éviter les abus. Selon l’entreprise, le fait que le modèle ait pu déceler ces vulnérabilités souligne la rapidité avec laquelle l’IA se développe. Elle avertit qu’il ne faudra pas longtemps avant que ces capacités ne soient plus largement disponibles.

Les cyberattaques par IA augmentent de 72 %

Cette découverte intervient alors que l’utilisation de l’IA dans les cyberattaques connaît une croissance exponentielle. Selon AllAboutAI, le nombre d’attaques utilisant l’IA a augmenté de 72 % en un an. En 2025, 87 % des organisations mondiales seront confrontées à des attaques recourant à l’IA.

Les cybercriminels utilisent l’IA pour identifier et exploiter les vulnérabilités plus rapidement qu’avec des méthodes traditionnelles. La même capacité qu’Anthropic utilise actuellement pour la défense pourrait devenir une arme aux mains des mauvais acteurs.

Projet Glasswing : 40 géants de la tech unissent leurs forces

Pour limiter les risques, Anthropic a lancé le Projet Glasswing, une collaboration avec plus de 40 grandes organisations. Amazon Web Services, Apple, Cisco, Google, JPMorgan, Microsoft, Nvidia et la Linux Foundation y participent.

Dans le cadre de ce projet, le modèle d’IA Claude Mythos Preview est utilisé pour détecter proactivement les vulnérabilités. Les résultats sont partagés avec les partenaires, afin que les problèmes soient résolus rapidement avant qu’ils ne soient exploités par des acteurs malveillants.

Les défenseurs prendront l’avantage

Anthropic anticipe que l’IA augmentera la menace cybernétique à court terme, mais qu’à long terme, elle contribuera à améliorer la sécurité. L’idée est que si l’IA peut détecter les vulnérabilités plus rapidement que les humains, elles pourront également être corrigées plus rapidement. À terme, les défenseurs auront ainsi une avance sur les assaillants.

La période de transition reste cependant risquée. Tant que 99 % des failles découvertes ne sont pas corrigées, il existe un risque que les mêmes techniques soient utilisées par des criminels. La lutte entre attaquants et défenseurs à l’ère de l’IA est en pleine effervescence et l’enjeu n’a jamais été aussi élevé.