'Moment de danger' : Le PDG d'Anthropic met en garde contre la fenêtre de risque cyber alors que l'IA découvre des failles logicielles

En bref

• Anthropic affirme que son IA a découvert des dizaines de milliers de vulnérabilités logicielles.
• Le PDG Dario Amodei a averti qu’il y a une fenêtre de 6 à 12 mois pour les corriger.
• Les critiques disent que les risques pourraient être exagérés même si les préoccupations de sécurité augmentent.

Une discussion entre le PDG d’Anthropic Dario Amodei et le PDG de JPMorgan Chase Jamie Dimon mardi s’est concentrée sur la menace croissante de cybersécurité posée par l’intelligence artificielle, qui identifie les vulnérabilités plus rapidement que les organisations ne peuvent les corriger. Lors de l’événement d’une durée de près de deux heures lié à l’expansion d’Anthropic dans les services financiers, où il a dévoilé des agents IA pour des tâches telles que les pitchbooks, la revue des bénéfices et la conformité, Amodei a déclaré qu’il pourrait y avoir une fenêtre de six à 12 mois pour traiter des dizaines de milliers de failles découvertes par le modèle Mythos de l’entreprise avant que des capacités similaires ne deviennent plus largement disponibles. « Le danger est simplement une augmentation énorme du nombre de vulnérabilités, du nombre de brèches, des dégâts financiers causés par des rançongiciels dans les écoles, les hôpitaux, sans parler des banques », a déclaré Amodei.

Les dernières déclarations d’Amodei font suite à des tests antérieurs avec Mozilla, lorsqu’une version précoce de Mythos a identifié 271 vulnérabilités dans le navigateur Firefox en une seule passe, montrant comment l’IA peut analyser de grandes bases de code beaucoup plus rapidement que des chercheurs humains.  Anthropic a déclaré que le modèle peut découvrir des milliers de faiblesses auparavant inconnues dans des logiciels largement utilisés. Beaucoup restent non divulguées car elles n’ont pas encore été corrigées, laissant des failles non résolues. « Si nous annonçons quelque chose sans qu’il soit corrigé, alors les méchants en profiteront », a déclaré Amodei.

Lors de tests contrôlés, Mythos a réalisé des simulations d’attaques réseau à plusieurs étapes sans intervention humaine, démontrant la capacité à passer de l’identification des faiblesses à leur exploitation. Anthropic a limité l’accès au modèle à un petit groupe de partenaires dans le cadre du projet Glasswing, visant à corriger les vulnérabilités avant que des outils similaires ne deviennent largement disponibles. Des chercheurs ont montré que certains éléments de la capacité de Mythos peuvent être reproduits à l’aide de modèles existants et de techniques open source, suggérant que des outils similaires pourraient se répandre plus rapidement que prévu. Les avertissements ont suscité du scepticisme dans l’industrie. En avril, le PDG d’OpenAI, Sam Altman, a déclaré que les préoccupations concernant Mythos pourraient être exagérées et a suggéré qu’Anthropic utilise un « marketing basé sur la peur » pour encadrer les risques et justifier la limitation de l’accès à la technologie. « Vous pouvez justifier cela de plusieurs manières, et une partie est réelle, comme le fait qu’il y aura des préoccupations légitimes de sécurité », a déclaré Altman. « Mais si ce que vous voulez, c’est comme ‘nous devons contrôler l’IA, juste nous, parce que nous sommes les personnes dignes de confiance’, je pense que le marketing basé sur la peur est probablement la façon la plus efficace de justifier cela. » Même avec cette opposition, malgré une querelle publique avec Anthropic, le gouvernement américain utiliserait apparemment Claude Mythos pour analyser des réseaux classifiés à la recherche de vulnérabilités et tester ses capacités en cybersécurité, selon Axios. Bien qu’il n’ait pas abordé la bataille juridique en cours, Amodei a déclaré qu’Anthropic est « bénéfique pour ce pays ». « Je pense que la vision d’Anthropic est la même qu’elle l’a toujours été. En termes de politisation, c’est le point que j’ai évoqué sur la rationalisation, la systématisation et l’équité pour tous », a déclaré Amodei. « Le but des lois et de ne pas faire les choses de manière ad hoc, c’est que toutes les entreprises soient, du moins en principe — je sais que c’est plus compliqué en pratique — traitées de la même manière, et nous devrions aspirer à cela même si cela ne se réalisera jamais parfaitement de cette façon. » Amodei a présenté le moment comme une fenêtre étroite pour agir, avertissant que la rapidité de la réponse des organisations pourrait déterminer si les risques s’intensifient ou sont maîtrisés.

« Il s’agit d’un moment de danger où, si nous y répondons correctement, et je pense que nous avons commencé à prendre les premières mesures, alors nous pouvons avoir un monde meilleur de l’autre côté », a déclaré Amodei. « Il n’y a que quelques bugs à trouver. »