Le nouveau modèle d’IA Mythos d’Anthropic a fait craindre aux gouvernements et aux entreprises qu’il puisse dépasser les défenses de cybersécurité actuelles, les rendre plus vulnérables au piratage et exposer les faiblesses plus rapidement qu’elles ne peuvent être corrigées.
La startup basée à San Francisco a publié ce mois-ci un modèle axé sur la cybersécurité qui a démontré sa capacité non seulement à détecter les failles logicielles plus rapidement que les humains, mais également à générer les exploits nécessaires pour les exploiter.
Dans un cas alarmant, il a été démontré que les modèles Mythos étaient capables de violer des environnements numériques sécurisés et de contacter des travailleurs humains, outrepassant les intentions de leurs créateurs humains et révélant publiquement les failles des logiciels.
Cette semaine, OpenAI a publié son propre modèle cyber avancé doté de fonctionnalités similaires.
Ces développements ont poussé les responsables financiers internationaux et les ministres du gouvernement du monde entier à se démener pour comprendre les risques et, dans certains cas, à chercher à accéder à de nouveaux modèles réservés à un petit nombre de partenaires sélectionnés.
« Cela ressemble à la découverte d’un incendie », a déclaré Leif Pilling, directeur du renseignement sur les menaces chez la cyber-entreprise Sophos. « Ce pouvoir peut grandement améliorer nos vies, mais s’il est mal utilisé, il peut causer de réels dommages à l’ensemble du monde numérique. »
La semaine dernière, le secrétaire au Trésor américain Scott Bessent et le président de la Réserve fédérale Jay Powell ont convoqué plusieurs grandes banques américaines pour discuter des cybermenaces posées par les modèles d’IA. La ministre britannique de l’IA, Kanishka Narayan, a déclaré au FT que les capacités du modèle étaient « préoccupantes ».
Ces risques sont bien connus au sein d’Anthropic. Logan Graham, qui dirige « l’équipe rouge » d’Anthropic qui teste les modèles du laboratoire, a déclaré : « Quelqu’un pourrait utiliser (Mythos) et l’exploiter d’un seul coup, essentiellement de manière automatisée, très rapidement. Et la plupart des organisations dans le monde… y compris les organisations les plus sophistiquées sur le plan technologique, ne seraient pas en mesure de le mettre à jour à temps. »
Les outils d’IA ont considérablement stimulé l’industrie de la cybercriminalité, qui pèse déjà plusieurs milliards de dollars. Ils ont fourni aux pirates informatiques amateurs des outils bon marché pour créer des logiciels nuisibles et ont permis aux criminels professionnels de mieux automatiser et étendre leurs opérations.
« L’IA augmente déjà la fréquence et la sophistication des attaques », a déclaré Christina Cacioppo, directrice générale de la société de sécurité et de conformité Vanta.
« La plupart des entreprises ne sont pas préparées à faire face aux risques, car elles gèrent la sécurité de manière dépassée, qui ne peut rivaliser avec la vitesse des attaques basées sur l’IA », a-t-elle ajouté.
Selon les données du groupe de sécurité CrowdStrike, les cyberattaques basées sur l’IA ont augmenté de 89 % en 2025 par rapport à l’année précédente. Parallèlement, le délai moyen entre l’accès d’un attaquant à un système et l’exécution d’une action malveillante est tombé à 29 minutes l’année dernière, soit une diminution de 65 % par rapport à 2024.
« Le jeu est asymétrique. Il est plus facile à identifier et à exploiter que de tout patcher à temps », a déclaré une source proche de Frontier AI Labs.
Graham d’Anthropic a déclaré qu’il existe également des inquiétudes internes quant au fait que les entreprises utiliseront Mythos pour trouver « plus de vulnérabilités que nous ne pouvons espérer résoudre dans un avenir proche ».
Les préoccupations croissantes concernant l’IA et la cybersécurité surviennent alors que des agents agissant de manière autonome et effectuant des tâches pour le compte des utilisateurs pourraient également alimenter la croissance du piratage basé sur l’IA.
En septembre dernier, Anthropic a détecté la première opération de cyberespionnage signalée par l’IA, qui serait coordonnée par un groupe soutenu par l’État chinois.
Le produit de codage de l’entreprise, Claude Code, a été utilisé pour infiltrer environ 30 cibles mondiales, notamment de grandes entreprises technologiques, des institutions financières, des fabricants de produits chimiques et des agences gouvernementales. Elle a réussi dans un petit nombre de cas et a été réalisée sans intervention humaine importante.
Le chercheur en logiciels Simon Willison a averti que les agents disposent d’un « trio mortel » de fonctionnalités. Exposition à du contenu non fiable, comme sur Internet. et compétences en communication externe.
Les experts en sécurité affirment que le moyen le plus sûr de se protéger contre les cyberattaques lors de l’utilisation d’agents IA est de leur permettre d’accéder à seulement deux de ces zones. Mais les experts en IA estiment qu’une grande partie de la valeur que vous obtenez des agents vient du fait de leur donner accès aux trois.
« La mauvaise nouvelle est qu’il n’y a pas de bonnes solutions pour le moment », a déclaré une personne proche de l’AI Institute. « La bonne nouvelle est que nous n’avons pas encore d’agents IA dans les environnements critiques comme les bourses, les registres bancaires et les aéroports. »
Recommandé
Stanislav Fort, ancien chercheur d’Anthropic et de Google DeepMind qui a fondé la plateforme de sécurité de l’IA AISLE, s’est dit optimiste quant au fait que l’IA pourrait aider à identifier et à corriger le « référentiel fini » des failles de sécurité historiques.
À ce jour, les modèles d’IA ont identifié des milliers de vulnérabilités « zero-day », ou faiblesses inconnues dans les logiciels couramment utilisés, dont certaines n’ont pas été détectées depuis des décennies.
« Le pire type de jour zéro que nous puissions imaginer devient de moins en moins courant », a déclaré Fort.
Une fois ces faiblesses corrigées, la technologie pourrait être utilisée pour « garantir de manière proactive qu’aucune entité malveillante ne s’immisce, augmentant ainsi de manière significative le niveau de sécurité dans le monde ».
Reportage supplémentaire de Kieran Smith à Londres
