Un groupe composé de dizaines d’experts en cybersécurité, dont plusieurs vétérans bien connus du secteur, a publié une lettre ouverte au gouvernement américain lui demandant de lever l’ordonnance de contrôle des exportations sur les modèles Fable et Mythos d’Anthropic.
Selon la lettre ouverte, « cette action a retiré les meilleurs modèles aux défenseurs (de la cybersécurité) » qui ne peuvent désormais plus utiliser ces modèles pour trouver des vulnérabilités et rendre leurs logiciels et produits plus sécurisés.
« Il est dangereux de retirer les meilleures capacités des défenseurs sans raison valable alors que nos adversaires avancent rapidement », peut-on lire dans la lettre.
Vendredi, le gouvernement américain a ordonné à Anthropic de limiter les exportations de Fable et Mythos, invoquant des problèmes de sécurité nationale, sans expliquer les raisons spécifiques de cette ordonnance, selon Anthropic. En réponse, la société a suspendu l’accès aux modèles à tous les utilisateurs du monde entier.
Au moment d’écrire ces lignes, la lettre est signée par 76 experts en cybersécurité, dont : l’ancien chef de la sécurité de Facebook, Alex Stamos ; Casey Ellis, fondateur de la plateforme de bug bounty Bugcrowd ; Jon Callas, célèbre cryptographe et ancien responsable de la conception et de l’architecture de la sécurité d’Apple ; l’informaticien Paul Vixie; Dino Dai Zovi, ancien responsable de l’ingénierie de sécurité appliquée chez Block ; Katie Mossouris, la fondatrice de Luta Security ; et Rachel Tobac, PDG de la société de formation en sensibilisation à la sécurité SocialProof Security.
Lorsque Mythos a été lancé en avant-première en avril, Anthropic a affirmé qu’il était si puissant pour détecter les failles de sécurité que l’entreprise devait en restreindre strictement l’accès pour empêcher les pirates malveillants ou les adversaires étrangers de l’utiliser pour causer des ravages sur Internet. En pratique, cela signifie qu’Anthropic a donné un premier accès à Mythos à environ 50 entreprises, élargissant récemment ce groupe pour inclure environ 150 organisations dans 15 pays.
La semaine dernière, Anthropic a publié Fable, une version publique de Mythos qui, selon la société, disposait de garde-fous stricts pour bloquer son utilisation dans les domaines de la biologie, de la chimie et de la cybersécurité, ainsi que pour empêcher d’autres de distiller le modèle afin de le recréer. Les garde-fous sur Fable étaient si stricts que de nombreux experts en cybersécurité ont constaté qu’ils bloquaient pratiquement toutes les invites liées à la cybersécurité.
Anthropic a déclaré que l’ordre de contrôle des exportations de la Maison Blanche était peut-être basé sur un rapport selon lequel il existait une méthode pour contourner – ou ce qu’on appelle le jailbreak – Fable pour débloquer ses puissantes capacités de niveau Mythe.
Contactez-nous
Avez-vous plus d’informations sur le journal d’Amazon qui a motivé l’interdiction ? Nous aimerions avoir de vos nouvelles. À partir d’un appareil et d’un réseau non professionnels, vous pouvez contacter Lorenzo Franceschi-Bicchierai en toute sécurité sur Signal au +1 917 257 1382, ou via Telegram et Keybase @lorenzofb, ou par e-mail.
Selon Katie Moussouris, l’une des signataires de la lettre ouverte, la méthode a été démontrée par des chercheurs d’Amazon dans un article qui n’est pas public, mais qu’elle a examiné.
Mais Moussouris a déclaré dans un article de blog que le journal n’avait pas réellement démontré un véritable jailbreak. Au lieu de cela, a-t-elle écrit, les chercheurs ont simplement demandé à Fable de corriger le code open source avec des vulnérabilités publiques et connues ainsi que des « vulnérabilités délibérément implantées », après que le modèle ait initialement refusé de « réviser le code pour des problèmes de sécurité ».
« Le comportement décrit dans le document ne peut pas être corrigé de manière significative, et toute tentative ne ferait qu’affaiblir le modèle de défense », a écrit Moussouris. « Les défenseurs doivent pouvoir demander à l’IA de corriger les bogues dans un fichier, d’expliquer pourquoi le correctif est important et d’écrire des tests qui confirment que le correctif fonctionne. Il ne s’agit pas d’un contournement de garde-fou. C’est la chose la plus précieuse qu’un modèle d’IA puisse faire pour la sécurité défensive : exécuter la boucle de recherche, de correction et de test que les défenseurs exécutent chaque jour. «
La critique de Moussouris a été reprise dans la lettre ouverte, qui indiquait également que le groupe d’experts pensait que la méthode décrite dans l’article d’Amazon « pouvait être reproduite » sur le GPT-5.5 d’OpenAI, sur Claude Opus 4.8 et Sonnet d’Anthropic, accessibles au public, « et même sur des modèles chinois comme Kimi 2.7 ».
La lettre demande également des réglementations transparentes et appliquées équitablement, créées par « un processus d’élaboration de règles démocratiques » basées sur des recherches scientifiques effectuées par des experts de l’industrie et du monde universitaire, et « utilisées uniquement dans la mesure minimale nécessaire pour garantir la sécurité du public américain ».
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
