L’entreprise états-unienne Anthropic, spécialisée en intelligence artificielle générative, a pris début avril la décision de geler la diffusion publique de l’un de ses modèles récents, baptisé « Mythos ».

Selon un communiqué de la société, cette décision découle d’une puissance de calcul et d’une capacité de raisonnement jugées trop « offensives ». Anthropic a choisi de ne partager son modèle qu’avec une coalition de géants technologiques (Apple, Amazon Web Services, Cisco, Google, Microsoft, etc.) dans le cadre du projet Glasswing. Le but annoncé est d’utiliser Claude Mythos Preview pour détecter des vulnérabilités dites « zero-day » (c’est-à-dire inconnues et n’ayant aucun correctif connu) et sécuriser proactivement les logiciels critiques… avant que des acteurs malveillants n’exploitent ces failles.

Les grands modèles de langage savent déjà coder depuis quelques années, mais la presse spécialisée documente désormais un saut plus préoccupant. Des systèmes d’intelligence artificielle (IA) peuvent identifier des vulnérabilités réelles dans des logiciels critiques. Les autorités, comme l’Agence nationale de la sécurité des systèmes d’information (Anssi), soulignent la capacité des systèmes d’IA à automatiser les attaques.

Les enjeux de la diffusion massive de tels modèles, Mythos compris, dépassent largement le cadre technique. Une cyberattaque d’envergure, automatisée par une IA, pourrait paralyser des systèmes financiers ou logistiques en quelques secondes, avec un coût de remédiation se chiffrant en milliards d’euros. Les enjeux sont aussi sociétaux et de santé, puisque nos hôpitaux, nos réseaux énergétiques et les autres systèmes critiques reposent sur des couches logicielles souvent anciennes, vulnérables à des « attaques de zero-day » désormais générées à la chaîne.

Dans ce contexte, des IA ultraperformantes, comme Mythos, peuvent-elles contribuer à une forme de « dissuasion algorithmique » ? Celle-ci repose sur un principe simple : détecter et neutraliser ses propres vulnérabilités critiques plus vite que n’importe quel attaquant humain ou automatisé – y........

© The Conversation