Anthropic fait face à un nouveau test de crédibilité en matière de sécurité. La jeune entreprise a confirmé enquêter sur un accès non autorisé à Mythos, son modèle d’intelligence artificielle le plus sensible, conçu pour l’analyse avancée de failles informatiques et réservé jusqu’ici à un cercle très restreint d’organisations. Selon Bloomberg, un petit groupe d’utilisateurs aurait réussi à accéder au modèle via l’environnement d’un prestataire tiers.

L’incident est d’autant plus délicat que Mythos n’est pas un modèle comme les autres. Anthropic affirme que cet outil est suffisamment puissant pour identifier, et potentiellement exploiter, des vulnérabilités dans les principaux systèmes d’exploitation et navigateurs. C’est précisément pour cette raison que son accès a été limité à quelques partenaires triés sur le volet, dans le cadre d’un programme de test encadré.

D’après les informations rapportées, l’accès non autorisé ne serait pas passé par l’infrastructure commerciale classique d’Anthropic, mais par l’environnement utilisé par un sous-traitant lié au développement du modèle. L’entreprise dit n’avoir, à ce stade, aucun élément indiquant que l’incident aurait touché ses systèmes centraux ou dépassé ce périmètre précis.

Bloomberg rapporte aussi que les personnes concernées auraient combiné plusieurs méthodes, notamment un accès obtenu dans le cadre d’un travail contractuel et des techniques de veille en ligne souvent utilisées pour repérer des ressources mal sécurisées. Toujours selon cette source, le groupe n’aurait pas utilisé Mythos pour des opérations offensives de cybersécurité, préférant des usages plus banals afin d’éviter d’attirer l’attention.

Cette affaire met surtout en lumière une difficulté grandissante pour les laboratoires d’IA. Plus les modèles deviennent puissants, plus leur simple phase d’essai devient un enjeu de contrôle. Dans le cas de Mythos, Anthropic avait justement choisi une diffusion limitée pour réduire le risque qu’un outil pensé pour aider à défendre des systèmes soit détourné à des fins offensives.

Le dossier soulève aussi une question plus large pour l’industrie. Peut-on réellement contenir un modèle jugé trop dangereux pour une diffusion large, dès lors qu’il circule dans des environnements partagés entre partenaires, fournisseurs et sous-traitants? Même si Anthropic insiste sur le fait que rien ne prouve une compromission plus vaste, cet épisode rappelle qu’en cybersécurité, la chaîne est rarement plus solide que son maillon le plus exposé.

Pour Anthropic, l’enjeu est désormais double. Il faut d’abord comprendre précisément comment cet accès a été rendu possible. Il faut ensuite rassurer partenaires, clients potentiels et autorités, alors que Mythos est présenté comme un outil capable de changer d’échelle dans la découverte de failles logicielles. À mesure que les modèles d’IA spécialisés gagnent en puissance, leur gouvernance devient presque aussi stratégique que leur performance.

Source : Bloomberg, BFM

******

Du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de Tech.

Ou encore…

Écoutez la plus récente édition de Mon Carnet,
le magazine hebdomadaire de l’actualité numérique.