L’intelligence artificielle continue de transformer en profondeur le paysage de la cybersécurité. Anthropic, la société spécialisée dans les grands modèles de langage, annonce que son outil d’audit automatique Mythos a déjà repéré plus de 10 000 vulnérabilités de sévérité élevée ou critique dans les logiciels les plus stratégiques au monde.
Dévoilé en avril dernier, cet outil de chasse aux bugs n’a été partagé qu’avec une cinquantaine de partenaires sélectionnés, en raison de sa puissance jugée trop importante pour une diffusion publique. Une performance qui marque une étape décisive dans la sécurisation des algorithmes et des infrastructures critiques avant leur déploiement.
Des résultats impressionnants chez les partenaires
Parmi les partenaires privilégiés figure Cloudflare, le spécialiste de l’hébergement cloud. L’entreprise a exploité Mythos pour identifier 2 000 bugs, dont 400 classés comme critiques ou de haute gravité au sein de ses systèmes sensibles. Selon les retours, le taux de faux positifs s’est avéré inférieur à celui des testeurs humains, soulignant la fiabilité de l’approche automatisée.
Par ailleurs, Mythos a examiné 1 000 projets open source, mettant au jour 6 202 failles de sécurité majeures. Une vulnérabilité particulièrement notable a été découverte dans wolfSSL, une bibliothèque SSL/TLS largement utilisée dans les objets connectés et les appareils domestiques intelligents. Mythos a construit une preuve de concept capable de forger des certificats, permettant à un attaquant de créer de faux sites web imitant des banques ou des fournisseurs de messagerie.
Anthropic prévoit de publier une analyse technique détaillée de cette vulnérabilité, référencée CVE-2026-5194, dans les semaines à venir. Cette découverte s’ajoute à une série de succès récents : des chercheurs utilisant Mythos auraient contourné la sécurité de macOS, tandis que Mozilla a signalé 271 vulnérabilités dans Firefox grâce à l’IA.
Une approche proactive face aux risques émergents
« Mythos ne se contente pas de détecter des erreurs ponctuelles », explique l’équipe technique d’Anthropic. « Il identifie des patterns de vulnérabilités récurrentes, souvent exploitées par des acteurs malveillants pour contourner les garde-fous des modèles. » Cette méthode s’appuie sur des techniques d’analyse statique et de modélisation formelle, issues de la cybersécurité classique mais adaptées aux spécificités des IA.
Les résultats préliminaires interviennent alors que les débats sur la régulation des IA s’intensifient, notamment aux États-Unis où OpenAI et Anthropic ont été placés sous les projecteurs des élections de mi-mandat. Les responsables du projet soulignent que ces avancées pourraient influencer les futures législations en matière de sécurité des algorithmes.
Critiques et controverses entourent le déploiement
La gestion du déploiement de Mythos par Anthropic suscite néanmoins des critiques. Gary McGraw, ancien vice-président de la cybersécurité chez Synopsys, a déclaré au New York Times : « La technologie n’est pas trop dangereuse pour être diffusée. Ne pas publier un tel outil, ou le garder secret, ne résout pas le vrai problème. » De son côté, Michał Zalewski, chercheur en sécurité chez Google, a estimé auprès du Wall Street Journal que le battage médiatique autour de Mythos était « exagéré ».
En août, des allégations ont émergé selon lesquelles certains utilisateurs auraient accédé à Mythos sans autorisation. Anthropic a nié toute preuve à ce moment-là, mais a indiqué enquêter sur ces affirmations. Cette controverse rappelle les défis éthiques et pratiques liés au déploiement d’outils d’IA puissants dans le domaine de la sécurité.
Pour l’instant, Mythos reste un outil interne, mais Anthropic envisage de le rendre accessible à une communauté restreinte de chercheurs et d’experts en cybersécurité. Une démarche qui pourrait accélérer l’émergence de standards communs pour auditer les systèmes d’IA, dans un secteur encore fragmenté. La société mise sur cette innovation pour renforcer la crédibilité de ses modèles, comme Claude, déjà plébiscité pour son approche éthique.
Alors que le marché de la cybersécurité basée sur l’IA connaît une croissance rapide, estimée à plusieurs milliards de dollars, l’approche d’Anthropic soulève des questions cruciales sur l’équilibre entre efficacité et responsabilité. La capacité de Mythos à détecter des failles à grande échelle pourrait redéfinir les standards de la sécurité logicielle, mais son accès restreint interroge sur une possible concentration des bénéfices entre les mains de quelques acteurs.
