Un consortium fermé comprenant des géants de la technologie et des fournisseurs de sécurité de premier plan obtient un accès anticipé à un modèle qui, selon Anthropic, peut découvrir de manière autonome les vulnérabilités logicielles à grande échelle. Les implications pour l’avenir de la cybersécurité pourraient être importantes.
Le géant de l’IA Anthropic a dévoilé le projet Glasswing, une initiative de cybersécurité construite autour de Claude Mythos Preview, un modèle qu’il décrit comme « la cybersécurité à l’ère de l’IA » capable d’identifier de manière autonome les vulnérabilités logicielles à grande échelle.
Plutôt que de publier le modèle, Anthropic restreint l’accès à un consortium fermé de plus de 40 sociétés comprenant Amazon, Microsoft, Apple, Google, propriété d’Alphabet, et la Linux Foundation, ainsi qu’un petit groupe de fournisseurs de sécurité tels que CrowdStrike, Palo Alto Networks et Cisco.
« Le mythe rend le premier domino plus clair : une fois que l’IA de pointe peut effectuer une chasse aux bogues à grande échelle, la logique consistant à payer des humains pour des découvertes de routine commence à s’effondrer », déclare Jeff Williams, fondateur d’OWASP et CTO de Contrast Security.
Selon Anthropic, l’objectif est d’appliquer ces capacités dans un environnement contrôlé et défensif, permettant aux organisations participantes de tester et d’améliorer la sécurité des logiciels et des infrastructures largement utilisés.
L’économie de la chasse aux bogues change
Lors des premiers tests, Anthropic affirme que le modèle a identifié des milliers de vulnérabilités de haute gravité dans les systèmes d’exploitation, les navigateurs et autres logiciels largement utilisés. Certaines persistaient malgré un examen préalable approfondi, notamment une faille vieille de 27 ans dans OpenBSD, longtemps considéré comme l’un des systèmes d’exploitation les plus sécurisés et largement utilisé dans les infrastructures critiques.
Comme pour de nombreuses premières affirmations sur les capacités de l’IA, les résultats sont en grande partie autodéclarés et seulement partiellement vérifiables de l’extérieur, mais ils indiquent une direction claire : la découverte des vulnérabilités est de plus en plus automatisée et évolutive.
Ce changement soulève des questions sur la manière dont le travail de sécurité est organisé et valorisé.
Pour Williams de l’OWASP, la perturbation commence par l’économie. Si les systèmes d’IA peuvent effectuer une découverte de vulnérabilités à grande échelle, la justification de s’appuyer sur la recherche de bogues pilotée par l’homme – en particulier pour la découverte de routine – s’érode.
Mais les implications s’étendent au-delà des programmes de bug bounty. « Cela ne menace pas seulement les bug bounties », dit-il. « Cela menace l’idée selon laquelle la sécurité peut rester une réflexion après coup. L’ère du retard en matière de sécurité touche à sa fin. »
De la gestion du backlog au risque lié à la fenêtre d’exposition
Le problème, selon Williams, n’est pas simplement de savoir combien de vulnérabilités existent, mais aussi de savoir comment elles sont gérées. « Mythe rend une chose douloureusement claire », dit-il. « Ce n’est pas un problème de priorisation. C’est un problème de fenêtre d’exposition. »
La gestion traditionnelle des vulnérabilités s’appuie sur la hiérarchisation : classement des problèmes par gravité, exploitabilité et impact sur l’entreprise, puis mise en œuvre de mesures correctives au fil du temps.
Williams affirme que le facteur limitant n’est plus la manière dont les organisations établissent leurs priorités, mais la durée pendant laquelle les vulnérabilités restent exposées.
S’adapter à la cyberdéfense basée sur l’IA
Anthony Grieco, vice-président directeur et directeur de la sécurité et de la confiance chez Cisco, place le développement dans un contexte opérationnel plus large. Dans un article de blog, Grieco affirme que les organisations doivent « s’adapter à l’ère de la cyberdéfense basée sur l’IA », reflétant un changement dans le paysage des menaces et dans les capacités requises pour y répondre.
Cisco fait partie des organisations participant au projet Glasswing, rejoignant ce qu’Anthropic décrit comme un effort de collaboration visant à appliquer des capacités avancées d’IA à des cas d’utilisation de sécurité défensive. Grieco souligne que les programmes de sécurité devront évoluer parallèlement à l’évolution rapide des capacités de l’IA.
« Les capacités de l’IA continueront de progresser, la surface des menaces évoluera et les organisations qui protègent Internet devront fonctionner à la vitesse des machines et à l’échelle des réseaux », explique Grieco. « Une grande partie de ce que nous vivons actuellement aurait été inimaginable il y a quelques années à peine. Il n’y a pas de ligne d’arrivée, seulement un engagement à faire tout son possible pour garder une longueur d’avance sur ses adversaires. »
Pour les responsables de la sécurité, cette combinaison – une découverte plus évolutive et la nécessité d’opérer plus rapidement – remet en question les hypothèses de longue date sur la manière dont les risques sont gérés. Les retards, longtemps considérés comme une réalité opérationnelle inévitable, deviennent plus difficiles à justifier si les vulnérabilités peuvent être identifiées plus rapidement et de manière plus complète.
Un changement en amont – et des questions ouvertes sur le contrôle
« L’avenir appartient aux usines de logiciels capables de produire de manière fiable du code sécurisé et des preuves d’assurance pour le prouver », déclare Williams, en soulignant un modèle dans lequel la sécurité est intégrée aux processus de développement plutôt que d’être abordée principalement après le déploiement.
L’accent mis par Grieco sur l’adaptation aux menaces basées sur l’IA s’aligne sur cette direction, soulignant la nécessité pour les organisations de faire évoluer à la fois leurs outils et leurs hypothèses sur la rapidité avec laquelle les conditions liées à la sécurité peuvent changer.
Dans le même temps, des questions demeurent quant à l’ampleur de la diffusion de ces capacités. Anthropic a choisi de limiter l’accès à Mythos Preview, reflétant la nature à double usage des systèmes qui peuvent identifier les vulnérabilités logicielles à grande échelle mais pourraient également accélérer leur exploitation.
« Il est très douteux qu’Anthropic soit capable de limiter les utilisations malveillantes de ce modèle », déclare Williams.
Anthropic a engagé 100 millions de dollars en crédits d’utilisation de modèles dans le projet Glasswing, les participants devant contribuer à une utilisation supplémentaire lors de l’aperçu de la recherche. Claude Mythos Preview sera disponible via l’API Claude, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry.
La société s’est également engagée à financer des efforts de sécurité open source, notamment en faisant des dons à Alpha-Omega, OpenSSF et Apache Software Foundation pour aider les responsables à répondre à ces changements. Les responsables intéressés par l’accès peuvent postuler via le programme Claude for Open Source.
