Alors que le modèle Mythos d’Anthropic sonne l’alarme sur les cyberattaques basées sur l’IA, la Maison Blanche reconsidère une approche de surveillance qu’elle a abandonnée dès le premier jour de la deuxième administration Trump.
L’administration Trump a entamé des discussions sur la question de savoir si les modèles avancés d’IA devraient être examinés avant leur diffusion publique, selon des informations du New York Times, du Wall Street Journal et d’Axios.
Les conversations portent sur les systèmes capables de faciliter les cyberattaques, notamment les modèles qui pourraient aider les utilisateurs à identifier et à exploiter les vulnérabilités des logiciels. Les responsables envisagent plusieurs options, notamment des processus formels d’examen préalable à la publication et des tests dirigés par le gouvernement pour les systèmes à plus haut risque. Aucune proposition n’a été finalisée et aucun calendrier n’a été fixé.
Qu’est-ce qui a changé
Les discussions marquent un changement de ton, voire de politique. Le 20 janvier 2025, premier jour de retour au pouvoir de Donald Trump au cours de son deuxième mandat, il a révoqué le décret 14110 de Biden sur le développement et l’utilisation sûrs, sécurisés et dignes de confiance de l’intelligence artificielle.
Trois jours plus tard, il a publié sa propre ordonnance, « Supprimer les obstacles au leadership américain en matière d’intelligence artificielle », signalant un changement significatif de l’accent mis par l’administration Biden sur la surveillance et l’atténuation des risques vers un cadre centré sur la déréglementation et la promotion de l’innovation en matière d’IA.
Parmi les choses auxquelles l’ordre a effectivement pris fin : le cadre Biden avait introduit une équipe rouge obligatoire pour les modèles d’IA à haut risque, des protocoles de cybersécurité améliorés et des exigences de surveillance pour l’IA utilisée dans les infrastructures critiques. Les nouvelles discussions suggèrent que certains risques de sécurité – en particulier ceux liés aux cybercapacités offensives – justifient une posture plus interventionniste, même si l’administration reste largement opposée à une réglementation radicale de l’IA.
Le facteur mythe
La discussion fait suite à l’introduction récente par Anthropic de Mythos, un modèle que la société a décrit comme représentant un tournant décisif pour la cybersécurité.
Anthropic a déclaré que Mythos Preview avait découvert des milliers de vulnérabilités de haute gravité, dont certaines dans tous les principaux systèmes d’exploitation et navigateurs Web, et que les modèles d’IA avaient atteint un niveau de capacité de codage où ils pouvaient surpasser tous les humains, sauf les plus compétents, pour trouver et exploiter les vulnérabilités logicielles. Dans un benchmark, la société a signalé des taux de réussite nettement plus élevés par rapport aux modèles précédents.
Anthropic n’a pas rendu public le modèle. Au lieu de cela, il a lancé le projet Glasswing, engageant jusqu’à 100 millions de dollars de crédits d’utilisation à un groupe sélectionné d’entreprises de technologie et de cybersécurité pour utiliser Mythos à des fins défensives – en trouvant et en corrigeant les vulnérabilités avant que des acteurs malveillants ne puissent les exploiter.
Anthropic a également informé la Cybersecurity and Infrastructure Security Agency, le ministère du Commerce et d’autres parties prenantes des risques et des avantages potentiels de Mythos Preview. OpenAI a développé un modèle comparable et l’a mis à la disposition d’un petit groupe d’entreprises via un programme d’accès sécurisé existant.
Ce que pourrait signifier un avis
L’évaluation préalable des modèles d’IA n’est pas une idée nouvelle, mais elle reste mal définie dans le contexte politique américain. Le décret Biden révoqué par Trump exigeait que les développeurs des plus grands systèmes d’IA informent le gouvernement et partagent les résultats des tests de sécurité avant le déploiement – l’une des nombreuses dispositions que l’administration Trump a qualifiées d’obstacles pesants à l’innovation.
Le paysage institutionnel a également changé. L’Institut américain de sécurité de l’IA, créé sous l’ordre Biden pour procéder à une évaluation préalable au déploiement et hébergé au sein de l’Institut national des normes et de la technologie, a été considérablement réorganisé après l’entrée en fonction de Trump. En juin 2025, l’agence a été rebaptisée Center for AI Standards and Innovation et sa mission a été révisée.
Le secrétaire au Commerce, Howard Lutnick, a présenté ce changement comme un rejet de ce qu’il a appelé l’utilisation de la sécurité comme prétexte pour la censure et la réglementation. Le mandat du centre renommé comprend désormais la direction d’évaluations non classifiées des capacités de l’IA susceptibles de présenter des risques pour la sécurité nationale, en mettant l’accent sur les risques démontrables tels que la cybersécurité, la biosécurité et les armes chimiques, ce qui le positionne potentiellement pour jouer un rôle dans tout processus d’examen futur.
D’autres gouvernements sont allés plus loin et plus rapidement. L’AI Security Institute du Royaume-Uni a mené des évaluations préalables au déploiement de plusieurs modèles pionniers, en travaillant directement avec des laboratoires, notamment Anthropic et OpenAI, pour évaluer les seuils de risque avant leur publication. La loi de l’UE sur l’IA, qui a commencé à être progressivement mise en œuvre l’année dernière, établit des évaluations de conformité obligatoires pour les applications d’IA à haut risque.
Les États-Unis n’ont pas établi de cadre comparable ni d’autorité juridique pour exiger de tels examens.
