Anthropic signale les failles aux développeurs, mais seulement après que des humains les ont vérifiées.
Anthropic n’a publié son dernier grand modèle de langage, Claude Opus 4.6, que jeudi, mais il l’a déjà utilisé en coulisses pour identifier les vulnérabilités zero-day dans les logiciels open source.
Lors de l’essai, Claude a été placé dans une machine virtuelle ayant accès aux dernières versions de projets open source et lui a fourni une gamme d’utilitaires standards et d’outils d’analyse des vulnérabilités, mais aucune instruction sur la façon de les utiliser ni sur la façon spécifique d’identifier les vulnérabilités.
Malgré ce manque de conseils, Opus 4.6 a réussi à identifier 500 vulnérabilités de haute gravité. Le personnel d’Anthropic valide les résultats avant de signaler les bogues à leurs développeurs afin de s’assurer que le LLM n’a pas halluciné ou signalé de faux positifs, selon le blog de l’entreprise.
« Les modèles de langage d’IA sont déjà capables d’identifier de nouvelles vulnérabilités et pourraient bientôt dépasser la vitesse et l’ampleur des chercheurs humains, même experts », indique-t-il.
Anthropic pourrait souhaiter améliorer sa réputation dans le secteur de la sécurité logicielle, étant donné que ses logiciels ont déjà été utilisés pour automatiser des attaques.
D’autres entreprises utilisent déjà l’IA pour gérer la recherche de bogues, ce qui constitue une preuve supplémentaire des possibilités.
Mais certains développeurs de logiciels sont submergés par le nombre de rapports de bogues de mauvaise qualité générés par l’IA, et au moins un d’entre eux a fermé son programme de prime aux bogues en raison d’abus commis par des chasseurs de bogues accélérés par l’IA.
