Le projet d’article de blog décrit un LLM à forte intensité de calcul avec un raisonnement avancé qu’Anthropic prévoit de déployer avec prudence, en commençant par les équipes de sécurité de l’entreprise.
Anthropic n’avait pas l’intention de présenter Mythos de cette façon. Les détails de ce qu’il appelle son modèle d’IA le plus performant à ce jour ont fait surface grâce à une fuite de données dans son système de gestion de contenu (CMS), révélant un LLM avec des compétences de raisonnement et de codage nettement améliorées.
La fuite de données, qui résulte du fait que le personnel de l’entreprise a exposé par inadvertance des informations sur le LLM, y compris un projet d’article de blog à ce sujet, via un référentiel de données accessible au public, a été identifiée pour la première fois par des chercheurs indépendants en sécurité la semaine dernière.
Après la divulgation du problème, Anthropic a restreint l’accès public au magasin de données, pour ensuite attribuer l’exposition à une erreur de configuration dans son CMS et confirmer l’existence du modèle à Fortune, qui a été le premier à signaler la fuite.
Le leaker M1Astra, axé sur Apple, a également signalé l’exposition, en archivant une copie d’un projet d’article de blog Anthropic sur Mythos on X avant que l’accès ne soit restreint.
Dans ce projet, Anthropic lui-même a adopté un ton prudent, signalant ses inquiétudes quant aux implications potentielles du modèle sur la cybersécurité.
« En préparant la sortie de Claude Mythos, nous voulons agir avec une prudence accrue et comprendre les risques qu’il pose – même au-delà de ce que nous avons appris lors de nos propres tests », a écrit la société, ajoutant qu’elle se concentre particulièrement sur l’évaluation des risques de cybersécurité à court terme.
Le blog indique en outre qu’Anthropic souhaite d’abord implanter Mythos dans les équipes de sécurité de l’entreprise et a déjà testé les prouesses du modèle en matière de cybersécurité auprès d’un « petit nombre de clients à accès anticipé ».
La logique semble simple : si les modèles actuels peuvent déjà identifier et même aider à exploiter les vulnérabilités logicielles, un système plus performant comme Mythos pourrait considérablement accélérer à la fois la découverte et les utilisations abusives, augmentant ainsi les enjeux pour les défenseurs comme pour les attaquants.
Pareekh Jain, analyste principal chez Pareekh Consulting, affirme que Mythos pourrait aller dans les deux sens pour les RSSI et les équipes de sécurité de l’entreprise, en réduisant l’écart entre la cyberattaque et la défense.
D’un côté, des modèles comme Mythos pourraient transformer la sécurité en automatisant la découverte des vulnérabilités, le red-teaming continu, un tri plus rapide et des zones de chasse aux menaces à grande échelle, de l’autre, ils pourraient faciliter les cyberattaques en permettant aux agents d’IA d’agir de manière autonome et avec de grandes compétences, a déclaré Jain.
Ce risque pour les RSSI n’est pas théorique, a ajouté Jain, dans la mesure où les modèles de génération précédente ont été rapidement reconvertis en outils de développement de logiciels malveillants.
Le risque est encore plus élevé avec Mythos en raison de ses capacités telles que « l’auto-réparation récursive », a écrit Vladimir Belomestnov, spécialiste technique principal chez HCLTech, dans un article sur LinkedIn.
« Les fichiers divulgués mettent en évidence la capacité de l’IA à identifier et corriger de manière autonome les vulnérabilités de son propre code. Même si cela se limite actuellement à une exploitation assistée, cela suggère un rétrécissement de l’écart entre l’ingénierie logicielle humaine et machine », a écrit Belomestnov.
Cependant, Anthropic semble être assez loin d’une sortie complète du modèle.
« Mythos est également un modèle volumineux et gourmand en calcul. Son service est très coûteux pour nous et son utilisation sera très coûteuse pour nos clients. Nous travaillons pour rendre le modèle beaucoup plus efficace avant toute publication générale », peut-on lire dans la copie du projet de billet de blog.
Ce qui est clair, cependant, c’est que l’entreprise prévoit déjà un déploiement progressif ciblant les cas d’utilisation de la cybersécurité.
« Nous allons progressivement étendre l’accès à Claude Mythos à davantage de clients utilisant l’API Claude au cours des prochaines semaines. Comme nous sommes particulièrement intéressés par les utilisations en matière de cybersécurité, c’est là que nous visons initialement à étendre l’EAP », a écrit la société dans le projet de billet de blog.
Il existe une autre copie du billet de blog, qui nomme également le modèle Capybara. Anthropic n’a pas précisé quel sera le nom final du modèle.
L’indécision sur le nom du modèle ne l’a cependant pas empêché de secouer les marchés la semaine dernière. Les actions des fournisseurs de cybersécurité, notamment CrowdStrike, Palo Alto Networks, Zscaler et Fortinet, ont chuté alors que les investisseurs évaluaient ce que des modèles plus performants au sein de Claude Code Security pourraient signifier pour le paysage concurrentiel.
Cependant, le directeur de recherche d’Avasant, Gaurav Dewan, s’est montré plus optimiste quant à l’impact de Mythos sur les fournisseurs : « Des modèles puissants ne remplaceront pas les plateformes de cybersécurité ».
Dewan constate plutôt que les fournisseurs intègrent de plus en plus de modèles pionniers d’Anthropic, d’OpenAI et d’autres dans leurs piles pour la découverte des vulnérabilités, la gestion du code et de la posture du cloud, ainsi que l’automatisation des enquêtes sur les menaces et des réponses.
« On peut s’attendre à des partenariats et à des intégrations contrôlées, et non à une désintermédiation. Les fournisseurs qui possèdent déjà la télémétrie, les flux de travail et l’application en bénéficieront le plus », a ajouté Dewan.
