## Aperçu de Claude Mythos d'Anthropic : une IA générative menaçant la cybersécurité ou simple battage médiatique ? **Anthropic** a récemment dévoilé son modèle **Claude Mythos Preview**, affirmant qu'il marque un moment charnière en cybersécurité, représentant une menace sans précédent pour les stratégies de défense existantes. Mais s'agit-il vraiment d'un tournant décisif, ou simplement d'une nouvelle vague de battage médiatique autour de l'IA ? Selon Anthropic, **Mythos Preview** a la capacité de découvrir de manière autonome des vulnérabilités dans les systèmes d'exploitation, les navigateurs et d'autres logiciels, et même de développer des exploits fonctionnels. Actuellement, l'accès est limité à un groupe restreint d'organisations, dont **Microsoft**, **Apple**, **Google** et la **Linux Foundation**, dans le cadre d'un consortium appelé **Project Glasswing**. ### Scepticisme et soutien Si certains expriment leur scepticisme, arguant que les agents d'IA existants facilitent déjà la découverte et l'exploitation de vulnérabilités, d'autres s'accordent avec l'évaluation d'**Anthropic**. Les critiques suggèrent qu'**Anthropic** tire un avantage financier en positionnant son modèle comme étant unique en son genre et exclusif. « Je suis généralement très sceptique à l'égard de ces choses, et la communauté open source a tendance à être très sceptique, mais je pense fondamentalement que c'est une menace réelle », déclare **Alex Zenla**, directeur de la technologie de la société de sécurité cloud **Edera**. ### Chaînes d'exploit : le point de pivot **Zenla** et d'autres soulignent la capacité de **Mythos Preview** à identifier et développer des chaînes d'exploit – des séquences de vulnérabilités exploitées conjointement pour compromettre profondément une cible. De nombreuses techniques de piratage sophistiquées, y compris les attaques zero-click, reposent sur des chaînes d'exploit. « Nous vivons déjà dans un monde où les entreprises exécutent des logiciels vulnérables, du matériel vulnérable, et peinent à appliquer des correctifs. De nombreuses entreprises ne sont pas capables de sécuriser leur infrastructure – cela n'a pas vraiment changé d'hier à aujourd'hui », déclare **Niels Provos**, ingénieur et chercheur en sécurité de longue date. « Mais d'après ce que je comprends, **Mythos** est très doué pour trouver des vulnérabilités multi-étapes, et fournit également la preuve d'exploitation. Je ne pense pas que cela change intrinsèquement l'espace problématique, mais cela change le niveau de compétence requis pour trouver ces vulnérabilités et les exploiter. » ### Une longueur d'avance pour les défenseurs La diffusion limitée de **Mythos Preview** via le **Project Glasswing** vise à donner aux défenseurs une longueur d'avance cruciale pour identifier les faiblesses et adapter les stratégies de développement logiciel, de cycles de mise à jour et d'adoption des correctifs avant que de telles capacités ne deviennent largement accessibles aux attaquants. **Logan Graham**, responsable de l'équipe rouge frontalière chez **Anthropic**, a déclaré que l'urgence entourant le **Project Glasswing** est devenue de plus en plus évidente à mesure que les organisations reconnaissaient la menace potentielle. ### Implications plus larges Les implications de **Mythos Preview** vont au-delà des entreprises technologiques. **Bloomberg** a rapporté que le secrétaire américain au Trésor, **Scott Bessent**, et le président de la Réserve fédérale, **Jerome Powell**, ont organisé une réunion des dirigeants du secteur financier pour discuter de l'impact potentiel du modèle sur la cybersécurité. **Jeetu Patel**, président et chef des produits chez **Cisco**, membre du **Project Glasswing**, a souligné l'importance des défenses à l'échelle des machines contre les attaques à l'échelle des machines. ### Un appel à la sécurité proactive Certains soutiennent que la situation actuelle offre une opportunité de remédier aux lacunes du développement logiciel. **Jen Easterly**, ancienne directrice de l'Agence américaine de cybersécurité et de sécurité des infrastructures, préconise d'aller au-delà de la gestion réactive des vulnérabilités pour construire une technologie plus sûre dès le départ. **Zenla** d'**Edera** considère **Mythos Preview** comme une étape vers la recherche de vulnérabilités pilotée par l'IA, accélérant la découverte de chaînes de vulnérabilités exploitables. « Si vous avez un million de chercheurs en vulnérabilité, ils peuvent trouver un grand nombre de bugs. Mais les humains ne sont pas très doués pour conserver une grande quantité d'informations contextuelles dans leur esprit pendant de longues périodes, donc trouver de très longues chaînes de vulnérabilités qui sont réellement exploitables ensemble a été rare », dit-elle. « **Mythos** et des modèles similaires accéléreront le rythme auquel les attaquants pourront regrouper des vulnérabilités en ensembles qui peuvent fonctionner ensemble. Certaines personnes seront contrariées pendant longtemps, mais je pense que la dynamique a changé. »