Le mois dernier, **Anthropic** a annoncé son nouveau modèle, Claude Mythos Preview, avec une mise en garde unique : ses capacités de détection de vulnérabilités étaient si avancées qu'il ne serait disponible qu'à un groupe restreint d'entreprises pour l'analyse et la remédiation internes. Cette annonce, bien qu'accrocheuse, met en évidence une tendance plus large : la maîtrise croissante de l'IA dans l'identification des vulnérabilités logicielles. ### La puissance croissante de l'IA dans la détection des vulnérabilités Bien que le modèle d'**Anthropic** soit très performant, d'autres modèles démontrent des capacités similaires. L'AI Security Institute du Royaume-Uni a constaté que GPT-5.5 d'**OpenAI** offre des capacités comparables. De plus, la société Aisle a reproduit les résultats d'**Anthropic** en utilisant des modèles plus petits et plus rentables. La diffusion limitée de Mythos par **Anthropic** peut également être motivée par des considérations pratiques. L'exécution d'un modèle aussi puissant est gourmande en ressources, et une diffusion générale pourrait ne pas être réalisable. En restreignant l'accès, **Anthropic** peut mettre en évidence le potentiel du modèle sans le démontrer pleinement. ### La double nature de l'IA en cybersécurité Le problème fondamental est que les systèmes d'IA générative modernes, y compris ceux d'**Anthropic**, d'**OpenAI** et les alternatives open-source, deviennent experts dans la recherche et l'exploitation des vulnérabilités. Cela a des implications significatives pour les stratégies de cybersécurité offensives et défensives. Les attaquants peuvent exploiter ces capacités d'IA pour découvrir et exploiter automatiquement des vulnérabilités dans divers systèmes. Cela pourrait entraîner des violations d'infrastructures critiques, des attaques par ransomware, des vols de données et le contrôle de systèmes lors de conflits, créant ainsi un paysage numérique plus dangereux. Inversement, les défenseurs peuvent utiliser ces mêmes outils d'IA pour identifier et corriger les vulnérabilités. Par exemple, **Mozilla** a utilisé Mythos pour découvrir 271 vulnérabilités dans **Firefox**. Ces vulnérabilités ont été corrigées par la suite, éliminant ainsi des vecteurs d'attaque potentiels. L'avenir pourrait voir la détection et la correction des vulnérabilités pilotées par l'IA comme une partie standard du cycle de vie du développement logiciel, résultant en des logiciels plus sécurisés. ### Risques à court terme et potentiel à long terme Attendez-vous à une augmentation à la fois des attaques exploitant les vulnérabilités nouvellement découvertes et des mises à jour logicielles fréquentes. Cependant, de nombreux systèmes restent non patchables ou ne sont pas régulièrement mis à jour, laissant les vulnérabilités exposées. Actuellement, l'exploitation des vulnérabilités semble plus facile que leur recherche et leur correction, suggérant une augmentation des risques à court terme. Les organisations devront adapter leurs stratégies de sécurité à ce paysage de menaces en évolution. À l'avenir, la capacité de l'IA à écrire des logiciels sécurisés devrait s'améliorer continuellement. En fin de compte, les défenseurs améliorés par l'IA pourraient prendre l'avantage sur les attaquants améliorés par l'IA. ### Au-delà de la cybersécurité : l'IA et les vulnérabilités systémiques Les implications s'étendent au-delà de la cybersécurité. Les capacités de reconnaissance de formes et de raisonnement qui rendent l'IA efficace pour analyser les logiciels peuvent être appliquées à d'autres systèmes complexes. Par exemple, l'IA pourrait identifier des failles dans les codes fiscaux, les réglementations environnementales et les règles de sécurité alimentaire. Les banques d'investissement utilisent peut-être déjà l'IA pour analyser les codes fiscaux, à la recherche de stratégies d'économie d'argent. Le potentiel de l'IA à découvrir des failles complexes, telles que celles impliquant plusieurs juridictions, est significatif. Cela pourrait entraîner une diminution des revenus gouvernementaux et une évasion réglementaire. Contrairement aux vulnérabilités logicielles qui peuvent être corrigées rapidement, la modification des codes fiscaux ou des réglementations est un processus long et souvent politiquement chargé. La faille du carried interest dans le code fiscal américain, exploitée pendant des décennies, illustre ce défi. L'IA est sur le point de transformer la société. Tout comme la révolution industrielle a amplifié les capacités physiques, la révolution de l'IA amplifiera les capacités cognitives. S'adapter à cette nouvelle réalité, caractérisée par un déluge de vulnérabilités dans les logiciels et d'autres systèmes complexes, sera difficile mais essentiel.