Les sociétés d'intelligence artificielle Anthropic et OpenAI prennent des mesures concrètes pour faire face aux risques croissants liés à leurs produits. La société d'Altman a publié des modèles réservés aux experts afin de les aider à protéger les systèmes vulnérables, tandis qu'Anthropic exige désormais une vérification d'identité pour que les utilisateurs puissent accéder à certaines fonctionnalités.
Lors de leur première diffusion auprès du public, les modèles d'IA étaient utilisés pour transformer du texte en œuvres d'art de style Ghibli et pour rédiger des listes de courses, mais l'intelligence artificielle est rapidement devenue une préoccupation en matière de sécurité nationale.
Pourquoi Anthropic me demande-t-il mon permis de conduire ?
Des pirates informatiques utilisent déjà l'IA pour contourner les systèmes de défense, obligeant Anthropic à mettre en place une dent . Les utilisateurs doivent désormais présenter une pièce d'identité officielle (passeport ou permis de conduire) et fournir un selfie en direct pour accéder à certaines fonctionnalités.
Leur partenaire, Persona, gère les données. Anthropic a précisé qu'elle n'utilisera pas dent pour entraîner ses modèles d'IA. L'entreprise a également précisé que la vérification est nécessaire pour « prévenir les abus, faire respecter nos politiques d'utilisation et nous conformer aux obligations légales ».
Si un utilisateur échoue au test ou tente d'utiliser le système depuis un emplacement non pris en charge, son compte peut être banni.
Cette répression soudaine est due à l'aveu d'Anthropic selon lequel leur nouveau modèle, Claude Mythos Preview, est terriblement doué pour le piratage.
Dans un article de blog publié en même temps que l'annonce de la vérification, la société a déclaré que Mythos Preview est « capable d' dent puis d'exploiter les vulnérabilités zero-day dans tous les principaux systèmes d'exploitation et tous les principaux navigateurs Web lorsqu'un utilisateur le lui demande ».
Des ingénieurs d'Anthropic, sans formation formelle en sécurité, ont demandé à Mythos de trouver des vulnérabilités d'exécution de code à distance pendant la nuit. Selon l'entreprise, ils « se sont réveillés le lendemain matin avec une faille de sécurité complète et fonctionnelle »
Les nouveaux modèles d'IA sont-ils réellement dangereux ?
L'Institut britannique de sécurité de l'IA (AISI) a publié une évaluation confirmant que Mythos représente un « progrès » en matière de capacités cybernétiques.
L'article publié sur le blog interne d'Anthropic révèle les détails les plus alarmants concernant les capacités du modèle. Mythos, après avoir reçu la requête initiale, a découvert une faille de sécurité vieille de 27 ans dans OpenBSD, un système d'exploitation réputé pour sa sécurité.
Mythos a également découvert une faille vieille de 16 ans dans FFmpeg, un logiciel de montage vidéo utilisé par la quasi-totalité des grands services. Bien que ce logiciel ait été testé avec des millions d'entrées aléatoires grâce à une technique appelée fuzzing, Mythos a mis au jour une vulnérabilité dans le codec H.264 datant de 2003.
Par ailleurs, Mythos a découvert une vulnérabilité vieille de 17 ans dans le serveur NFS de FreeBSD et a écrit un exploit qui permet à tout utilisateur non authentifié sur Internet d'obtenir un accès root complet au serveur.
L'entreprise a confirmé que Mythos Preview avait «dentpuis exploité cette vulnérabilité de manière totalement autonome ». L'ensemble du processus a coûté moins de 2 000 $ au tarif de l'API et a pris moins d'une journée.
Mythos a découvert des vulnérabilités dans tous les principaux navigateurs web. Dans un cas précis, l'entreprise a développé une faille de sécurité exploitant quatre vulnérabilités, dont une attaque par pulvérisation de tas JIT, afin de contourner à la fois le bac à sable du moteur de rendu du navigateur et celui du système d'exploitation.
Anthropic a découvert des milliers de vulnérabilités supplémentaires, à la fois critiques et de haute gravité, dans des logiciels libres et propriétaires. Plus de 99 % de ces failles n'ont pas encore été corrigées.
L'approche d'OpenAI face aux risques de sécurité
Malgré ces problèmes, OpenAI a annoncé la sortie de GPT-5.4-Cyber qui, contrairement aux modèles standard qui refusent d'aider au piratage pour des raisons de sécurité, « abaisse la limite de refus pour les travaux légitimes de cybersécurité ».
GPT-5.4-Cyber peut analyser les logiciels compilés sans accéder au code source afin de détecter les logiciels malveillants et les vulnérabilités, mais son accès est limité au programme « Trusted Access for Cyber » (TAC) d’OpenAI. Seuls les experts en cybersécurité, les chercheurs et les organisations chargées de la protection des systèmes critiques et dûment habilités peuvent l’utiliser.
Le projet Glasswing d'Anthropic donne également un accès limité aux défenseurs d'entreprises comme Amazon ($AMZN), Apple ($AAPL) et Google ($GOOGL) pour corriger les infrastructures critiques avant que les attaquants ne puissent les exploiter.
En attendant, Anthropic suggère d'installer les mises à jour de sécurité immédiatement, plutôt que de façon mensuelle.
