Anthropic vient de publier les premiers résultats du projet Glasswing, un programme de recherche visant à protéger les logiciels importants contre le risque d'exploitation de failles de sécurité par l'IA.
Selon Anthropic, le modèle d'IA de cybersécurité nommé Claude Mythos a détecté plus de 10 000 failles logicielles très graves ou extrêmement graves en un mois seulement.
Cette information renforce l'idée que l'IA peut désormais détecter les failles de sécurité à une vitesse bien supérieure à la capacité humaine de traitement et de correction des failles.
Selon Anthropic, Claude Mythos est un modèle d'IA non divulgué, développé spécifiquement pour les missions de cybersécurité. Pendant la phase de test, de nombreux partenaires participant au projet ont constaté une forte augmentation du nombre de failles de sécurité détectées par rapport à auparavant.
L'un des partenaires notables est la société technologique Cloudflare. Cette entreprise a déclaré avoir détecté environ 2 000 erreurs sur les systèmes clés, dont 400 erreurs ont été jugées graves ou très dangereuses.
L'équipe technique de Cloudflare estime que le taux d'alerte erronée de Mythos est inférieur à celui de nombreuses méthodes de test manuelles traditionnelles.
Pendant ce temps, l'organisation technologique à but non lucratif Mozilla a déclaré avoir trouvé et corrigé 271 failles de sécurité sur Firefox 150 lors de l'essai Mythos Preview. Ce chiffre est environ 10 fois supérieur au nombre d'erreurs qu'ils ont découvertes dans Firefox 148 avec le modèle Claude Opus 4.6 précédent.
Lors d'un test avec une banque partenaire, ce système aurait empêché avec succès un transfert frauduleux d'une valeur de 1,5 million de dollars en temps réel.
Pour les projets open source, Anthropic a déclaré avoir utilisé Mythos Preview pour scanner plus de 1 000 projets considérés comme la base de la majeure partie de l'internet actuel. À partir de ces projets, l'IA a détecté environ 6 202 failles très graves ou extrêmement graves.
Pour vérifier la précision, Anthropic s'est associé à six sociétés de recherche sur la sécurité indépendantes pour évaluer 1 752 vulnérabilités détectées. Les résultats ont montré qu'environ 90,6% étaient des avertissements précis et 62,4% étaient confirmés comme étant très graves ou extrêmement graves.
Cependant, la vitesse de détection des erreurs trop rapide de l'IA crée également une pression supplémentaire pour la communauté des développeurs de logiciels.
Anthropic a déclaré que le processus de traitement des failles est actuellement assez complexe. Après que l'IA a détecté une faille, les experts doivent vérifier l'authenticité, évaluer le niveau de danger, vérifier le correctif et envoyer un rapport détaillé à l'équipe de développement de logiciels concernée.
De nombreux projets open source seraient surchargés par un grand nombre de rapports d'erreurs créés par l'IA. Certains groupes de gestion de logiciels ont même suggéré à Anthropic de réduire la vitesse d'envoi des rapports afin d'avoir suffisamment de temps pour développer et mettre en œuvre des correctifs de sécurité.
Selon les statistiques de l'entreprise, chaque faille grave nécessite en moyenne environ deux semaines pour être corrigée.
À ce jour, Anthropic a signalé 530 failles graves, dont seulement 75 ont été entièrement corrigées et 65 ont émis des alertes de sécurité publiques. Il reste encore 827 failles en attente d'annonce.
