Anthropic : 10 000 failles détectées grâce à Claude Mythos en deux mois

Anthropic a dressé un premier bilan du projet Glasswing, lancé en avril dernier, qui utilise son modèle d’intelligence artificielle Claude Mythos pour détecter des failles de sécurité. Après deux mois d’existence, ce projet a permis de découvrir plus de 10 000 vulnérabilités, dont une majorité de gravité élevée ou critique, a annoncé l’entreprise.

Un consortium fermé pour une chasse aux bugs inédite

Plutôt que de rendre Claude Mythos public, Anthropic a limité son accès à un consortium fermé regroupant plus de 40 entreprises et organisations. Parmi elles figurent des poids lourds de l’industrie IT et de la sécurité (Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, Microsoft, Nvidia, Palo Alto Networks), mais aussi des acteurs comme JPMorganChase et la fondation Linux.

« Ces derniers mois, nous avons utilisé Mythos pour analyser plus de 1 000 projets open source, qui constituent la base d’une grande partie d’Internet et de notre propre infrastructure », précise Anthropic dans un communiqué. Au cours de ce processus, le modèle a détecté 6 202 failles critiques ou de haute gravité dans ces projets. Parmi elles, 1 752 ont depuis été évaluées par six sociétés de recherche en sécurité indépendantes.

Un taux de confirmation élevé

Selon les résultats communiqués par Anthropic, 90,6 % des rapports (1 587) « se sont révélés être des vulnérabilités valides et 62,4 % (1 094) ont été confirmées comme étant de gravité élevée ou critique ». Ce taux de confirmation contraste avec les craintes exprimées par certains mainteneurs de projets open source, qui redoutent un afflux de rapports de bugs de faible qualité générés par l’IA. Plusieurs d’entre eux ont indiqué être débordés par ce déluge de signalements, selon l’entreprise.

Un changement de paradigme pour la gestion des correctifs

Les analystes estiment que cet afflux de vulnérabilités détectées change l’approche traditionnelle de gestion des correctifs en entreprise. Les équipes de sécurité doivent désormais prioriser et traiter un volume bien plus important de failles, ce qui nécessite une adaptation des processus et des outils. Anthropic n’a pas précisé le délai de correction des vulnérabilités identifiées, mais la publication de ces premiers résultats confirme l’ambition du projet Glasswing de transformer la détection et la remédiation des failles à grande échelle.

Un impact sur l’écosystème open source

Le projet Glasswing soulève également des questions sur l’impact de l’IA sur l’écosystème open source. Si la capacité à détecter des milliers de vulnérabilités est saluée, elle met sous pression les mainteneurs bénévoles qui doivent traiter ces signalements. Anthropic a reconnu que plusieurs mainteneurs ont fait part de leur difficulté à gérer le volume de rapports, ce qui pourrait nécessiter une meilleure automatisation de la validation et de la correction des failles.

L’entreprise prévoit de continuer à étendre le projet Glasswing à davantage de projets et de partenaires, tout en affinant les capacités de Claude Mythos pour réduire les faux positifs et améliorer la pertinence des alertes.

Avec Claude Mythos, Anthropic détecte 10 000 failles dans l’open source

À lire ensuite

La fusée New Glenn de Blue Origin détruite lors d'un essai : un revers majeur pour Amazon et la Nasa

Dell triple presque ses prévisions de ventes de serveurs IA, à 60 milliards de dollars

Acer officialise sa console portable Predator Atlas 8, première à embarquer la nouvelle puce Intel Arc G3

Peter Thiel installe sa famille en Argentine, séduit par les réformes libertaires de Milei