Anthropic annonce la création d’un modèle mythique : Claude Mythos, avec des capacités de code et de hacking surpassant opus4.6, non accessible au public !

Anthropic a annoncé aujourd’hui un plan : Project Glasswing (le « projet Glasswing »). Si ce plan est lancé, c’est parce qu’Anthropic a entraîné un tout nouveau modèle ultra-puissant, Claude Mythos Preview, qui est en fait le même modèle mentionné dans la fuite du code source de ces derniers jours.

Les parties prenantes du projet comprennent Amazon AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, ainsi qu’Anthropic lui-même, soit 12 organisations à l’initiative conjointe.

En clair : comme ce modèle est trop puissant, ils mettent en place un mode de tests de sécurité. Il n’est utilisé qu’en interne par des organisations autorisées et n’est pas ouvert au public. À quel point est-il puissant ? Regardez directement les données, le code et les capacités de raisonnement : ils surpassent largement opus 4.6.

Code :

Raisonnement :

Recherche et utilisation d’ordinateurs

opus signifie littéralement chef-d’œuvre, Mythos signifie littéralement mythe. Le PDG d’Anthropic et toute une brochette de grands partenaires se sont déplacés pour soutenir ce projet.

Anthropic a clairement indiqué qu’il ne prévoit pas d’ouvrir Claude Mythos Preview au public. Mais l’objectif à long terme est de permettre aux utilisateurs d’utiliser en toute sécurité des modèles aux capacités de niveau équivalent. Pour cela, ils prévoient d’abord de développer et de valider des mécanismes de protection de sécurité associés sur le prochain modèle Claude Opus, puis d’effectuer des itérations dans des conditions où les risques sont maîtrisés, avant de passer progressivement à l’étape suivante ; cela pourrait aboutir assez rapidement à la sortie d’une nouvelle version d’opus afin d’offrir les capacités correspondantes.

Passons maintenant en détail à ce qu’est réellement Project Glasswing.

Quel a été ce que ce modèle a découvert ?

Au cours des quelques semaines passées, Anthropic a utilisé Claude Mythos Preview pour scanner des systèmes d’exploitation grand public, des navigateurs et d’autres logiciels importants à travers le monde.

Résultat : plusieurs milliers de vulnérabilités zero-day auparavant jamais détectées, dont beaucoup ont été classées comme étant de niveau critique.

Quelques exemples concrets :

Dans OpenBSD, une vulnérabilité qui existait depuis 27 ans. OpenBSD est réputé pour sa sécurité et sert à faire fonctionner des infrastructures critiques comme des pare-feu. Cette vulnérabilité permet à un attaquant de provoquer un crash à distance de la machine cible simplement en se connectant à celle-ci.

Dans FFmpeg, une vulnérabilité qui existait depuis 16 ans. FFmpeg est utilisé par d’innombrables logiciels pour le codage/décodage vidéo. La ligne de code où le modèle a trouvé la faille avait été scannée 5 000 000 de fois auparavant par des outils de tests automatisés, sans jamais être détectée.

Dans le noyau Linux, le modèle a découvert de manière autonome et a chaîné plusieurs vulnérabilités, permettant à un attaquant d’élever ses privilèges depuis ceux d’un simple utilisateur jusqu’à un contrôle total de toute la machine.

Toutes ces vulnérabilités ont été signalées aux mainteneurs des logiciels concernés et ont été entièrement corrigées. Pour les autres vulnérabilités, Anthropic a publié en amont des valeurs de hachage cryptées ; une fois la correction terminée, ils divulgueront les détails précis.

Pourquoi faire cela ?

Le raisonnement d’Anthropic est le suivant : la capacité des modèles d’IA à découvrir et exploiter des vulnérabilités logicielles dépasse déjà toutes les personnes, à l’exception de quelques rares experts humains de premier plan.

La diffusion de cette capacité est une question de temps, pas une question de savoir si cela va arriver.

Les pertes économiques causées par la cybercriminalité dans le monde sont estimées chaque année à environ 500 milliards de dollars. Les attaques contre des systèmes de santé, des infrastructures énergétiques et des organismes gouvernementaux ont déjà causé des dommages concrets, et elles constituent aussi une menace persistante pour les infrastructures civiles et militaires.

L’IA fait baisser de façon significative le coût, les seuils et le niveau de compétence nécessaires pour mener ce type d’attaques.

La logique d’Anthropic est : plutôt que d’attendre que d’autres utilisent d’abord cette capacité à des fins offensives, il vaut mieux l’utiliser de manière proactive pour la défense.

Comment le plan se concrétise ?

Project Glasswing comprend actuellement deux volets.

Premier volet : les 12 partenaires fondateurs. Ils obtiendront l’accès à Claude Mythos Preview afin de scanner et corriger les vulnérabilités des systèmes internes essentiels, avec des axes prioritaires comprenant la détection de vulnérabilités locales, les tests boîte noire binaires, la sécurité des points de terminaison, les tests d’intrusion, etc.

Deuxième volet : quelque 40 autres organisations qui construisent ou maintiennent des infrastructures essentielles de logiciels. Elles obtiendront également l’accès au modèle pour scanner leurs propres systèmes ainsi que des systèmes open source.

Anthropic s’engage à fournir jusqu’à 100 millions de dollars comme quota d’utilisation du modèle. À la fin de la période de preview de la recherche, Claude Mythos Preview sera fourni aux participants via un accès commercial, avec une tarification de 25/125 dollars par million de tokens d’entrée/sortie, et un support via Claude API, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry.

En outre, via la Linux Foundation, Anthropic fait don de 2,5 millions de dollars à Alpha-Omega et de 1,5 million de dollars à OpenSSF, soit un total de 4 millions de dollars, afin de soutenir les mainteneurs de logiciels open source pour faire face à cette nouvelle situation. Les mainteneurs de logiciels open source peuvent demander un accès via le projet Claude for Open Source.

Prochaines étapes

En ce qui concerne le partage d’informations, les partenaires partageront autant que possible des informations mutuelles et des meilleures pratiques. Anthropic s’engage à publier, dans un délai de 90 jours, des rapports d’avancement de la recherche, comprenant le nombre de vulnérabilités découvertes, les problèmes déjà corrigés, ainsi que les améliorations qui pourront être divulguées.

En ce qui concerne les recommandations politiques, Anthropic travaillera avec les principaux organismes de sécurité pour formuler des recommandations pratiques sur les axes suivants : processus de divulgation des vulnérabilités, processus de mise à jour des logiciels, sécurité open source et de la chaîne d’approvisionnement, cycle de vie du développement de logiciels de sécurité, normes pour les secteurs réglementés, mise à l’échelle et automatisation de la classification des vulnérabilités, automatisation des correctifs.

Source de cet article : AI Xianhe

Avertissement sur les risques et clause de non-responsabilité

        Il existe des risques sur le marché ; investissez avec prudence. Le présent article ne constitue pas un conseil en investissement personnalisé, et ne prend pas en compte les objectifs d’investissement spécifiques, la situation financière ou les besoins particuliers des utilisateurs. Les utilisateurs doivent considérer si, au regard de leur situation spécifique, les opinions, points de vue ou conclusions mentionnés dans le présent article sont appropriés. Investir sur la base de ceci relève de la seule responsabilité de l’investisseur.