J'ai lu quelque chose de vraiment troublant ces derniers jours et ça mérite qu'on en parle sérieusement. Anthropic a mis au point un modèle d'IA appelé Claude Mythos qui fait des choses qu'aucun outil de sécurité existant n'a jamais réussi à faire. On parle de découvrir et d'exploiter des vulnérabilités logicielles que personne n'a trouvées depuis des années, voire des décennies.

Concrètement, ce modèle a déniché un bug vieux de 27 ans dans OpenBSD pour moins de 50 dollars en coûts de calcul. Vous vous rendez compte ? Un système d'exploitation conçu pour être quasiment impossible à pirater, et une faille cachée tout ce temps. Il a aussi trouvé une faille dans FFmpeg qui avait été analysée plus de 5 millions de fois par des outils automatisés sans jamais être détectée. Et là, c'est un exploit de navigateur qui enchaîne quatre vulnérabilités différentes pour contourner deux niveaux de sécurité.

Mais voilà le truc qui devrait vraiment inquiéter ceux d'entre nous qui suivent le secteur crypto et defi. Anthropic rapporte que Mythos a découvert des faiblesses dans les protocoles cryptographiques les plus importants : TLS, AES-GCM et SSH. Ces technologies sécurisent Internet, protègent nos connexions HTTPS et permettent l'accès aux serveurs qui font tourner les infrastructures defi et les échanges. Si quelqu'un trouvait un moyen d'exploiter ces failles, il pourrait falsifier des certificats ou déchiffrer des communications privées.

Pour la crypto et la defi, le danger est encore plus aigu parce que tous ces protocoles sont en open source. N'importe qui, y compris un modèle comme Mythos, peut lire le code et cataloguer chaque faiblesse à la vitesse de la machine. Les 200 milliards de dollars verrouillés dans les contrats intelligents sur Ethereum, Solana et d'autres chaînes ont beau avoir été audités par des humains et des scanners, Anthropic affirme que Mythos fonctionne à un niveau au-delà des deux.

Ce qui me préoccupe vraiment, c'est que les défenses actuelles de la defi reposent beaucoup sur ce qu'on appelle la friction plutôt que sur des barrières solides. La multisignature, les verrouillages temporels, les audits de sécurité, tout ça ralentit les opérations mais ne bloque pas vraiment une attaque au niveau du code. Anthropic a explicitement noté que ces mesures « peuvent devenir considérablement moins efficaces contre des adversaires assistés par des modèles ».

Pour l'instant, le marché n'a pas vraiment réagi. L'indice DeFi Select a même gagné 7% en 24 heures, surpassant le bitcoin et l'ether. Mais franchement, en regardant vers l'avenir, on devrait surveiller non seulement les facteurs macroéconomiques mais aussi ce qui se passe autour de Mythos. Les implications pour la sécurité des logiciels et de la blockchain pourraient être énormes.

Une bonne nouvelle quand même : Mythos n'est pas encore rendu public. Anthropic l'a partagé avec un groupe sélectionné de 40 géants du logiciel comme Google, Apple et Microsoft dans le cadre du Projet Glasswing. Ça laisse un peu de temps pour réfléchir aux solutions, mais c'est clairement quelque chose qu'il faut prendre au sérieux.