Anthropic garde son nouveau modèle d'IA secret après avoir découvert des milliers de

Anthropic a pris une décision marquante, révélant un changement radical dans le déploiement des capacités d'intelligence artificielle de pointe : son modèle le plus avancé a été mis hors service après avoir détecté des milliers de failles de cybersécurité jusqu'alors inconnues dans les principaux systèmes d'exploitation et navigateurs web. Au lieu de le commercialiser, l'entreprise a discrètement donné accès à ce modèle aux organisations chargées de la sécurité des infrastructures numériques mondiales.

Que s'est-il passé ? Aperçu du projet Glasswing et de Claude Mythos

Le modèle en question, baptisé Claude Mythos Preview, représente à ce jour le système le plus performant d'Anthropic. Lors de tests internes, Mythos a démontré une capacité exceptionnelle à identifier les failles de sécurité, révélant des milliers de vulnérabilités affectant tous les principaux systèmes d'exploitation et navigateurs actuellement utilisés.

Plutôt que de considérer cela comme une simple opportunité de lancement de produit, Anthropic a mis en place une initiative baptisée Projet Glasswing. Ce programme met les capacités de Mythos directement à la disposition des entreprises et des fondations qui conçoivent et maintiennent des logiciels critiques. Parmi les partenaires de lancement figurent les plus grands noms de la technologie mondiale : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks.

Au-delà de ce premier groupe, l'accès a été étendu à plus de 40 organisations supplémentaires qui développent ou maintiennent des infrastructures logicielles essentielles. Pour soutenir financièrement cette initiative, Anthropic s'engage à verser jusqu'à 100 millions de dollars en crédits d'utilisation afin que ces partenaires puissent exécuter Mythos sur leurs propres bases de code.

Pourquoi c'est important : un nouveau paradigme pour un déploiement responsable de l'IA

Cette décision revêt une importance capitale pour plusieurs raisons. Premièrement, elle constitue l'un des exemples les plus clairs à ce jour d'un laboratoire d'IA limitant délibérément le potentiel commercial d'un modèle révolutionnaire en raison d'implications en matière de sécurité. Dans un secteur souvent critiqué pour sa course à la commercialisation, Anthropic a opté pour la retenue, et c'est un choix remarquable.

Deuxièmement, l'ampleur des découvertes est tout simplement stupéfiante. La mise au jour de milliers de vulnérabilités sur de multiples plateformes suggère que Mythos opère à un niveau d'analyse de code qui dépasse largement les capacités des chercheurs en sécurité humaine ou des outils automatisés existants dans des délais comparables. À titre de comparaison, la base de données CVE – la référence mondiale pour le suivi des vulnérabilités de cybersécurité divulguées publiquement – recense généralement entre 25 000 et 30 000 nouvelles entrées par an. Un seul modèle d'IA contribuant à des milliers de découvertes sur une période donnée représenterait une part significative des divulgations mondiales annuelles.

Troisièmement, cette approche pourrait redéfinir l'économie de la recherche sur les vulnérabilités. Si vous avez suivi notre couverture de l'article « Microsoft Open Source Toolkit sécurise les agents d'IA en temps réel » , vous savez que les programmes de primes aux bogues et les tests d'intrusion restent coûteux et exigeants en main-d'œuvre. Un modèle d'IA capable d'effectuer ce travail à grande échelle pourrait permettre aux organisations d'économiser des milliards en coûts liés aux violations de données.

Contexte : La réputation d'Anthropic en matière de sécurité

Anthropic a été fondée en 2021 par d'anciens chercheurs d'OpenAI, dont les frères et sœurs Dario et Daniela Amodei. L'entreprise s'est toujours positionnée comme une alternative responsable et soucieuse de la sécurité dans la course à l'IA de pointe, en publiant des politiques détaillées de mise à l'échelle responsable et en investissant massivement dans la recherche sur l'alignement. Sa famille de modèles Claude est en concurrence directe avec les modèles GPT d'OpenAI et Gemini de Google.

La décision de ne pas rendre Mythos accessible au public est cohérente avec cette philosophie. Diffuser un modèle capable d'identifier les vulnérabilités zero-day à grande échelle serait une arme à double tranchant : inestimable pour les équipes de défense, mais potentiellement catastrophique s'il tombait entre les mains d'acteurs malveillants qui pourraient exploiter ces mêmes failles avant le déploiement des correctifs.

Cette tension est au cœur de ce que les chercheurs en sécurité appellent le problème de « l'asymétrie offensive-défensive ». Les attaquants n'ont besoin de trouver qu'une seule faille exploitable. Les défenseurs, quant à eux, doivent toutes les identifier et les corriger. Une IA qui penche la balance en faveur des défenseurs — mais seulement si ses capacités sont rigoureusement contrôlées — est précisément le type d'outil qui exige un modèle de distribution restreint.

Les implications stratégiques pour l'anthropologie et l'industrie

D'un point de vue commercial, le projet Glasswing est un coup de maître, même s'il sacrifie des revenus à court terme. Prenons en compte ses avantages stratégiques :

• Intégration profonde avec les infrastructures critiques : En intégrant Mythos aux flux de travail d'AWS, Microsoft, Google et autres, Anthropic crée une dépendance et une confiance qu'aucune campagne marketing ne pourrait acheter.
• Bonne volonté auprès des organismes de réglementation : alors que les gouvernements du monde entier élaborent une législation sur l’IA, faire preuve de retenue responsable permet de gagner une crédibilité qui comptera lors de la prise de décisions politiques.
• Boucles de rétroaction des données : chaque vulnérabilité que les organisations partenaires confirment et corrigent génère un signal d’entraînement précieux qui rendra les futurs modèles Anthropic encore plus performants.
• Différenciation concurrentielle : ni OpenAI ni Google DeepMind n’ont annoncé quoi que ce soit d’une envergure comparable, ce qui confère à Anthropic une position unique sur le marché de la sécurité des entreprises.

L'inclusion de JPMorgan Chase est particulièrement révélatrice. Les institutions financières sont confrontées à des cyberattaques incessantes et opèrent dans des cadres réglementaires parmi les plus stricts au monde. Leur participation indique que Mythos a déjà démontré sa valeur ajoutée au-delà du secteur technologique. Si vous souhaitez en savoir plus sur la manière dont l'IA transforme les services financiers, consultez notre article sur Google AI et son nouveau PaperOrchestra pour la recherche automatisée .

Et ensuite ?

Plusieurs questions restent sans réponse. Anthropic publiera-t-elle Mythos, peut-être après la correction des vulnérabilités les plus critiques ? Comment l’entreprise vérifiera-t-elle que ses partenaires prennent effectivement des mesures suite aux découvertes, et ce, dans les délais impartis ? Et que se passera-t-il lorsque des adversaires développeront inévitablement leurs propres modèles d’IA de détection de vulnérabilités, sans les mêmes garde-fous éthiques ?

L'ensemble du secteur observera attentivement si cette approche collaborative, voire philanthropique, deviendra un modèle. Si un investissement de 100 millions de dollars dans la cybersécurité défensive produit des résultats tangibles — moins de violations de données, des correctifs plus rapides, un internet plus sûr —, d'autres laboratoires d'IA seront incités à suivre cet exemple.

Se pose également la question de savoir si les gouvernements chercheront à imposer ce type de cadre de divulgation responsable. Aux États-Unis, la Cybersecurity and Infrastructure Security Agency (CISA) a déjà manifesté son intérêt pour la détection des vulnérabilités assistée par l'IA dans le cadre de sa mission plus large.

En résumé

La décision d'Anthropic de garder Claude Mythos Preview secret est l'une des plus importantes de l'année dans le secteur de l'IA. En privilégiant la sécurité à la publicité, l'entreprise fait le pari risqué que les modèles d'IA les plus puissants ne doivent pas toujours être commercialisés ; ils doivent parfois être des outils utilisés discrètement par ceux qui sont les mieux placés pour protéger la collectivité. Le succès de ce pari dépendra de sa mise en œuvre, de la transparence et de la volonté du reste du secteur de privilégier la défense collective au profit individuel.