Technologie

Controverse

LES PETITS MODÈLES TROUVENT LES MÊMES ZÉRO-DAYS QUE MYTHOS : LE RÉCIT DE LA "DANGEROUS AI" A UN PIÈGE

Un détail qui a été enfoui sous l'impact médiatique de l'annonce de Mythos : de petits modèles open source accessibles ont trouvé exactement les mêmes vulnérabilités. Pas certains. Les mêmes. Ce que cela révèle sur le récit du contrôle de l’IA mérite plus d’attention qu’il n’en a reçu.

Par Daniel Reyes···5 min de lecture·
Les petits modèles open source trouvent les mêmes zero-days que Mythos

Les petits modèles open source trouvent les mêmes zero-days que Mythos

Quand Anthropic a présenté Claude Mythos en avril et a annoncé qu'il ne serait pas rendu public en raison de ses capacités en matière de cybersécurité, le discours dominant était clair et puissant : nous sommes confrontés à un modèle frontière si avancé qu'il ne peut être qu'entre les mains des plus grands. Une arme technologique si sophistiquée que son accès doit être contrôlé comme l’enrichissement de l’uranium. Un outil qui, s'il tombait entre de mauvaises mains, pourrait faire échouer la sécurité des systèmes informatiques mondiaux.

Cette histoire est partiellement vraie. Mais il y a une information qui a été éclipsée par le bruit médiatique et qui change considérablement l’analyse : de petits modèles open source – accessibles à tout chercheur disposant d’un ordinateur portable moderne, sans avoir besoin de contrats spéciaux ou d’infrastructures au niveau de l’entreprise – ont découvert exactement les mêmes vulnérabilités que Mythos. Pas de vulnérabilités similaires. Pas des vulnérabilités du même type. Les mêmes, dans les mêmes systèmes.

Qu'est-ce que cela dit sur le vrai problème

Si les vulnérabilités découvertes par Mythos peuvent également être détectées par des modèles nettement plus petits et plus accessibles, alors la décision de ne pas publier Mythos ne résout pas le problème sous-jacent. Cela ne fait que le reporter légèrement, et probablement avec des effets secondaires négatifs qui ne sont pas évoqués.

Le vrai problème n’est pas que le Mythe existe. Le vrai problème est que la capacité de trouver automatiquement des vulnérabilités dans le code a atteint un niveau où même des modèles relativement modestes peuvent faire ce qui nécessitait auparavant des équipes d'experts humains qui y consacraient des mois. Cette capacité ne disparaît pas car Anthropic décide de ne pas publier son modèle le plus puissant. Il est distribué. Est disponible. Et cela continuera à s'améliorer quelles que soient les décisions d'Anthropic.

Contrôler Anthropic ne contrôle pas le problème. Le problème est que la capacité de trouver des vulnérabilités dans le code de manière automatisée est déjà répandue dans l'écosystème open source. Le mythe est la pointe visible d'un iceberg que personne ne regarde dans son intégralité.

L'incitation perverse du contrôle sélectif

Il existe une incitation structurelle au modèle d'accès contrôlé qu'Anthropic a adopté avec Mythos qui mérite d'être notée. En restreignant l’accès aux douze plus grands partenaires – Google, Microsoft, Apple, Amazon, Nvidia, JPMorgan… – Anthropic crée un oligopole de capacités avancées en matière de cybersécurité. Les organisations qui ont accès à Mythos peuvent l'utiliser pour rechercher et corriger les vulnérabilités de leurs propres systèmes. Ceux qui n'y ont pas accès – c'est-à-dire la majorité des entreprises dans le monde, la majorité des infrastructures critiques dans les pays en développement, la grande majorité des projets open source – se retrouvent dans une position de désavantage structurel.

Si les acteurs malveillants ont accès à des modèles équivalents (soit parce qu'ils les développent de manière indépendante, soit parce qu'ils les divulguent, soit parce qu'ils s'appuient sur les fonctionnalités open source disponibles), alors le modèle d'accès contrôlé d'Anthropic n'a pas amélioré la sécurité globale. Cela a créé un monde dans lequel les attaquants bien financés et les grandes entreprises technologiques américaines disposent des meilleurs outils, et où tous les autres se retrouvent entre les deux.

L'argument des petits modèles — ce que nous savons

  • Les modèles Open Source de taille moyenne ont détecté les mêmes vulnérabilités spécifiques que Mythos
  • Les outils d'analyse de code statique avec IA identifient des classes de vulnérabilités similaires depuis des années
  • L'augmentation des capacités de Mythos est réelle mais non exclusive : l'écosystème open source converge vers les mêmes capacités
  • Restreindre l'accès à Mythos n'élimine pas les risques ; le fait évoluer vers des modèles moins contrôlés
  • Une semaine après Mythos, OpenAI a lancé son propre programme de cyberdéfense à accès limité : la course est lancée

Le récit de « l'IA dangereuse » comme stratégie concurrentielle

Il existe une profonde tension dans la manière dont les sociétés d’IA gèrent la communication sur les risques de leurs propres modèles. D’une part, ils sont véritablement incités à faire preuve de transparence quant aux capacités dangereuses qu’ils découvrent, car les cacher serait éthiquement problématique et potentiellement dangereux. D'un autre côté, le discours selon lequel « notre modèle est si puissant qu'il est dangereux » est l'un des moyens les plus efficaces de communiquer son leadership technologique sur un marché hyperconcurrentiel.

Mythos a été présenté comme le modèle le plus performant de l'histoire d'Anthropic – surperformant dans tous les critères, y compris des progrès extraordinaires en mathématiques avancées – et en même temps comme trop dangereux pour le grand public. Ce positionnement répond à plusieurs objectifs : il établit Anthropic comme leader technique de l'industrie, il justifie un accès contrôlé qui profite à ses partenaires les plus importants, il génère une couverture médiatique massive qui équivaut à une publicité gratuite et il crée un cadre dans lequel Anthropic apparaît comme un acteur responsable qui donne la priorité à la sécurité plutôt qu'aux avantages commerciaux.

Tout cela peut être à la fois vrai et servir de stratégie de positionnement concurrentiel. La sophistication de la communication d'Anthropic autour de Mythos est remarquable précisément parce qu'elle rend très difficile la distinction entre la véritable alarme et le marketing sophistiqué.

Ce qui est incontestable

Au-delà des débats sur le récit et les incitations, il y a un élément du cas Mythos qui ne fait aucun doute : les vulnérabilités découvertes sont réelles et ont été corrigées. Un bug vieux de 27 ans dans OpenBSD, un bug vieux de 16 ans dans FFmpeg qui a survécu à cinq millions de tests automatisés : ce sont des vulnérabilités concrètes, dans du code réel, qui auraient pu être exploitées et ne peuvent plus l'être, grâce, au moins en partie, au travail de Mythos.

Le débat légitime n’est pas de savoir si Mythos a contribué à améliorer la sécurité mondiale – c’est clairement le cas dans ces cas spécifiques. Le débat est de savoir si le modèle de gestion choisi – accès contrôlé aux grands, exclusion des autres – est la meilleure réponse possible au problème, ou s’il existe des alternatives qui répartiraient plus largement les bénéfices défensifs tout en maintenant le même niveau de contrôle sur les utilisations offensives. Il n’est pas facile de répondre à cette question. Mais ce n'est pas parce que ce n'est pas facile que cela ne devrait pas être fait.

Vue d'ensemble : La course entre les capacités offensives et défensives en matière de cybersécurité est aussi ancienne que la cybersécurité elle-même. Ce qui change avec l’IA, c’est la vitesse et l’échelle. Un modèle comme Mythos n’est pas seulement plus rapide qu’un chercheur humain recherchant des vulnérabilités : il peut simultanément explorer des espaces de recherche qu’aucune équipe humaine ne pourrait couvrir depuis des années. Cette asymétrie d’échelle constitue le nouveau défi. Et jusqu’à présent, aucun acteur – ni Anthropic, ni les gouvernements, ni les entreprises concernées – n’a de réponse totalement convaincante sur la manière de gérer ce problème.

Partager cet article

Articles similaires

Claude Mythos : l'IA anthropique qui a trouvé des milliers de zero-daysControverse

Technologie

CLAUDE MYTHOS : L'IA QUI A PIRATÉ TOUS LES SYSTÈMES D'EXPLOITATION DU MONDE ET ANTHROPIC N'OSE PAS PUBLIER

En février, les ingénieurs d'Anthropic ont testé leur nouveau modèle et ce qu'ils ont vu leur a tellement fait peur qu'ils ont décidé de ne pas le rendre public. En quelques semaines, il a découvert des milliers de vulnérabilités zero-day dans tous les systèmes d’exploitation et navigateurs de la planète, dont une faille qui n’avait pas été détectée depuis 27 ans.

·6 min de lecture
Trump déclare qu'Anthropic représente un risque pour la chaîne d'approvisionnementControverse

Technologie

Trump a déclaré Anthropic « risque pour la chaîne d’approvisionnement » pour avoir de l’éthique

Le secrétaire à la Défense Pete Hegseth a appliqué en février à Anthropic la même classification généralement utilisée pour les entreprises ayant des liens avec des adversaires étrangers. Le crime d'Anthropic : refuser de supprimer les garde-fous qui empêchaient son utilisation dans la surveillance de masse et dans les armes autonomes sans surveillance humaine.

·5 min de lecture
Huit géants de la technologie opèrent sur des réseaux militaires classés IL6/IL7Controverse

Technologie

GOOGLE, MICROSOFT, SPACEX ET NVIDIA OPÉRENT DÉJÀ AU SEIN DES RÉSEAUX MILITAIRES CLASSIFIÉS AMÉRICAINS

Le 1er mai 2026, le Pentagone a officialisé ce qui avait duré des mois : huit des entreprises technologiques les plus puissantes au monde déploient leur IA dans les systèmes militaires les plus performants des États-Unis. Ce que cela signifie pour l’avenir de la technologie civile est une question à laquelle personne ne répond assez clairement.

·4 min de lecture