Anthropic se retrouve dans une position délicate. La startup, qui présentait encore récemment Claude Mythos Preview comme un modèle d’IA trop sensible pour être diffusé largement, enquête désormais sur un possible accès non autorisé à son outil. L’affaire est d’autant plus gênante qu’elle touche précisément un système mis en avant pour ses capacités avancées en cybersécurité dans le cadre du programme Project Glasswing lancé début avril.
Une IA pour la cybersécurité… non sécurisée
Selon les informations révélées ces derniers jours, un petit groupe aurait réussi à manipuler Mythos via un environnement lié à un prestataire tiers. Anthropic a reconnu le problème dans une déclaration très prudente : « Nous enquêtons sur un signalement faisant état d’un accès non autorisé à Claude Mythos Preview via l’un de nos environnements de fournisseurs tiers. » En d’autres termes, le cœur des systèmes d’Anthropic ne semble pas directement compromis, mais la chaîne périphérique de sécurité semble tout de même faillible.
L’incident touche un point particulièrement sensible, car Mythos a justement été présenté comme un modèle capable d’identifier des vulnérabilités logicielles complexes et d’aider à sécuriser des infrastructures critiques. Quand un tel outil semble lui-même accessible par des individus non autorisés dans le dispositif, le contraste est brutal.
Une fuite qui expose les limites du contrôle autour des IA
Le plus troublant est bien que ce groupe ne se serait pas contenté d’un accès furtif. les malandrins auraient en effet utilisé le modèle de manière répétée depuis le 7 avril, date même de son annonce publique. Anthropic n’a pas indiqué à ce stade que Mythos avait été utilisé à des fins offensives, mais le simple fait que cela ait été possible suffit évidemment à nourrir les inquiétudes.
La sécurité des IA à revoir
Même si Anthropic doit seul se dépatouiller de cette situation, tout le secteur de l’IA est concerné par cette faille : les sociétés/laboratoires d’IA peuvent certes limiter la diffusion de leurs modèles, mais ces derniers resteront vulnérables tant que leur écosystème de partenaires, sous-traitants ou tiers n’offre pas le même niveau de protection. Plus les IA deviennent puissantes et plus la sécurité de leur chaîne d’accès devient un point hautement sensible.
