Les outils avancés d’intelligence artificielle d’Anthropic pour détecter les vulnérabilités logicielles ont attiré l’attention des médias. En mars, les chercheurs de Mozilla ont rapporté que Claude Opus 4.6 d’Anthropic avait identifié 14 bogues de haute gravité et 22 CVE en deux semaines, surpassant les performances des chercheurs humains de Mozilla.
À l’aide d’une version d’essai du modèle Mythos d’Anthropic, des chercheurs en sécurité de Calif, une société de cybersécurité basée à Palo Alto, ont affirmé avoir contourné les mesures de sécurité du macOS d’Apple. Ils ont déclaré qu’un « exploit d’élévation de privilèges », combiné à un autre vecteur d’attaque, pourrait permettre à des acteurs malveillants de prendre le contrôle d’un appareil cible.
Les chercheurs ont expliqué qu’ils avaient développé un logiciel reliant deux bogues distincts et utilisé diverses techniques pour « corrompre la mémoire du Mac » afin d’accéder à des composants restreints. La découverte de l’exploit a duré cinq jours, nécessitant un effort de collaboration de la part des pirates humains et du modèle Mythos.
Apple examine actuellement le rapport des chercheurs pour vérifier ses conclusions. « La sécurité est notre priorité absolue et nous prenons très au sérieux les rapports faisant état de vulnérabilités potentielles », a déclaré un porte-parole d’Apple au au Wall Street Journal.
Anthropic a lancé Mythos, initialement connu sous le nom de Project Glasswing, en avril avec un accès limité à une quarantaine d’entreprises technologiques sélectionnées. La société a indiqué que Mythos a identifié des milliers de vulnérabilités de haute gravité sur divers systèmes d’exploitation et navigateurs Web, mettant en garde contre de graves conséquences si de telles capacités tombaient entre les mains d’individus malveillants.
Michał Zalewski, chercheur en sécurité chez Google, a évalué les résultats de Californie, mais sans implication directe dans la recherche. Il a noté que même si le battage médiatique autour de Mythos peut être « exagéré », il offre néanmoins un potentiel important pour la recherche de vulnérabilités et l’audit du code.
Au milieu des discussions sur les capacités de Mythos, des inquiétudes ont émergé quant aux dangers potentiels du modèle s’il était rendu public. Gary McGraw, ancien responsable de la cybersécurité chez Synopsys, est entré dans la conversation, affirmant que la technologie n’est pas intrinsèquement trop dangereuse à diffuser. Il a souligné la nécessité de relever les défis réels de la cybersécurité plutôt que de restreindre l’accès à des outils utiles.





