Anthropique se retrouve dans une position délicate. La startup, qui a récemment présenté Claude Mythe Aperçu en tant que modèle d’IA trop sensible pour être largement diffusé, enquête actuellement sur un éventuel accès non autorisé à son outil. L’affaire est d’autant plus embarrassante qu’elle concerne spécifiquement un système mis en avant pour ses capacités avancées de cybersécurité dans le cadre du programme Projet Aile de Verre lancé début avril.
L’IA pour la cybersécurité… pas sécurisée
Selon des informations révélées ces derniers jours, un petit groupe aurait réussi à manipuler Mythos via un environnement lié à un prestataire tiers. Anthropic a reconnu le problème dans une déclaration très prudente : « Nous enquêtons sur un rapport d’accès non autorisé à Claude Mythos Preview via l’un de nos environnements de fournisseurs tiers. » En d’autres termes, le cœur des systèmes d’Anthropic ne semble pas directement compromis, mais la chaîne de sécurité périphérique semble toujours faillible.
L’incident touche un point particulièrement sensible, car Mythos a été présenté comme un modèle capable d’identifier des vulnérabilités logicielles complexes et de contribuer à sécuriser les infrastructures critiques. Lorsqu’un tel outil semble lui-même accessible à des personnes non autorisées au sein du système, le contraste est frappant.
Une fuite qui expose les limites du contrôle autour de l’IA
Le plus inquiétant est que ce groupe ne se serait pas contenté d’un accès furtif. les malfrats ont en effet utilisé le modèle à plusieurs reprises depuis le 7 avril, date même de son annonce publique. Anthropic n’a pas indiqué à ce stade que Mythos ait été utilisé à des fins offensives, mais le simple fait que cela soit possible suffit évidemment à alimenter les inquiétudes.
La sécurité de l’IA à revoir
Même si Anthropic doit faire face seul à cette situation, l’ensemble du secteur de l’IA est concerné par cette faille : les entreprises/laboratoires d’IA peuvent certes limiter la diffusion de leurs modèles, mais ces derniers resteront vulnérables tant que leur écosystème de partenaires, sous-traitants ou tiers n’offrira pas le même niveau de protection. Plus les IA deviennent puissantes, plus la sécurité de leur chaîne d’accès devient un point hautement sensible.
