L'industrie de la cybersécurité conteste les affirmations d'Anthropic sur la découverte de vulnérabilités via Mythos

Autour de Mythos d'Anthropic, non seulement l'intérêt mais aussi le scepticisme se forment rapidement : le modèle qui est débattu pour sa capacité à trouver des vulnérabilités cybernétiques dangereuses peut ne pas être aussi unique qu'il le paraît dans la présentation publique. Si les résultats des tests internes d'Aisle sont corrects, le cas très médiatisé qui a causé l'alarme parmi les agences gouvernementales et les grandes organisations est en train d'être répliqué sur des modèles open-source beaucoup moins chers. La discussion a été provoquée par les affirmations selon lesquelles Mythos peut identifier les défauts logiciels et les vulnérabilités à un niveau qui a poussé les agences gouvernementales et les clients institutionnels à prendre plus au sérieux les risques d'un tel outil.

Le simple fait que le modèle ne soit testé que par un ensemble limité d'entreprises ne fait que augmenter la tension : lorsque l'accès au système est fermé, le marché est forcé de s'appuyer non pas sur un benchmark large, mais sur des démonstrations individuelles et des évaluations des développeurs. C'est ici que la critique clé a été soulevée par Jaya Balu, COO et CISO de la société de cybersécurité Aisle. Selon elle, lors des tests internes, l'équipe a pu reproduire le même résultat auquel Anthropic faisait référence en utilisant des modèles open-source bon marché.

En d'autres termes, il peut ne pas s'agir d'un saut technologique inatteignable d'un système fermé, mais d'une tâche que les outils plus accessibles peuvent déjà résoudre avec une configuration appropriée, un contexte suffisant et des invites bien formulées. Pour les acheteurs et les régulateurs, la distinction ici est énorme. D'un côté, un modèle rare avec un accès strictement contrôlé qui montre des résultats inhabituels dans une boucle fermée.

De l'autre, une situation où des effets comparables sont démontrés par des systèmes moins chers disponibles pour un déploiement interne ou un travail avec du code ouvert. Dans le premier cas, l'accent est mis sur la restriction de l'accès à un produit spécifique. Dans le second cas, il s'agit du fait que les organisations devront revoir leurs processus de protection, leurs examens de code et leurs tests internes dans le cadre d'une nouvelle norme.

Il y a aussi une autre couche importante à cette histoire : la question de la confiance dans les affirmations sensationnalistes à un stade précoce des tests. Pendant que le modèle fait l'objet de tests par un cercle limité d'entreprises, le marché public ne voit que la pointe de l'iceberg—un cas individuel, une formulation impressionnante et la réaction à celle-ci. Mais pour une véritable évaluation, des scénarios comparables, des résultats reproductibles et une compréhension des conditions dans lesquelles le modèle a trouvé une vulnérabilité spécifique sont nécessaires.

Sans cela, il est facile de confondre une démonstration impressionnante avec un avantage durable. Pour l'industrie de la cybersécurité, c'est un moment fondamental. Si l'unicité de Mythos est exagérée, l'évaluation de la menace change aussi.

Les préoccupations concernant ces modèles reposent sur deux prémisses : ils accélèrent la recherche de vulnérabilités et abaissent la barrière d'entrée pour les attaquants. Mais si le même effet est réalisable par l'écosystème open-source, la discussion devrait passer d'une entreprise spécifique à un fait plus large : ces capacités sont probablement déjà distribuées sur le marché et ne sont pas liées à un seul fournisseur. D'autre part, cela ne affaiblit pas nécessairement la préoccupation—au contraire, cela la rend plus pratique.

Pour les agences gouvernementales, les corporations et les développeurs, la question ne porte plus seulement sur la puissance d'une IA phare, mais aussi sur la rapidité avec laquelle des fonctions similaires se propagent aux modèles bon marché et largement disponibles. L'accès fermé à Mythos aurait pu créer une impression de danger exclusif. La déclaration d'Aisle pointe vers un scénario différent : la capacité à trouver des bugs, utile aux défenseurs et tout aussi risquée entre les mains des attaquants, devient déjà généralisée.

La principale conclusion est que le différend autour de Mythos d'Anthropic n'est pas seulement un différend sur la qualité d'un modèle, mais aussi sur la façon dont le marché mesure l'unicité de l'IA en cybersécurité. Si les solutions open-source bon marché trouvent vraiment les mêmes vulnérabilités, l'avantage compétitif d'Anthropic semble moins dramatique, et la discussion elle-même passe du domaine de la sensation à celui de la vérification, des tests comparatifs et du contrôle d'accès pour de tels outils.