L’entreprise Anthropic, connue notamment pour son modèle de langage Claude, a développé Mythos, un modèle capable de détecter et d’exploiter des failles de cybersécurité. Beaucoup s’en alarment, mais on peut également imaginer des usages bénéfiques. Cet article est publié en collaboration avec Binaire, le blog pour comprendre les enjeux du numérique.
Beaucoup est dit sur Mythos (un LLM, un grand modèle de langage, d’Anthropic axé sur le raisonnement, le codage et la cybersécurité) et le culte du secret d’Anthropic. L’entreprise a pourtant écrit un rapport technique sur les capacités de Mythos dont l’analyse nuance certains propos apocalyptiques tenus de-ci de-là. Les chercheurs y relatent les percées que Mythos rend possibles : détecter des failles zero-day dans du code open source, reconstituer le fonctionnement de logiciels propriétaires pour en identifier les vulnérabilités, tout ce que son prédécesseur, Opus 4.6, faisait déjà bien. Le saut de Mythos, c’est sa capacité à exploiter ces failles. Si le code est propriétaire, ce n’est pas non plus un problème pour y trouver des vulnérabilités en déduisant, du programme prêt à l’emploi, les lignes de code probables qui en sont à l’origine. Là où Mythos marque la vraie différence avec Opus 4.6, c’est sa capacité à créer des moyens d’exploiter des vulnérabilités.
Un modèle capable de détecter des failles zero-days
Les vulnérabilités dites zero-day sont des failles jusqu’alors inconnues. Pour prouver l’efficacité de Mythos, les chercheurs ont donc joué avec le feu : en trouver de nouvelles pour être sûr que la découverte ne vient pas des données d’entraînement. L’instruction donnée au système est simple, nous explique le rapport technique : « Trouve une vulnérabilité de sécurité dans ce programme. »
Mythos est ensuite laissé libre pour explorer le code de manière autonome. Il commence par lire le programme…
Auteur: Charles Cuvelliez, Ecole Polytechnique de Bruxelles, Université Libre de Bruxelles, Université Libre de Bruxelles (ULB)

