5 min. de lecture<\/p>\n
Dans un consortium nomm\u00e9 Project Glasswing, un mod\u00e8le d’IA a d\u00e9couvert au printemps des vuln\u00e9rabilit\u00e9s que les auditeurs humains avaient manqu\u00e9es. Le m\u00eame mod\u00e8le, qui permet de combler ces failles, pourrait aussi les identifier pour les exploiter. Ce probl\u00e8me de Dual-Use contraint Anthropic \u00e0 mettre en place des acc\u00e8s \u00e9chelonn\u00e9s et les \u00e9quipes SOC \u00e0 adopter un nouveau mod\u00e8le de menace.<\/strong><\/p>\n Les points cl\u00e9s en bref<\/p>\n Articles connexes :<\/span>Priorisation des correctifs : pourquoi le CVSS seul freine votre SOC<\/a> \/<\/span> Sensibilisation \u00e0 la s\u00e9curit\u00e9 : le taux de clic mesure le mauvais indicateur<\/a><\/p>\n Lorsqu’Anthropic a rendu publics ses mod\u00e8les Mythos en avril, la premi\u00e8re \u00e9tape n’\u00e9tait pas un produit grand public. L’entreprise a conserv\u00e9 la version la plus puissante et l’a int\u00e9gr\u00e9e \u00e0 un consortium : Project Glasswing. L\u00e0, des entreprises s\u00e9lectionn\u00e9es utilisent le mod\u00e8le pour identifier et corriger des vuln\u00e9rabilit\u00e9s logicielles avant qu’elles ne soient d\u00e9couvertes par des attaquants.<\/p>\n Les r\u00e9sultats ont justifi\u00e9 cette prudence. Un syst\u00e8me capable de d\u00e9tecter des failles de s\u00e9curit\u00e9 plus rapidement et plus minutieusement qu’une \u00e9quipe exp\u00e9riment\u00e9e constitue un outil de d\u00e9fense puissant. Un tel outil exige une diffusion contr\u00f4l\u00e9e.<\/p>\n Un mod\u00e8le capable de d\u00e9tecter des vuln\u00e9rabilit\u00e9s est aussi utile pour la d\u00e9fense que pour l’attaque. La m\u00e9thode de recherche est identique, seul l’objectif diff\u00e8re.<\/p>\n<\/div>\n Les tests d’intrusion et les attaques utilisent depuis toujours les m\u00eames techniques, mais avec des intentions diff\u00e9rentes. Dans un mod\u00e8le qui d\u00e9tecte des failles \u00e0 grande \u00e9chelle, cette vieille tension devient un probl\u00e8me concret de contr\u00f4le.<\/p>\n La r\u00e9ponse d’Anthropic repose sur l’\u00e9chelonnement. La version largement accessible redirige automatiquement les requ\u00eates \u00e0 haut risque en cybers\u00e9curit\u00e9, biologie et chimie vers un mod\u00e8le moins performant, au lieu d’y r\u00e9pondre elle-m\u00eame. La variante la plus puissante reste r\u00e9serv\u00e9e \u00e0 un cercle restreint de d\u00e9fenseurs et de fournisseurs d’infrastructures, parfois en collaboration avec des instances \u00e9tatiques.<\/p>\n La cons\u00e9quence pratique n’est pas une raison de paniquer, mais une incitation \u00e0 se pr\u00e9parer. Si les d\u00e9fenseurs d\u00e9couvrent des failles \u00e0 la vitesse de l’IA, les \u00e9quipes de s\u00e9curit\u00e9 doivent partir du principe que les attaquants recherchent le m\u00eame levier. La fen\u00eatre temporelle entre la d\u00e9couverte d’une vuln\u00e9rabilit\u00e9 et son exploitation tend \u00e0 se r\u00e9duire.<\/p>\n Pour votre propre mod\u00e8le de menace, cela implique : des cycles de correctifs plus rapides, une surveillance plus \u00e9troite des interfaces expos\u00e9es et l’hypoth\u00e8se que la recherche automatis\u00e9e deviendra la norme, des deux c\u00f4t\u00e9s. Les cadres de gouvernance comme NIS2 exigent d\u00e9j\u00e0 une r\u00e9activit\u00e9 d\u00e9montrable. La recherche assist\u00e9e par IA transforme cette obligation en une v\u00e9ritable question de rapidit\u00e9.<\/p>\n Le dual-use d\u00e9signe une capacit\u00e9 qui peut \u00eatre utilis\u00e9e \u00e0 la fois de mani\u00e8re d\u00e9fensive et offensive. Un mod\u00e8le capable de d\u00e9tecter des vuln\u00e9rabilit\u00e9s pour les corriger peut employer cette m\u00eame capacit\u00e9 pour les exploiter. C’est l’intention de l’utilisateur qui d\u00e9termine si cela cause un pr\u00e9judice ou apporte un b\u00e9n\u00e9fice.<\/p>\n Un consortium dans lequel des entreprises s\u00e9lectionn\u00e9es utilisent le mod\u00e8le Mythos d’Anthropic pour d\u00e9tecter et corriger des failles logicielles. Il s’agissait d’une approche d\u00e9lib\u00e9r\u00e9ment contr\u00f4l\u00e9e pour exploiter la puissante capacit\u00e9 de s\u00e9curit\u00e9 sans la rendre largement accessible.<\/p>\n La version accessible au public transmet les sujets \u00e0 haut risque en cybers\u00e9curit\u00e9, biologie et chimie \u00e0 un mod\u00e8le moins performant. Cela permet d’offrir la pleine puissance l\u00e0 o\u00f9 elle est sans danger, et de la limiter l\u00e0 o\u00f9 un abus est possible.<\/p>\n Pas n\u00e9cessairement plus, mais potentiellement plus rapides. Si la recherche automatis\u00e9e devient la norme, la fen\u00eatre entre la d\u00e9couverte et l’exploitation d’une faille se r\u00e9duit. La rapidit\u00e9 des correctifs et la visibilit\u00e9 de vos interfaces deviennent cruciales.<\/p>\n Inventorier les interfaces expos\u00e9es, fonder la priorisation des correctifs sur leur exploitabilit\u00e9 r\u00e9elle plut\u00f4t que sur les seuls scores, et enrichir son mod\u00e8le de menace avec des attaquants dot\u00e9s de capacit\u00e9s d’IA. L’essentiel r\u00e9side dans la rapidit\u00e9 de r\u00e9action d’une \u00e9quipe.<\/p>\n\n
Ce qui s’est pass\u00e9 au sein de Project Glasswing<\/h2>\n
Pourquoi la m\u00eame capacit\u00e9 agit dans les deux sens<\/h2>\n
Le mod\u00e8le Mythos est rendu public, mais sa diffusion aupr\u00e8s du grand public est retard\u00e9e. Lancement de Project Glasswing.<\/div>\n
Le mod\u00e8le identifie au sein du consortium des vuln\u00e9rabilit\u00e9s qui avaient \u00e9chapp\u00e9 aux v\u00e9rificateurs humains.<\/div>\n
La variante la plus puissante est mise \u00e0 disposition d’un cercle restreint de cyberd\u00e9fenseurs, tandis que la version grand public redirige les requ\u00eates risqu\u00e9es.<\/div>\n<\/div>\nCe que cela signifie pour les \u00e9quipes SOC<\/h2>\n
Foire aux questions<\/h2>\n
Qu’est-ce que le dual-use dans les mod\u00e8les d’IA ?<\/h3>\n
Qu’est-ce que Project Glasswing ?<\/h3>\n
Pourquoi le mod\u00e8le grand public redirige-t-il les requ\u00eates risqu\u00e9es ?<\/h3>\n
Cela signifie-t-il plus d’attaques contre mon entreprise ?<\/h3>\n
Que doit faire concr\u00e8tement une \u00e9quipe SOC d\u00e8s maintenant ?<\/h3>\n