Anthropic fait face à une deuxième alerte de sécurité alors que des hackers revendiquent une brèche dans Mythos

Le groupe de hackers ShinyHunters affirme avoir piraté les systèmes internes d'Anthropic, leader de la sécurité de l'IA, accédant prétendument à des données liées à son modèle Claude Mythos non encore publié. Cette affirmation non confirmée fait suite à une brèche distincte en juillet au cours de laquelle un groupe Discord a accédé au même modèle à haut risque.

Anthropic n'a pas encore confirmé publiquement l'allégation de ShinyHunters. La société a précédemment déclaré qu'elle était « consciente de la réclamation et enquêtait » sur l'incident de juillet, selon un rapport de Bloomberg.

ShinyHunters aurait partagé des captures d'écran de panneaux de gestion des utilisateurs et d'expériences d'IA internes. Cela fait suite à la brèche de juillet où des utilisateurs ont deviné l'emplacement en ligne du modèle et ont utilisé l'accès privilégié d'un sous-traitant. Anthropic a décrit Claude Mythos comme étant capable d'« identifier puis d'exploiter des vulnérabilités zero-day dans tous les principaux systèmes d'exploitation ».

Les défaillances de sécurité répétées, si la nouvelle affirmation est vérifiée, pourraient gravement nuire à la réputation d'Anthropic en tant que laboratoire d'IA axé sur la sécurité et éroder la confiance de ses clients entreprises et partenaires comme Google. Ces incidents soulèvent des questions critiques sur les protocoles de sécurité dans l'ensemble de l'industrie de l'IA alors que les entreprises s'affrontent pour développer des modèles de plus en plus puissants.

Deuxième incident de sécurité en un mois

L'affirmation de ShinyHunters marque la deuxième fois ces dernières semaines que des utilisateurs non autorisés auraient accédé à ce qu'Anthropic appelle une IA « potentiellement dangereuse ». Début juillet, un groupe d'utilisateurs sur la plateforme sociale Discord a accédé à Mythos non pas via une attaque sophistiquée, mais en devinant son emplacement en ligne sur la base des conventions de nommage de l'entreprise.

Cette brèche précédente a été facilitée par un membre du groupe qui disposait d'un accès privilégié en tant que sous-traitant pour Anthropic. Bien que les utilisateurs aient déclaré à Bloomberg qu'ils utilisaient le modèle pour des tâches inoffensives, l'incident a révélé d'importantes faiblesses de sécurité. Pour une entreprise dont la marque est bâtie sur la sécurité et le développement responsable de l'IA, deux brèches présumées de son modèle le plus puissant en succession rapide sont une source de grave préoccupation pour les investisseurs et les clients.

Qu'est-ce que Claude Mythos ?

Anthropic a gardé Claude Mythos sous haute protection, n'accordant l'accès qu'à un groupe restreint de partenaires via une initiative appelée Project Glasswing. La propre description par l'entreprise des capacités du modèle — à savoir qu'il peut trouver et utiliser de nouvelles vulnérabilités logicielles — le place dans une catégorie de risque unique. Alors que des rivaux comme OpenAI et Google développent également des modèles puissants, l'accent public d'Anthropic a toujours été mis sur le confinement des dangers potentiels de l'IA avancée.

Les brèches présumées suggèrent que la sécurité opérationnelle de l'entreprise elle-même pourrait ne pas correspondre à ses principes de sécurité ambitieux. Si un groupe comme ShinyHunters peut accéder aux tableaux de bord internes, cela soulève la possibilité d'un vol de modèle ou de l'exposition de données sensibles des partenaires d'Anthropic. Ces incidents rappellent brutalement qu'à mesure que les modèles d'IA deviennent plus puissants, les entreprises qui les construisent deviennent des cibles plus précieuses.

Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.