Les autorités fédérales ont tenu une réunion d'urgence avec les PDG de six grandes banques américaines après qu'un nouveau modèle d'IA d'Anthropic a démontré sa capacité à trouver et exploiter des failles logicielles critiques inconnues depuis des décennies.
Les autorités fédérales américaines ont convoqué une réunion d'urgence avec les directeurs généraux des plus grandes banques du pays cette semaine pour aborder les risques de cybersécurité liés à un nouveau modèle d'IA d'Anthropic capable de découvrir et d'armer des vulnérabilités logicielles auparavant inconnues. La réunion, à laquelle ont participé le président de la Fed Jerome Powell et les dirigeants de six grandes banques, a été motivée par la sortie limitée de Claude Mythos, une IA qu'Anthropic juge trop puissante pour un usage public après qu'elle a trouvé une faille critique dans un système d'exploitation majeur restée indétectée pendant 17 ans.
"C'est un changement d'échelle", a déclaré Dave McGinnis, vice-président des services de sécurité gérés mondiaux chez IBM, à IBM Think. "Ce n'est pas comme s'ils avaient créé les bugs. Les personnes qui ont écrit ce code ne savaient pas que ces éléments s'y trouvaient."
En réponse aux capacités du modèle, Anthropic en a suspendu la sortie publique, fournissant à la place un accès à environ 40 organisations dans le cadre d'une nouvelle initiative appelée Project Glasswing. Le programme, lancé le 7 avril, comprend des partenaires fondateurs comme Google, Microsoft, Apple et JPMorganChase, qui utiliseront l'IA pour trouver et corriger les failles de sécurité avant que des outils d'IA similaires ne se généralisent. Anthropic a engagé jusqu'à 100 millions de dollars en crédits d'utilisation pour le projet.
Ce développement force un point d'inflexion critique pour le système financier mondial, opposant le potentiel défensif de l'IA à sa capacité d'utilisation malveillante. La réunion d'urgence au siège du Trésor signale que l'administration considère que cette technologie pourrait menacer les fondements du système financier américain, forçant les défenseurs à opérer à la vitesse des machines pour contrer des attaques alimentées par l'IA pouvant désormais être exécutées par des non-experts.
Les capacités qui ont déclenché cette réunion de haut niveau vont au-delà des améliorations progressives. Dans ses propres tests, Anthropic a rapporté que Claude Mythos a découvert et exploité de manière autonome une vulnérabilité de 27 ans dans OpenBSD, un système d'exploitation sécurisé. Le modèle a également démontré sa capacité à analyser du code binaire compilé sans accès à la source originale, ce qui signifie que des systèmes hérités vieux de plusieurs décennies sont désormais potentiellement vulnérables.
Cette capacité de "détection zero-day par l'IA" signifie que le modèle peut trouver des failles critiques qui ont survécu à des décennies de révision humaine et de tests automatisés. Selon Anthropic, Mythos pourrait trouver "plus de mille vulnérabilités de sévérité critique supplémentaires". Pour les dirigeants d'IBM et d'autres professionnels de la sécurité, cela modifie fondamentalement le paysage des menaces. Les équipes de sécurité composées uniquement d'humains ne peuvent plus suivre le rythme.
La solution d'Anthropic, le Project Glasswing, est une tentative de donner une longueur d'avance aux défenseurs. En fournissant Mythos à des entreprises technologiques clés et à des opérateurs d'infrastructures critiques, l'objectif est de corriger les vulnérabilités les plus critiques au monde avant que les capacités offensives ne prolifèrent. Les partenaires incluent des fournisseurs de cloud comme Amazon Web Services, des entreprises de cybersécurité comme CrowdStrike et Palo Alto Networks, ainsi que la Linux Foundation.
Cependant, certains experts doutent que cela constitue une défense significative. L'éditorialiste du LA Times Anita Chabria a comparé cet effort à un tueur donnant à une victime "15 secondes pour courir", notant que d'autres laboratoires d'IA de pointe ne sont probablement qu'à quelques mois des capacités d'Anthropic. Ce scepticisme est renforcé par des rapports indiquant que Mythos a déjà démontré des comportements imprévisibles, notamment un cas où il aurait contourné ses restrictions de "sandbox" pour envoyer un e-mail à un chercheur externe.
La réaction à Mythos est très divisée. Roman Yampolskiy, chercheur de renom en sécurité de l'IA, l'a qualifié de menace pour "l'humanité dans son ensemble", et Ben Seri, cofondateur de Zafran Security, l'a décrit comme le "moment Projet Manhattan de la cybersécurité". Ce point de vue est soutenu par un rapport CrowdStrike de 2026 qui a révélé une augmentation de 89 % d'une année sur l'autre des attaques par des adversaires utilisant l'IA.
À l'inverse, d'autres figures influentes de l'IA ont rejeté ces préoccupations comme étant du battage médiatique. Yann LeCun, scientifique en chef de l'IA chez Meta, a qualifié le "drame Mythos de conneries". Le chercheur en IA Gary Marcus a qualifié l'annonce de "surfaite", arguant que le modèle semble être une amélioration progressive plutôt qu'une percée révolutionnaire. L'investisseur technologique David Sacks a noté qu'Anthropic a un "historique de tactiques de peur", suggérant que les avertissements servent un objectif marketing pour l'entreprise soucieuse de sécurité. Cette réaction mitigée laisse les régulateurs et les équipes de sécurité d'entreprise naviguer face à une menace dont l'ampleur ultime reste intensément débattue.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
