Anthropic a développé un modèle d'IA qui trouve des vulnérabilités logicielles critiques restées indétectées pendant 27 ans, créant un risque systémique majeur pour l'écosystème de la finance décentralisée (DeFi) pesant 200 milliards de dollars.
L'entreprise a noté que « les mesures d'atténuation dont la valeur de sécurité provient principalement de la friction plutôt que de barrières rigides pourraient devenir considérablement plus faibles face à des adversaires assistés par des modèles ».
Le modèle, Claude Mythos Preview, a découvert un bug de 27 ans dans le système d'exploitation OpenBSD, axé sur la sécurité, pour moins de 50 $ de coûts de calcul, et a créé une attaque Linux fonctionnelle à partir d'une vulnérabilité connue en moins d'une journée pour moins de 2 000 $.
La découverte de failles dans les bibliothèques de cryptographie fondamentales telles que TLS et SSH menace directement les fondements open source des protocoles DeFi sur Ethereum et Solana, suggérant que les défenses telles que les audits et les portefeuilles multisig pourraient s'avérer insuffisantes contre les attaques pilotées par l'IA.
Une nouvelle classe de menace automatisée
Claude Mythos Preview a démontré une capacité qui surpasse les outils automatisés existants et, dans certains cas, des décennies de recherche humaine en sécurité. Il a découvert une faille de 16 ans dans le logiciel vidéo FFmpeg, largement utilisé, qui avait été scanné cinq millions de fois par d'autres outils sans détection. Cela contraste fortement avec les menaces théoriques comme l'informatique quantique, car le modèle Mythos est déjà opérationnel. Sa capacité à trouver rapidement et à militariser les failles des logiciels qui protègent les fonds des utilisateurs présente un risque immédiat et tangible.
Les défenses basées sur la friction sous le feu des critiques
La menace est particulièrement aiguë pour le secteur DeFi, où le code des protocoles est open source et lisible par n'importe qui — y compris une IA opérant à la vitesse de la machine. Les quelque 200 milliards de dollars verrouillés dans les contrats intelligents ont été examinés par des audits humains et des scanners automatisés, mais Anthropic affirme que son modèle opère au-delà des capacités des deux. Cela remet en question l'efficacité des mesures de sécurité courantes dans la crypto, telles que l'exigence de signatures multiples pour les transactions (multisig), l'imposition de délais temporels (timelocks) et la confiance dans les rapports d'audit comme preuve de sécurité. Ces défenses « basées sur la friction » sont conçues pour ralentir les attaquants, et non pour arrêter une menace capable d'analyser et d'exploiter le code à un coût marginal quasi nul.
Bien que le marché DeFi, mesuré par l'indice CoinDesk DeFi Select, ait progressé de 7 % sur des nouvelles macroéconomiques sans rapport, ce développement introduit un risque important et non valorisé. Les investisseurs pourraient devoir réévaluer la sécurité des protocoles au-delà des audits standards. La divergence entre les protocoles dotés d'une sécurité codée en dur et ceux dépendant de la friction pourrait devenir un moteur de performance clé. Le modèle est actuellement restreint à 40 entreprises, dont Google et Microsoft, dans le cadre du « Project Glasswing », retardant mais n'éliminant pas la menace publique.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
