Une nouvelle génération de modèles d'IA découvre des failles logicielles à une vitesse dépassant la capacité humaine de correction, réduisant le délai entre la découverte du bug et son exploitation à quelques heures seulement, créant ainsi un risque systémique pour les infrastructures critiques.
Une classe de modèles d'intelligence artificielle, dirigée par Mythos Preview d'Anthropic, découvre désormais des vulnérabilités de sécurité à une échelle qui menace de submerger les défenses de l'industrie technologique, comme en témoigne la découverte récente par le modèle d'un bug resté indétecté dans le système d'exploitation OpenBSD pendant 27 ans. Cette capacité marque un changement structurel dans la cybersécurité, où le délai entre la découverte d'une faille et son exploitation est compressé, passant de plusieurs mois à quelques minutes.
« Les LLM ont désormais dépassé les capacités humaines en matière de recherche de bugs », a déclaré Alex Stamos, responsable de la sécurité chez Corridor et ancien chef de la sécurité chez Facebook. La multiplication des vulnérabilités de haute qualité trouvées par l'IA suite à la sortie de modèles avancés fin 2025 crée ce que certains appellent un « bug armageddon », remettant en cause l'ensemble du cycle de vie des correctifs logiciels.
Les chiffres quantifient la pression exercée sur les défenseurs. La plateforme de bug bounty HackerOne rapporte que les soumissions ont augmenté de 76 % par rapport à l'année dernière, tandis que le temps moyen pour corriger une vulnérabilité est passé de 160 à 230 jours. Parallèlement, Palo Alto Networks, partenaire de la coalition défensive d'Anthropic, rapporte que les attaques assistées par l'IA les plus rapides passent désormais de l'accès initial à l'exfiltration de données en seulement 25 minutes, un délai que les cycles de correctifs traditionnels des entreprises, souvent mesurés en jours ou en semaines, ne peuvent égaler.
Cette asymétrie croissante entre l'offensive et la défense pose un risque direct pour les couches fondamentales d'Internet. Une grande partie de l'infrastructure numérique mondiale, des systèmes d'exploitation aux services financiers, repose sur des logiciels open-source maintenus par de petites équipes, souvent bénévoles, qui font désormais face à un assaut de rapports de bugs générés par l'IA. Le risque est que des logiciels auparavant ignorés ou obscurs deviennent des vecteurs d'attaque primaires.
L'expérience des développeurs maintenant les infrastructures critiques illustre ce changement. Daniel Stenberg, développeur principal de l'outil de transfert de données cURL vieux de 30 ans, a vu son équipe submergée par de faux rapports de bugs générés par l'IA en 2025. Mais au début de 2026, la qualité s'est inversée. En seulement trois mois, son équipe a corrigé plus de vulnérabilités légitimes que sur l'ensemble des deux années précédentes, principalement grâce à des rapports de meilleure qualité provenant de chercheurs assistés par l'IA.
cette accélération crée un défi sans précédent. Sergej Epp, CISO chez Sysdig, a créé une « Horloge Zero-Day » pour visualiser l'effondrement du calendrier. Il y a huit ans, le délai moyen entre la divulgation publique d'un bug et une attaque était de 847 jours. En 2025, il était de 23 jours. Cette année, la plupart sont exploités en une journée. La Cloud Security Alliance prévient que les organisations de sécurité seront probablement « submergées par la nécessité d'appliquer des correctifs et de répondre aux vulnérabilités, exploits et attaques autonomes découverts par l'IA ».
En réponse, Anthropic a formé Project Glasswing, une coalition d'environ 50 entreprises technologiques, dont Microsoft, Google, Amazon Web Services, Cisco et la Linux Foundation. L'initiative permet à ces partenaires d'accéder au modèle Mythos Preview non encore publié pour trouver et corriger les failles de leurs propres systèmes avant que des acteurs malveillants ne puissent les exploiter. Anthropic a déclaré n'avoir aucun projet de sortie publique, citant le risque élevé de détournement.
« Ces mainteneurs étaient déjà surchargés de travail avant l'IA », a déclaré Jim Zemlin, PDG de la Linux Foundation, qui expérimente le modèle pour aider à sécuriser le noyau Linux. « Cela rend simplement leur vie bien meilleure. »
Cette initiative n'a pas été sans controverse, le Pentagone ayant qualifié Anthropic de « risque pour la chaîne d'approvisionnement » pour avoir demandé au gouvernement de ne pas utiliser sa technologie pour des armes autonomes, une décision qu'Anthropic conteste. Néanmoins, la formation de la coalition souligne la nature à double usage de la technologie. Bien que les modèles puissent être utilisés pour la défense, leurs capacités proliféreront inévitablement. Les modèles open-weight les plus avancés, qui peuvent être modifiés par n'importe qui pour supprimer les garde-fous de sécurité, accuseraient un retard de moins d'un an par rapport aux modèles propriétaires comme Mythos.
Le développement a jeté un froid dans l'industrie logicielle, les actions de certaines sociétés de cybersécurité ayant chuté à l'annonce de la nouvelle. Le risque principal pour les investisseurs est que la valeur de toute entreprise logicielle dépende en partie de sa posture de sécurité. Alors que l'IA réduit considérablement le coût de découverte des failles, les entreprises possédant un code hérité important ou des dépendances vis-à-vis de projets open-source sous-financés font face à une réévaluation de leur profil de risque.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
