Anthropic lance le modèle IA codé Mythos, dont les capacités en programmation, raisonnement et découverte de vulnérabilités surpassent largement le modèle de pointe actuel Claude Opus 4.6 ; en raison de ses capacités de menace sécuritaire révolutionnaires, il n'est pas encore mis en ligne publiquement, mais un projet intitulé Project Glasswing a été lancé en collaboration avec 12 institutions technologiques majeures, notamment AWS, Apple et Microsoft, ainsi que des organisations open source comme la Linux Foundation, pour l'utiliser en priorité dans des audits de sécurité et des renforcements des infrastructures numériques critiques mondiales.
Auteur de l'article : Tang Ren
Source : Mars Finance
Je pense que l'humanité est peut-être en train d'être rattrapée par l'IA à une vitesse dépassant la compréhension conventionnelle.
Je ne sais pas quelle est votre situation actuelle, mais moi, je ne peux plus me passer d’IA ; au moins 50 % de mon travail quotidien est accompli avec l’aide de l’IA.
De plus, ce ratio continue d'augmenter.
En parallèle, avec le déploiement de nouvelles générations de modèles, à la fois mon efficacité et la qualité de mon travail, ainsi que mes dépenses mensuelles en tokens, connaissent une croissance rapide.
Hier soir, j’ai vu un message disant qu’Anthropic a publié un modèle tellement puissant qu’ils n’osent même pas le rendre public.
Le nom de ce nouveau modèle est « Mythos », qui se traduit en chinois par « mythe ».
Actuellement en version préliminaire, il est officiellement appelé « Mythos Preview ». Toutefois, il est lancé sous la forme d'un projet nommé « Project Glasswing ».
Je parlerai de ce projet plus tard.
Le mois dernier, un document interne d'Anthropic a été accidentellement divulgué, mentionnant qu'un modèle plus grand et plus puissant qu'Opus est en cours de développement, sous le code name Mythos.
Par la suite, Anthropic a attribué cette fuite à une « erreur humaine » et n'a fourni aucune autre explication.
The model codenamed Mythos is now officially announced.
Officiellement annoncé, mais pas encore publié officiellement. Cela signifie que les utilisateurs ordinaires ne peuvent pas encore l'utiliser.
La raison est simple : Anthropic estime que ce modèle est trop puissant pour être ouvert à tous avant que les mécanismes de sécurité soient en place.
Je pense que cette phrase mérite une seconde de réflexion.
Habituellement, une entreprise d'IA souhaite lancer son nouveau modèle dès que possible pour capter le marché, mais cette fois-ci, la démarche d'Anthropic semble clairement inhabituelle.
À mon avis, ce n’est pas qu’ils ne veulent pas l’envoyer, c’est qu’ils osent pas.
Parce que le modèle appelé Mythos est vraiment puissant.
Voyez d'abord quelques données de test publiées officiellement.
En matière de capacité de codage, l'écart entre Mythos et Claude Opus 4.6, actuellement le modèle le plus puissant disponible au public, est considérable ; Mythos remporte largement tous les tests de référence contre Opus 4.6.
En matière de raisonnement, sur le test GPQA Diamond (questions scientifiques de niveau master), le résultat est de 94,6 % contre 91,3 % : Mythos gagne.
Dans les tests avec et sans outils de Humanity's Last Exam, Mythos a également remporté la victoire.
En ce qui concerne les compétences informatiques liées à l'Agent, OSWorld-Verified (accomplissement autonome de tâches informatiques), Mythos dépasse Oputs 4.6 avec 79,6 % contre 72,7 %.
Sur chaque dimension, Mythos surpasse Opus 4.6, certaines avec une avance écrasante.
Sur certaines tâches, l'écart n'est plus une amélioration progressive, mais une progression spectaculaire. Par exemple, SWE-bench Multimodal est passé de 27,1 % à 59 %, soit presque un doublement.
L'une des raisons les plus fondamentales pour les empêcher de se connecter à Mythos est sa capacité exceptionnelle à contourner les protections de sécurité du monde logiciel.
En clair, tous les systèmes et logiciels du monde ont des vulnérabilités, et Mythos peut les découvrir et les exploiter à un niveau supérieur à celui de l'humain.
Supposons que cette capacité soit entre les mains de pirates informatiques : tous les systèmes d'exploitation et logiciels du monde seraient affectés, en particulier certaines infrastructures publiques et la sécurité nationale.
Anthropic a publié cette phrase dans son annonce ; après l'avoir lue, je trouve cela profondément inquiétant.
The coding capabilities of AI models have reached an extremely high level, and in discovering and exploiting software vulnerabilities, they can nearly surpass everyone except the most skilled humans.
Concernant cette phrase, je voudrais m'étendre davantage.
Je viens de la programmation, donc je sais comment les logiciels sont construits et à quel point le code peut varier selon les personnes qui l'écrivent.
De plus, aucun logiciel ne prétend ne pas avoir de faille, même si cette faille n'a jamais été découverte.
Les anciennes vulnérabilités ont pu reposer tranquillement dans le système pendant des décennies non pas parce que le système était suffisamment sécurisé.
Mais trouver des vulnérabilités exige une compétence professionnelle élevée, une grande patience et énergie, ainsi qu'une quantité importante de temps.
Trop peu de personnes le font, et encore moins oseront investir.
Cette « rareté des compétences » constitue la condition implicite de tout le domaine de la sécurité logicielle. Après l'intervention de l'IA, ce principe commence à se fissurer.
L'IA peut fonctionner à un niveau dépassant la plupart des humains non de haut niveau, et nous pouvons l'utiliser pour exploiter des vulnérabilités, tout comme pour les combler.
Pour résoudre ce problème, je vais maintenant expliquer ce qu'est Project Glasswing, initié par Anthropic.
En bref, il s'agit d'un projet qui utilise les capacités de Mythos pour identifier des bugs dans les systèmes d'infrastructure du monde entier.
Les parties prenantes incluent AWS, Apple, Microsoft, Google, NVIDIA, Cisco, la Linux Foundation, et au total 12 institutions.
Cette équipe couvre le cloud computing, les systèmes d'exploitation, les puces, les navigateurs, les infrastructures financières, la cybersécurité et l'écosystème open source.
In other words, nearly all key players in the global digital infrastructure are involved in this project.
La logique centrale de ce projet est simple : permettre à l'équipe défensive d'utiliser dès maintenant les capacités de ce modèle IA de pointe.
Car si l'attaquant obtient d'abord des outils de même niveau, une fois la fenêtre ouverte, il sera difficile de la fermer. Anthropic s'engage à fournir un crédit de 100 millions de dollars pour l'utilisation du modèle, couvrant la période de prévisualisation de la recherche.
Outre les 12 institutions principales, plus de 40 organisations responsables de l'infrastructure logistique critique ont accès à Mythos pour analyser leurs systèmes et projets open source.
En parallèle, Anthropic a fait un don de 2,5 millions de dollars à la Linux Foundation et de 1,5 million de dollars à la Apache Software Foundation, deux infrastructures essentielles du monde du logiciel.
En d'autres termes, les différentes applications, sites web et systèmes que nous utilisons actuellement reposent essentiellement sur leur architecture sous-jacente.
À mon avis, Anthropic a fait une bonne chose cette fois-ci : non seulement elle a lancé un modèle plus puissant, mais elle a aussi dépensé de l’argent pour améliorer les infrastructures mondiales d’information.
After all, going naked benefits no one.
Vous pourriez encore ne pas saisir à quel point Mythos est puissant ; j’ai trouvé trois cas concrets dans le texte officiel, et je pense qu’ils sont plus parlants que les chiffres.
Le premier, OpenBSD.
C'est un système d'exploitation largement reconnu pour sa sécurité élevée, sur lequel de nombreuses infrastructures critiques fonctionnent, y compris le système iOS de nos iPhones Apple, le système Android, ainsi que certains systèmes internes d'entreprises et d'institutions.
Mythos a découvert une faille existant depuis 27 ans, permettant à un attaquant de faire planter à distance la machine cible en se connectant à celle-ci.
27 ans ! Ce n'est pas que personne ne s'en soucie, c'est que personne n'a trouvé.
Deuxième, FFmpeg.
Presque tous les logiciels nécessitant le traitement de vidéos en dépendent, et vous trouvez presque toujours sa présence dans les divers lecteurs vidéo que vous utilisez.
Une vulnérabilité se cachait dans une ligne de code écrite il y a 16 ans, et les outils de test automatisés l'ont attaquée 5 millions de fois sans jamais la détecter.
Mais Mythos a été trouvé.
Troisième, le noyau Linux.
This doesn't need much explanation—it's essentially the infrastructure of the entire internet and also the most worthy of caution.
Mythos n'a pas simplement découvert plusieurs vulnérabilités indépendantes, mais a lié plusieurs vulnérabilités pour former une chaîne d'attaque.
Commencer avec les permissions d'un utilisateur normal, escalader les privilèges, et finalement obtenir un contrôle total sur l'ensemble de la machine.
Concernant Linux, cela est complètement différent de la nature des deux précédents cas.
Trouver des vulnérabilités, c'est une capacité d'analyse.
Mais la faille de chaîne, c'est la capacité de la stratégie.
Comme de nombreux produits managers, savoir créer des maquettes, rédiger des documents et effectuer une analyse de données sont des compétences ponctuelles. Mais relier les activités, le produit et la stratégie, c’est une compétence stratégique.
Un modèle capable de planifier des chemins d'attaque n'est plus simplement un outil d'audit ; il s'approche davantage d'un agent capable d'agir activement dans un environnement numérique.
Pour les trois cas ci-dessus, Anthropic a adopté une approche consistant à détecter, signaler, réparer, puis divulguer ; tous les problèmes ont déjà été résolus.
En voyant cela, vous comprenez à quel point Mythos est puissant, comme une bête féroce qu’on ne laisse pas encore sortir de sa cage — le monde réel doit d’abord se préparer à l’accepter.
Je voudrais partager quelques observations ici, qui pourraient bien être le début de véritables changements à venir.
Premièrement, les hypothèses de sécurité dans le monde logiciel sont en train de devenir obsolètes.
La stabilité des logiciels que nous considérons comme acquise aujourd'hui ne provient pas entièrement d'une conception système suffisamment bonne. Elle dépend en grande partie de la rareté des capacités d'attaque.
Pour être franc, ce n'est pas que le logiciel n'est pas assez puissant, c'est que les gens ne le sont pas assez.
Détecter des vulnérabilités coûte de l’argent, concevoir des chaînes d’exploitation prend du temps, et effectuer des analyses à grande échelle nécessite des ressources. Ainsi, de nombreuses dettes techniques, bogues anciens et systèmes obsolètes persistent sans jamais avoir été sérieusement nettoyés.
Comme pour nos produits, penser que la logique est bouclée et qu'il n'y a plus de problèmes ne signifie pas que tout est parfait ; il est probable que nous ayons atteint notre limite de capacité.
Les capacités de Mythos réduisent la fenêtre de temps entre la découverte et l'exploitation d'une vulnérabilité de plusieurs mois à quelques minutes.
What does a few minutes mean?
Cela signifie que le rythme des correctifs et le processus de réparation ont commencé à ne plus suivre la vitesse des attaques.
Deuxièmement, le monde open source ressentira en premier la pression.
La plupart des logiciels modernes d'aujourd'hui reposent sur de nombreuses dépendances open source. Invisibles au quotidien, elles affectent toute l'industrie en cas de faille.
Certains lecteurs peuvent ne pas bien comprendre ce raisonnement ; en termes simples, cela signifie que tous les logiciels que nous utilisons actuellement reposent sur des projets open source, dont le code source est visible de tous.
Plus tard, lorsque les modèles pourront scanner de manière continue et à grande échelle les projets open source, le niveau de pression subi par les maintaineurs de la communauté open source sera complètement différent.
C'est aussi la raison pour laquelle Anthropic fait des dons à la Linux Foundation et à la Apache Foundation.
Ce n'est pas une œuvre de bienfaisance, mais une reconnaissance du fait que les infrastructures open source constituent la couche la plus fragile, mais aussi la plus essentielle du monde numérique à l'ère de l'IA ; ils ne veulent tout simplement pas être perçus comme des méchants.
Troisièmement, les humains seront affaiblis, et l'IA commencera à jouer contre l'IA.
La valeur de l'équipe de sécurité des produits Internet précédente résidait dans le jugement humain, l'accumulation d'expérience et la compréhension approfondie des systèmes.
À l'avenir, cette question suivra une logique différente.
Il s'agit de savoir quel modèle est le plus puissant, quel outil est intégré le plus rapidement, et qui parvient à intégrer l'audit IA au tout début du processus de développement.
Il ne s'agit pas de la substitution des programmeurs, mais de la réorganisation du mode de production de l'industrie de la sécurité elle-même.
Du côté adverse, des milliers de vulnérabilités critiques peuvent être découvertes en quelques semaines. Le problème, c’est que les attaquants auront tôt ou tard des outils de niveau équivalent.
À ce moment-là, la sécurité des produits logiciels ne sera plus une lutte entre humains, mais un jeu d'attaque et de défense entre modèles.
Cette fois, Anthropic n'a pas seulement publié des capacités, mais aussi des risques. C'est probablement le type d'honnêteté que l'ensemble de l'industrie a le plus besoin de voir à ce stade.
Tout le monde parle de la façon dont l'IA transforme l'efficacité au travail, et c'est tout à fait normal.
Mais Mythos nous rappelle également que les avancées des capacités de l'IA finiront par se propager du monde du contenu au monde du logiciel, puis à l'infrastructure numérique dans son ensemble.
Le monde du contenu est réécrit, ce qui affecte la logique du trafic.
Le monde du logiciel est réécrit, et c'est la fondation qui est bouleversée.
À ce moment-là, je me souviens d'une réplique du film « 2012 », que je vais utiliser comme conclusion à cet article.
Que vous soyez qui vous êtes, quelle que soit votre race ou votre pays, demain, nous ne faisons pas de différence !