Peur d'ouvrir la boîte de Pandore ? Le modèle le plus puissant d'Anthropic n'ose pas être divulgué

La base de code d'OpenBSD présente une vulnérabilité vieille de 27 ans. Il existe une vulnérabilité vieille de 16 ans dans FFmpeg, ce segment de code ayant été invoqué plus de 5 millions de fois avant d'être découvert. Les entités qui ont mis au jour ces deux éléments n'étaient pas des chercheurs de premier plan sur une plateforme de récompense pour les bogues, ni Google Project Zero. Il s'agissait d'Anthropic, un modèle qui n'a pas encore été publié publiquement, sous le nom de code Claude Mythos Preview.

Le 7 avril, Anthropic a annoncé le projet Glasswing. L'action elle-même était simple : partager Mythos Preview avec une liste blanche. La liste comprenait AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, la Linux Foundation, Palo Alto Networks, ainsi qu'environ 40 institutions responsables des infrastructures critiques. Ceux qui ne figuraient pas sur la liste ne pouvaient pas y accéder. Anthropic a explicitement déclaré qu'ils n'avaient pas l'intention de rendre ce modèle public à court terme.

C'est la première fois que le laboratoire de pointe enferme de manière proactive son atout le plus fort.

Au cours des deux dernières années, le rythme de publication était presque réflexif. Chaque saut générationnel de GPT, Gemini et Claude suivait un schéma de « publication, observation, correctif ». La « politique d'extension responsable » (RSP) d'Anthropic est essentiellement un cadre d'engagement : atteindre un certain seuil de capacité, mettre en œuvre les mesures d'atténuation correspondantes, puis continuer à publier. Glasswing n'est pas la prochaine étape de ce cadre, mais la première exception. Un modèle que Anthropic lui-même a jugé « inapproprié pour une publication selon le processus initial » a été identifié et ne sera donné qu'aux gardiens.

Que Mythos Preview a-t-il accompli ? La déclaration officielle mentionne « des milliers de vulnérabilités zéro-day, couvrant tous les systèmes d'exploitation et navigateurs grand public. » Plus illustratif que les chiffres, c'est l'étendue des capacités. Claude 4.6 Opus avait un taux de réussite proche de zéro dans des tâches comme la découverte indépendante de vulnérabilités. En d'autres termes, il y a à peine six mois, le modèle public le plus performant d'Anthropic n'était pas capable de faire cela du tout. Mythos peut enchaîner plusieurs vulnérabilités sans rapport entre elles en une chaîne d'attaque complète, un exploit de navigateur en quatre étapes étant un exemple éprouvé. Passer de « presque zéro » à une « chaîne de quatre vulnérabilités » n'est pas une amélioration générationnelle progressive, mais un bond en avant.

Les mainteneurs l'ont déjà ressenti. Greg Kroah-Hartman du noyau Linux et Daniel Stenberg, l'auteur de curl, ont récemment déclaré la même chose : au cours de l'année écoulée, les rapports de sécurité générés par l'IA sont passés d'un contenu de niveau « spam » à un contenu « réel, de haute qualité, à voir absolument ». Le nombre de rapports reçus par les projets open source augmente, tout comme leur qualité, tandis que la main-d'œuvre des mainteneurs reste la même. C'est un problème auquel le camp de la défense est confronté depuis longtemps. Les actions d'Anthropic ont simplement fait passer cette question d'une anxiété vague à l'avant-plan.

Il vaut la peine de jeter un coup d'œil à la liste blanche elle-même. La liste comprend les trois grands acteurs du cloud (AWS, Google, Microsoft), trois entreprises de matériel (Apple, NVIDIA, Broadcom), deux fabricants d'équipements de réseau (Cisco, Palo Alto Networks), une entreprise de sécurité des terminaux (CrowdStrike), une organisation d'infrastructure open-source (Linux Foundation) et une banque. Il n'y a qu'une seule banque sur la liste, qui est JPMorgan Chase.

Ce n'est pas une allocation aléatoire des places. Anthropic a dressé une carte de « si ceux-ci tombent, le ciel tombera. » La grande majorité du code mondial fonctionne sur le stack de ces entreprises, et la grande majorité de l'argent mondial transite par l'une d'elles. La logique derrière la liste blanche n'est pas « qui en a le plus besoin » mais « dont la chute affectera le plus immédiatement tout le monde ». En dehors de la liste, Anthropic a alloué 4 millions de dollars supplémentaires aux organisations de sécurité open-source. L'argent fournit de la main-d'œuvre, le modèle fournit des capacités, et ensemble, ils se résument à une seule chose : donner aux mainteneurs quelques mois.

La formulation d'Anthropic est plus directe que la liste blanche. Dans sa déclaration, la société écrit : « Compte tenu du rythme de développement de l’IA, ce type de capacité ne restera pas entre les mains de ceux qui se consacrent au déploiement de la sécurité à long terme. » Ensuite, une ligne indique : « La défense de l’infrastructure réseau mondiale peut prendre plusieurs années. »

En combinant ces deux phrases, Anthropic conclut que la fenêtre de temps avant que le modèle ne soit divulgué ou répliqué est courte, tandis que la fenêtre de temps pour que les défenseurs corrigent les vulnérabilités est longue. L’ensemble du point de Glasswing se situe entre ces deux disparités temporelles. Avec un premier mouvement contrôlé, ils échangent quelques mois à un an de temps de correction.

Il y a aussi une dimension de Washington à cette affaire. Anthropic mène des discussions en cours avec le gouvernement américain concernant les capacités de Mythos Preview. Dans le même temps, l'entreprise a un litige non résolu avec les États-Unis Département de la Défense concernant la portée de l'utilisation de l'IA militaire. D'une part, l'entreprise refuse d'utiliser le modèle à certaines fins militaires, tandis que d'autre part, elle partage proactivement ce modèle avec la Fondation Linux et l'équipe de sécurité d'Apple. Ces deux actions ne sont pas contradictoires, mais sont deux aspects du même jugement. Anthropic définit « ce pour quoi ce modèle peut être utilisé » plutôt que de laisser cette définition aux utilisateurs.

Ce qui est le plus inhabituel chez Glasswing, ce n'est pas ce qu'il a fait, mais quand il l'a fait. Par le passé, les entreprises d'IA se sont prouvées à travers des publications. Maintenant, Anthropic choisit de se prouver à travers la « non-publication ». Un laboratoire de pointe enferme activement son produit le plus puissant, non pour des raisons commerciales, non parce que l'alignement n'est pas terminé, non pour des exigences réglementaires, mais parce qu'il a calculé que le calendrier ouvert ne peut pas suivre le calendrier de correction.

Ce qu'il faut surveiller dans les prochains mois, ce n'est pas la Mythos Preview elle-même, mais combien de vulnérabilités sont corrigées parmi les 50 institutions environ de la liste blanche qui l'ont exécutée. La prochaine chose à surveiller est si d'autres laboratoires de pointe suivront cet exemple. S'ils le font, une industrie qui fonctionne sur un rythme « ouvert, itératif, ouvert » aura vu son premier mouvement « enfermez-le et nous verrons bien ». S'ils ne le font pas, Anthropic sera celui qui se tiendra à la porte. Tenir la clé, regarder l'horloge.