Ces dernières semaines, le nouveau modèle d’intelligence artificielle Mythos a suscité un débat important dans le secteur technologique et de la cybersécurité.

Et pas seulement en raison de sa capacité à générer du texte ou automatiser des tâches, mais surtout à cause d’un élément beaucoup plus sensible : sa capacité à détecter des vulnérabilités de sécurité à grande échelle.

La question importante n’est pas uniquement ce que Mythos est capable de faire.

La véritable question est de savoir ce qui se passe lorsque des modèles de ce niveau commencent à découvrir des failles de sécurité plus rapidement que nous ne sommes capables de les corriger.

Un modèle trop puissant pour être diffusé librement

Mythos est un nouveau modèle d’intelligence artificielle développé par Anthropic, l’une des principales entreprises du secteur.

Selon l’entreprise elle-même, le modèle a atteint un niveau de capacité qui l’a conduite à prendre une décision inhabituelle : limiter sa diffusion en raison des risques potentiels liés à son utilisation.

Et l’une des principales raisons concernait précisément son comportement lors des tests de cybersécurité.

Quand l’IA commence à détecter massivement des vulnérabilités

Lors de ses tests internes, Anthropic a utilisé Mythos pour rechercher des faiblesses dans des systèmes largement utilisés comme Windows, Android ou les environnements Apple.

Le résultat a été préoccupant.

Le modèle a été capable de détecter un volume très élevé de vulnérabilités et de potentiels exploits de sécurité en très peu de temps.

Selon les informations publiées par l’entreprise, l’ampleur des découvertes a été suffisamment importante pour déclencher des processus urgents de communication avec les fabricants et fournisseurs technologiques.

L’aspect positif est que, dans ce cas, les découvertes ont été partagées avec des entreprises capables de corriger ces problèmes grâce à des correctifs et des mises à jour.

Mais le véritable risque est ailleurs.

Le problème n’est pas Mythos

Le problème est de supposer que seul Mythos est capable de faire cela.

Il est raisonnable de penser que d’autres organisations, entreprises ou même acteurs étatiques disposent déjà de modèles similaires — voire plus avancés — dotés de capacités équivalentes.

Et c’est là qu’apparaît une question inconfortable du point de vue de la gestion des risques.

Car pendant que certaines entreprises reçoivent des alertes et peuvent corriger leurs vulnérabilités, d’autres pourraient utiliser ce type de capacités pour exploiter ces mêmes failles sans que personne ne le sache.

La nouvelle asymétrie technologique

Un autre élément important du cas est qu’Anthropic a décidé de partager une partie des découvertes uniquement avec un groupe limité d’organisations.

Cela ouvre un débat important.

Entrons-nous dans un scénario où seules certaines entreprises ou certains acteurs auront accès à des modèles avancés capables de détecter les menaces avant les autres ?

Une différence réelle de sécurité pourrait-elle apparaître entre ceux qui disposent de ces capacités et ceux qui attendent simplement des mises à jour lorsque le problème existe déjà ?

Au-delà de l’intelligence artificielle générative

Le débat autour de l’intelligence artificielle se concentre souvent sur la productivité, l’automatisation ou la génération de contenu.

Pourtant, des cas comme Mythos rappellent que l’impact réel peut apparaître dans des domaines bien plus critiques : cybersécurité, infrastructures, vulnérabilités ou capacités offensives.

L’intelligence artificielle ne se contente pas d’automatiser des tâches.

Elle amplifie également des capacités.

Et cela inclut aussi bien les capacités défensives qu’offensives.

Une question de gestion des risques

Au-delà de l’impact médiatique, le cas Mythos laisse une conclusion assez claire.

Les organisations dépendent de plus en plus de systèmes numériques complexes et, en parallèle, la capacité à détecter et exploiter des vulnérabilités progresse à une vitesse considérable.

C’est pourquoi des pratiques de base comme maintenir les systèmes à jour, revoir régulièrement les vulnérabilités ou appliquer rapidement les correctifs deviennent plus importantes que jamais.

Car le problème n’est plus uniquement l’existence de failles de sécurité.

Le problème est désormais la vitesse à laquelle elles peuvent être découvertes et exploitées.