Un nouveau modèle d’intelligence artificielle puissant développé par Anthropic a déclenché une série de réunions de crise entre les ministres des Finances, les banquiers centraux et les principaux financiers, qui craignent que la technologie ne se répercute sur le système financier mondial avec des conséquences dévastatrices.
Il a été démontré que le modèle, connu sous le nom de Claude Mythos, identifie les vulnérabilités de nombreux systèmes d’exploitation parmi les plus utilisés au monde, suscitant l’alarme aux plus hauts niveaux du gouvernement et du commerce. Alors que certains spécialistes estiment qu’il s’agit d’un changement radical dans la capacité de l’IA à découvrir et à exploiter les failles de cybersécurité, d’autres appellent à la prudence, arguant que des tests bien plus indépendants sont nécessaires avant de pouvoir juger de ses véritables capacités.
Le ministre canadien des Finances, François-Philippe Champagne, a confirmé aux médias que Mythe avait dominé les discussions lors des réunions du Fonds monétaire international cette semaine à Washington DC. “C’est certainement suffisamment grave pour mériter l’attention de tous les ministres des Finances”, a-t-il déclaré. Faisant une comparaison avec les risques géopolitiques, il a ajouté : “La différence est que le détroit d’Ormuz – nous savons où il se trouve et quelle est sa taille… le problème auquel nous sommes confrontés avec Anthropic est que c’est l’inconnu, l’inconnu. Cela nécessite beaucoup d’attention afin que nous ayons des garanties et que nous ayons des processus en place pour garantir la résilience de nos systèmes financiers.”
Mythos fait partie des derniers ajouts à la famille de modèles Claude d’Anthropic, qui concurrence directement ChatGPT d’OpenAI et Gemini de Google. Il a été dévoilé plus tôt ce mois-ci par des développeurs chargés de tester les comportements dits « mal alignés » de l’IA, c’est-à-dire les cas dans lesquels un modèle agit à l’encontre des valeurs humaines ou des objectifs visés. Leur verdict a été que Mythos est « remarquablement capable de réaliser des tâches de sécurité informatique ».
Invoquant des craintes que le modèle puisse révéler des bogues logiciels dormants depuis longtemps ou identifier de nouvelles façons d’exploiter les faiblesses du système, Anthropic a choisi de ne pas le publier publiquement. Au lieu de cela, l’accès a été accordé à une poignée de géants de la technologie, notamment Amazon Web Services, CrowdStrike, Microsoft et Nvidia, dans le cadre d’une initiative baptisée Project Glasswing, que la société décrit comme un « effort pour sécuriser les logiciels les plus critiques au monde ».
Jeudi, Anthropic a publié une version améliorée de son modèle Claude Opus existant, affirmant que cela permettrait d’évaluer les cybercapacités de Mythos au sein de systèmes moins puissants.
Tout le monde dans la communauté de la cybersécurité n’est pas convaincu que les craintes sont proportionnées, en particulier compte tenu du nombre limité de tests indépendants effectués jusqu’à présent. L’AI Security Institute du Royaume-Uni, qui a eu accès à une version préliminaire, est le seul organisme à avoir publié une évaluation indépendante. Ses chercheurs ont conclu que même si Mythos Preview pouvait compromettre les systèmes dotés de défenses faibles, il n’était pas considérablement plus performant que son prédécesseur, Opus 4. « Nos tests montrent que Mythos Preview peut exploiter des systèmes avec une sécurité faible, et il est probable que davantage de modèles dotés de ces capacités seront développés », ont écrit les auteurs du rapport.
Les sceptiques ont également souligné un précédent : en février 2019, OpenAI a également retardé la sortie de GPT-2 pour des raisons de sécurité, une décision que les critiques de l’époque avaient rejetée comme étant un outil de marketing.
Les banquiers seniors bénéficieront désormais d’un accès anticipé à Mythos afin qu’ils puissent sonder leurs propres défenses avant toute publication plus large. CS Venkatakrishnandirecteur général de Barclays, a déclaré à la BBC : “C’est suffisamment grave pour que les gens doivent s’inquiéter. Nous devons mieux le comprendre, et nous devons comprendre les vulnérabilités qui sont exposées et les corriger rapidement.” Il a ajouté qu’un système financier beaucoup plus interconnecté avait créé à la fois de nouvelles opportunités et de nouvelles expositions, prévenant : « C’est ce que sera le nouveau monde ».
Pour les petites et moyennes entreprises britanniques, qui dépendent chaque jour de l’intégrité des infrastructures bancaires, de paiement et du cloud, les implications sont considérables. Un cyberincident capable de déstabiliser un prêteur ou un organisme de paiement majeur pourrait se répercuter rapidement sur les chaînes d’approvisionnement des PME, affectant les flux de trésorerie, la facturation et la confiance des clients en quelques heures.
Anthropic a déjà signalé que Mythos avait découvert plusieurs vulnérabilités dans les principaux systèmes d’exploitation, les plateformes financières et les navigateurs Web. Les gouvernements et les banques se voient offrir un accès anticipé pour renforcer leurs défenses avant tout lancement public.
Andrew Bailey, gouverneur de la Banque d’Angleterre, a déclaré que cette évolution devait être traitée avec le plus grand sérieux. “Nous devons maintenant examiner très attentivement ce que ce dernier développement de l’IA pourrait signifier pour le risque de cybercriminalité”, a-t-il déclaré. “La conséquence pourrait être qu’il y ait un développement de l’IA, de la modélisation, qui facilite la détection des vulnérabilités existantes dans des systèmes informatiques de base, et alors évidemment les cybercriminels, les mauvais acteurs, pourraient chercher à les exploiter.”
Le Trésor américain a confirmé avoir soulevé la question directement auprès des grandes banques américaines, les exhortant à procéder à des tests internes avant toute publication. Des sources industrielles suggèrent en outre qu’une société américaine d’IA rivale pourrait bientôt dévoiler un modèle tout aussi puissant, mais sans garde-fous comparables.
Pour le secteur technologique britannique, la controverse pourrait s’avérer autant une ouverture qu’une menace. James Wise, associé chez Balderton Capital et président de la nouvelle unité Sovereign AI, un fonds de capital-risque de 500 millions de livres sterling soutenu par le gouvernement et ciblant les entreprises locales d’IA, a fait valoir que Mythos n’est que « le premier de nombreux modèles plus puissants » capables d’exposer les faiblesses systémiques.
S’adressant à l’émission Today de la BBC, il a déclaré que son unité « investissait dans des sociétés britanniques d’IA qui s’attaquent à ce problème, des sociétés travaillant dans la sécurité et la sûreté de l’IA », ajoutant : « Nous espérons que les modèles qui exposent les vulnérabilités sont également ceux qui les corrigeront. »
Pour les start-ups de l’IA et de la cybersécurité du pays, le message de Threadneedle Street et de Washington est sans équivoque : l’aspect défensif de la course aux armements en matière d’IA vient de devenir l’une des frontières commerciales les plus importantes de l’entreprise britannique.
Paul Jones
Ancien élève de Harvard et ancien journaliste du New York Times. Rédacteur en chef de Business Matters depuis plus de 15 ans, le plus grand magazine économique du Royaume-Uni. Je dirige également la division automobile de Capital Business Media et travaille pour des clients tels que Red Bull Racing, Honda, Aston Martin et Infiniti.
