Anthropic avertit que les cyberattaques pilotées par l'IA vont exploser d'ici 24 mois
Zach Anderson 10 avr. 2026 23:18
Anthropic publie des directives de sécurité alors que le projet Glasswing révèle que les modèles d'IA de pointe peuvent désormais détecter et exploiter les vulnérabilités plus rapidement que les défenseurs humains.
Anthropic a publié une évaluation sobre cette semaine : d'ici deux ans, les modèles d'IA découvriront un nombre considérable de vulnérabilités logicielles restées inaperçues dans le code pendant des années — et les enchaîneront en exploits fonctionnels. Les équipes de sécurité de l'entreprise ont publié des recommandations défensives détaillées aux côtés du projet Glasswing, leur initiative visant à déployer les capacités de Claude Mythos Preview pour la cyberdéfense.
Le calcul n'est pas compliqué. Si les attaquants peuvent utiliser des modèles de pointe pour automatiser la découverte de vulnérabilités et la génération d'exploits, l'intervalle entre la publication d'un correctif et l'apparition d'un exploit fonctionnel se réduit considérablement. Les ingénieurs en sécurité d'Anthropic ont observé cela dans leurs propres tests.
Ce que leur recherche a réellement découvert
Selon les conclusions techniques d'Anthropic, les modèles d'IA excellent dans la reconnaissance des signatures de vulnérabilités connues dans les systèmes non corrigés. Inverser un correctif en un exploit fonctionnel — exactement le type d'analyse mécanique que ces modèles gèrent bien — nécessitait auparavant des compétences spécialisées. Désormais, cela devient automatisé.
L'entreprise a noté que les modèles accessibles publiquement en dessous des niveaux de capacité Mythos peuvent déjà trouver des vulnérabilités sérieuses que les revues de code traditionnelles ont manquées pendant de longues périodes. Les vulnérabilités de Mozilla Firefox découvertes par analyse IA constituent un exemple documenté.
Le manuel défensif
Les recommandations d'Anthropic privilégient les contrôles qui tiennent même face à des attaquants disposant d'une patience illimitée et d'une assistance IA. Les mesures de sécurité basées sur la friction — rebonds de pivotement supplémentaires, limites de débit, ports non standard — perdent en efficacité lorsque les adversaires peuvent automatiquement franchir des étapes fastidieuses.
Leurs principales priorités :
La vitesse de correction compte plus que jamais. Les applications exposées sur Internet devraient recevoir des correctifs dans les 24 heures suivant la disponibilité d'un exploit. Le catalogue CISA des vulnérabilités exploitées connues devrait être traité comme une file d'urgence. Anthropic recommande d'utiliser EPSS (Exploit Prediction Scoring System) pour prioriser tout le reste.
Préparez-vous à un volume de rapports de vulnérabilité multiplié par 10. Au cours des deux prochaines années, les processus de réception et de triage feront face à une pression jamais connue. Les organisations qui organisent encore des réunions hebdomadaires par tableur ne tiendront pas le rythme.
Analysez votre propre code avec des modèles de pointe avant que les attaquants ne le fassent. C'était la recommandation la plus soulignée par Anthropic. Le code hérité antérieur aux pratiques de révision actuelles — en particulier le code dont les auteurs originaux sont partis — représente la cible de plus grande valeur pour une analyse proactive.
Le Zero Trust devient réalité
Les directives poussent fortement vers des identifiants liés au matériel et une isolation des services basée sur l'identité. Un serveur de build compromis ne devrait pas atteindre les bases de données de production. Un ordinateur portable compromis ne devrait pas toucher l'infrastructure de build.
Les clés API statiques, les identifiants intégrés et les mots de passe de comptes de service partagés sont décrits comme "parmi les premières choses qu'un attaquant avec une analyse de code assistée par modèle trouvera."
Pour les petites opérations
Les organisations sans équipes de sécurité dédiées ont reçu des conseils spécifiques : activer les mises à jour automatiques partout, privilégier les services gérés par rapport à l'auto-hébergement, utiliser des clés d'identification ou des clés de sécurité matérielles, et activer les outils de sécurité gratuits des hébergeurs de code comme Dependabot et CodeQL de GitHub.
Les mainteneurs open-source devraient s'attendre à un volume accru de rapports de vulnérabilités — certains précieux, d'autres du bruit automatisé. Publier un fichier SECURITY.md avec des processus de réception clairs aide à séparer le signal du spam.
Anthropic s'est engagée à mettre à jour ces directives au fur et à mesure de la progression du projet Glasswing. Pour les entreprises suivant la conformité SOC 2 et ISO 27001, la plupart des recommandations correspondent directement aux contrôles existants. La différence maintenant est l'urgence.
Source de l'image : Shutterstock- cybersécurité
- intelligence artificielle
- anthropic
- claude
- sécurité d'entreprise
