Anthropic enquête sur un accès signalé à Mythos

Anthropic enquête sur un signalement selon lequel un groupe d’utilisateurs non autorisés a obtenu l’accès à Claude Mythos Preview, un outil d’IA axé sur la cybersécurité que l’entreprise n’avait rendu disponible qu’à certains fournisseurs sélectionnés. La société a déclaré à TechCrunch qu’elle examinait des allégations selon lesquelles l’accès serait passé par l’environnement d’un fournisseur tiers, tout en précisant n’avoir trouvé aucune preuve que ses propres systèmes aient été touchés.

Ce signalement est important parce que Mythos n’est pas un chatbot grand public. Anthropic a décrit le produit comme un outil de sécurité destiné aux entreprises, suffisamment capable pour être détourné, entre de mauvaises mains, en outil de piratage offensif. Ce profil à double usage explique pourquoi le déploiement restreint compte : les contrôles d’accès font partie du modèle de sécurité, et pas seulement d’un choix commercial de mise sur le marché.

Comment l’accès aurait été obtenu

Selon les éléments sources, Bloomberg a rapporté que des membres d’un forum privé en ligne avaient obtenu l’accès à Mythos par l’intermédiaire d’un fournisseur tiers. Les personnes concernées n’ont pas été identifiées publiquement. L’une des personnes citées dans le rapport travaillerait pour un sous-traitant tiers lié à Anthropic, et le groupe aurait utilisé l’accès de cette personne dans le cadre de son اقدام.

Le groupe aurait aussi fait une estimation éclairée de l’emplacement en ligne du modèle à partir de schémas antérieurs de nommage ou de localisation utilisés par Anthropic pour d’autres modèles. Bloomberg aurait vu des captures d’écran et une démonstration en direct de l’outil. Il aurait été indiqué que le groupe avait accédé à Mythos le jour même de son annonce publique et l’avait ensuite utilisé régulièrement.

Indie game Screenbound gets a date and a live demo
More in News

Le jeu indépendant Screenbound obtient une date de sortie et une démo jouable

Screenbound, le très attendu jeu de plateforme « 5D » qui partage l’action entre une console portable en 2D et un monde en 3D, sortira le 10 septembre, avec une démo déjà disponible.

Read article

Pourquoi l’incident est important

Pour les entreprises d’IA, cet incident illustre un problème familier sous une forme plus aiguë : un modèle peut être protégé au cœur tout en restant exposé via l’écosystème plus large qui l’entoure. Les environnements de fournisseurs, les sous-traitants, les programmes de préversion et les déploiements précoces avec des partenaires multiplient les endroits où les identifiants d’accès et les détails de routage peuvent fuiter ou être mal utilisés.

La position actuelle d’Anthropic est plus étroite que l’affirmation du rapport. L’entreprise ne dit pas que ses systèmes ont été compromis. Elle dit qu’elle enquête sur un signalement impliquant un environnement de fournisseur tiers et qu’elle n’a pas vu de preuve que l’activité ait affecté les systèmes d’Anthropic. Cette distinction compte, mais elle n’efface pas le risque opérationnel. Pour des systèmes d’IA restreints, une utilisation non autorisée via un partenaire peut malgré tout compromettre l’objectif d’un déploiement contrôlé.

Mythos aurait été diffusé à un groupe restreint de fournisseurs, dont Apple, dans le cadre d’une initiative appelée Project Glasswing. Ce déploiement limité visait à réduire la probabilité que des acteurs malveillants utilisent l’outil. Si un groupe privé a obtenu l’accès via un canal fournisseur juste après l’annonce, cela soulève des questions sur la manière dont les déploiements de préversion sont surveillés, sur le périmètre des accès, et sur la rapidité avec laquelle une utilisation suspecte peut être détectée.

Le défi plus large de la sécurité de l’IA

Le rapport pointe aussi un enjeu culturel autour des systèmes d’IA non publiés. Les éléments sources décrivent un canal Discord dont les membres cherchent des informations sur des modèles d’IA non annoncés. La personne citée dans le rapport a présenté le groupe comme intéressé par l’expérimentation de nouveaux modèles plutôt que par le fait de causer du tort. Même si cette description est exacte, l’expérimentation non autorisée avec un outil de cybersécurité crée un scénario plus risqué que la simple curiosité autour d’un chatbot standard.

Les produits de sécurité d’IA pour les entreprises doivent être suffisamment utiles pour analyser les menaces, automatiser les enquêtes et aider les défenseurs. Ces mêmes capacités peuvent devenir dangereuses si elles sont détournées vers la reconnaissance ou l’exploitation. Cette tension fait de la discipline de lancement un élément central de la sécurité produit. Elle signifie aussi que les fournisseurs participant aux préversions font partie du périmètre de sécurité.

Pour Anthropic, la tâche immédiate consiste à déterminer ce qui s’est passé, si une voie d’accès reste ouverte, et si les contrôles autour des environnements tiers étaient suffisants. Pour l’ensemble du secteur, l’épisode rappelle que la gouvernance de l’IA de pointe dépend de détails opérationnels ordinaires : identifiants, sous-traitants, autorisations des fournisseurs, journaux et conventions de nommage internes.

À ce stade, l’incident n’a pas été décrit comme une violation des propres systèmes d’Anthropic. Néanmoins, l’accès rapporté à Mythos montre à quelle vitesse des outils d’IA restreints peuvent devenir des cibles dès que leur existence est connue.

Cet article est basé sur le reportage de TechCrunch. Lire l’article original.

New iOS 27 designs reportedly coming to these iPhone apps - 9to5Mac
More in News

Les rumeurs sur iOS 27 laissent entrevoir des changements de design plus larges pour les apps

Un rapport indique qu’iOS 27 d’Apple apportera des changements de design à plusieurs apps de l’iPhone lors de la présentation du logiciel dans les prochains jours.

Read article

Originally published on techcrunch.com