Pourquoi l'IA Mythos d'Anthropic inquiète régulateurs et banques centrales

Les régulateurs financiers des principales économies intensifient la surveillance d’un nouveau modèle d’intelligence artificielle puissant développé par Anthropic, face aux craintes croissantes que ses capacités avancées puissent exposer des vulnérabilités dans des systèmes financiers et numériques critiques.

Les autorités au Japon, en Europe, en Inde et dans d’autres régions coordonnent leurs réponses alors que le modèle, baptisé Mythos, soulève de nouvelles questions sur les risques de cybersécurité dans un monde de plus en plus piloté par l’IA.

Le Japon réunit les principaux établissements et régulateurs

Au Japon, la Financial Services Agency a indiqué mercredi qu’elle tiendrait vendredi une réunion de haut niveau avec les plus grands groupes bancaires du pays, notamment Mitsubishi UFJ Financial Group, Sumitomo Mitsui Financial Group et Mizuho Financial Group.

La réunion inclura également la Bank of Japan et la Tokyo Stock Exchange, ce qui reflète l’ampleur des inquiétudes au sein du système financier.

Satsuki Katayama a déclaré que l’objectif était de rassembler les principales parties prenantes pour évaluer l’évolution de la situation.

« Nous rassemblerons les acteurs centraux qui portent la plus grande responsabilité afin de partager des évaluations de la situation actuelle et d’échanger des points de vue, y compris sur des problèmes signalés dans diverses parties de la communauté financière internationale », a-t-elle déclaré.

Banques centrales mondiales en alerte

Des régulateurs d’autres régions prennent des mesures similaires.

La Reserve Bank of Australia a indiqué mercredi qu’elle suivait de près les développements et « collabor[ait] avec des régulateurs homologues, le gouvernement et des entités réglementées ».

De son côté, la Reserve Bank of New Zealand a décrit mercredi les risques comme « en développement » et a confirmé qu’elle coordonnait ses actions avec ses homologues nationaux et australiens.

L’Inde s’est également jointe à l’effort mondial.

Selon un reportage de Reuters, la Reserve Bank of India discute avec des régulateurs internationaux, des établissements de crédit et des responsables gouvernementaux pour évaluer les menaces potentielles.

Les évaluations préliminaires suggèrent que le modèle pourrait accélérer la découverte et l’exploitation de vulnérabilités logicielles, ce qui soulève des inquiétudes en matière de cybersécurité.

La question a atteint les plus hauts niveaux de la prise de décision mondiale.

Le ministre canadien des Finances, François-Philippe Champagne, a déclaré à la BBC que le modèle avait été évoqué lors d’une récente réunion du Fonds monétaire international à Washington.

« Cela mérite certainement l’attention de tous les ministres des Finances », a-t-il dit, qualifiant la technologie d’« inconnu inconnu ».

De même, le gouverneur de la Bank of England, Andrew Bailey, a averti que les autorités examinaient attentivement les implications.

« Nous devons désormais étudier très attentivement ce que ce dernier développement en IA pourrait signifier pour le risque de cybercriminalité », a-t-il déclaré à la BBC.

Une arme à double tranchant pour la cybersécurité

Bien que Mythos ait été conçu pour des applications défensives en cybersécurité, ses capacités ont suscité l’alarme.

Anthropic a déclaré que les premiers tests avaient révélé « des milliers » de vulnérabilités significatives dans les principaux systèmes d’exploitation et navigateurs web.

Mardi, le président de la Bundesbank, Joachim Nagel, a qualifié le modèle d’« arme à double tranchant ».

« Il pourrait servir non seulement à améliorer les systèmes de sécurité numériques, mais aussi à exploiter leurs vulnérabilités à des fins malveillantes. »

Les experts expliquent que le problème réside dans la vitesse et l’ampleur auxquelles un tel système d’IA peut identifier et exploiter des faiblesses—de loin supérieures aux réponses de sécurité traditionnelles.

Pourquoi Anthropic a-t-elle restreint l’accès au modèle ?

Anthropic a restreint l’accès au modèle via une initiative contrôlée appelée Project Glasswing.

Des organisations sélectionnées, dont Amazon, Microsoft, Nvidia et Apple, ont obtenu un accès anticipé, aux côtés de dizaines d’entités chargées de maintenir des infrastructures numériques critiques.

Dans une vidéo de lancement, Dario Amodei a indiqué que la société s’était proposée de collaborer avec les autorités américaines pour « aider à se défendre contre le risque que présentent ces modèles ».

Les tests menés par des chercheurs indépendants, y compris des équipes dites « red team », ont mis en évidence les capacités avancées du modèle.

Selon Anthropic, Mythos peut identifier de manière autonome des bugs critiques dans des systèmes anciens et même suggérer des méthodes pour les exploiter.

« Mythos Preview a déjà trouvé des milliers de vulnérabilités à haute gravité, y compris dans chaque grand système d’exploitation et navigateur web », a déclaré la société.

« Au rythme des progrès de l’IA, il ne faudra pas longtemps avant que de telles capacités se généralisent, potentiellement au-delà d’acteurs engagés à les déployer de façon sûre. »

Risques accrus dans les systèmes anciens

La menace potentielle est particulièrement aiguë dans les secteurs qui dépendent d’infrastructures complexes et vieillissantes.

Un rapport de Bain & Company note que des industries comme l’énergie, la production et les transports pourraient faire face à des risques accrus en raison de systèmes obsolètes difficiles à patcher.

Les banques sont également vulnérables, compte tenu de leur dépendance à des systèmes interconnectés, dont certains datent de plusieurs décennies.

Toutefois, le rapport souligne que les risques sont maîtrisables grâce à des pratiques de cybersécurité robustes.

« La menace est sérieuse, mais elle n’est pas insurmontable, et des fondations solides en cybersécurité constituent votre meilleure défense », indique le rapport, ajoutant que des protections existantes comme la segmentation des réseaux, les contrôles d’accès et la détection d’anomalies peuvent offrir une protection significative.

L’accent passe de la panique à la préparation

Plutôt que de se précipiter pour développer des défenses entièrement nouvelles spécifiques à l’IA, les experts estiment que les organisations devraient prioriser le renforcement des cadres de sécurité existants.

Parmi les recommandations figurent la mise en place d’équipes dédiées à la réponse aux menaces liées à l’IA, l’amélioration des mesures de cybersécurité de base et la résolution des vulnérabilités dans les environnements de technologie opérationnelle.

À mesure que l’accès à des systèmes d’IA puissants se généralise, régulateurs et entreprises se trouvent face à un exercice d’équilibre : tirer parti des avantages de l’innovation tout en se protégeant contre des conséquences inattendues.

La réaction mondiale rapide à Mythos suggère que les décideurs sont pleinement conscients des enjeux.

Reste à savoir si ces premières initiatives suffiront à atténuer les risques posés par l’IA de nouvelle génération.