Anthropic va briefer les membres du Financial Stability Board (FSB) sur les vulnérabilités de cybersécurité mises au jour par son modèle d’IA Mythos, selon le Financial Times cité par ITHome. L’audition doit couvrir des faiblesses affectant la résilience du système financier mondial, avec un accent sur la surface d’attaque logicielle critique.
Mythos, un modèle orienté défense qui inquiète les régulateurs
Dévoilé en avril, Claude Mythos Preview est présenté par Anthropic comme un modèle dédié à la défense, pensé pour identifier et aider à corriger des failles dans des composants largement déployés : systèmes d’exploitation, navigateurs et logiciels courants. L’éditeur affirme avoir repéré « des milliers » de vulnérabilités majeures grâce à ce modèle, une ampleur qui a fait réagir plusieurs autorités.
Le gouverneur de la Banque d’Angleterre, Andrew Bailey, a appelé banques centrales et superviseurs à mesurer rapidement l’impact potentiel de Mythos, y compris le risque que la publication ou l’industrialisation de découvertes de failles devienne un multiplicateur de menaces. Le FSB prépare par ailleurs un rapport de « bonnes pratiques » sur l’usage de l’IA dans la finance, attendu en consultation publique le mois prochain.
Un brief focalisé sur la surface critique des institutions
La session avec le FSB doit couvrir des vecteurs directement pertinents pour les infrastructures financières : exposition des postes clients et serveurs via les navigateurs, dépendances logicielles en production, et défauts de durcissement au niveau des OS utilisés dans les environnements bancaires. L’objectif affiché est de prioriser les correctifs et de cadrer la divulgation pour éviter un effet d’armement involontaire.
Le contexte alimente un débat connu des équipes sécurité : l’automatisation de la recherche de vulnérabilités par IA peut accélérer la remédiation, mais aussi le repérage à grande échelle de combinaisons d’exploits. La granularité des informations partagées au FSB et le calendrier de divulgation coordonnée seront déterminants pour limiter l’exposition des acteurs systémiques.
Si Anthropic parvient à démontrer que Mythos améliore la détection sans accroître la surface de fuite d’informations exploitables, les régulateurs pousseront probablement vers des cadres de divulgation plus stricts et une priorisation des patchs sur les piles logicielles communes au secteur. À l’inverse, un signal de risque élevé pourrait accélérer des exigences de segmentation, de durcissement OS et de validation préalable des outils IA utilisés dans les chaînes de développement et d’exploitation.
Source : ITHome
