La découverte automatisée des vulnérabilités de l’IA annule les coûts de sécurité des entreprises qui favorisent traditionnellement les attaquants.
Réduire les exploits à zéro était autrefois considéré comme un objectif irréaliste. La doctrine opérationnelle dominante visait à rendre les attaques si coûteuses que seuls les adversaires disposant de budgets fonctionnellement illimités pouvaient se les permettre, décourageant ainsi toute utilisation occasionnelle.
Cependant, la récente évaluation réalisée par l’équipe d’ingénierie de Mozilla Firefox – à l’aide de Claude Mythos Preview d’Anthropic – remet en question ce statu quo accepté.
Lors de leur évaluation initiale avec Claude Mythos Preview, l’équipe Firefox a identifié et corrigé 271 vulnérabilités pour sa version 150. Cela faisait suite à une collaboration antérieure avec Anthropic utilisant Opus 4.6, qui a généré 22 correctifs sensibles à la sécurité dans la version 148.
La découverte simultanée de centaines de vulnérabilités met à rude épreuve les ressources d’une équipe. Mais dans le climat réglementaire strict d’aujourd’hui, faire le gros du travail pour prévenir une violation de données ou une attaque de ransomware s’avère facilement rentable. L’analyse automatisée réduit également les coûts ; Comme le système vérifie en permanence le code par rapport aux bases de données de menaces connues, les entreprises peuvent réduire le recours à des consultants externes coûteux.
Surmonter les dépenses de calcul et les frictions d’intégration
L’intégration de modèles d’IA de pointe dans les pipelines d’intégration continue existants introduit de lourdes considérations en matière de coûts de calcul. L’exécution de millions de jetons de code propriétaire via un modèle tel que Claude Mythos Preview nécessite des dépenses en capital dédiées. Les entreprises doivent établir des environnements de bases de données vectorielles sécurisés pour gérer les fenêtres contextuelles nécessaires aux vastes bases de code, garantissant ainsi que la logique d’entreprise propriétaire reste strictement partitionnée et protégée.
L’évaluation du résultat nécessite également une atténuation rigoureuse des hallucinations. Un modèle générant des failles de sécurité faussement positives gaspille de coûteuses heures d’ingénierie humaine. Par conséquent, le pipeline de déploiement doit croiser les sorties du modèle avec les outils d’analyse statique existants et les résultats de fuzzing pour valider les résultats.
Les tests de sécurité automatisés s’appuient largement sur des techniques d’analyse dynamique, notamment le fuzzing, exécutées par les équipes rouges internes. Bien que le fuzzing soit très efficace, il pose problème avec certaines parties de la base de code. Les chercheurs d’élite en sécurité surmontent ces limitations en raisonnant manuellement sur le code source pour identifier les failles logiques. Ce processus manuel prend du temps et est limité par la rareté de l’expertise humaine d’élite.
L’intégration de modèles avancés élimine cette contrainte humaine. Les ordinateurs, totalement incapables de cette tâche il y a encore quelques mois, excellent désormais dans le raisonnement par code. Mythos Preview démontre la parité avec les meilleurs chercheurs en sécurité au monde. L’équipe d’ingénierie a noté qu’elle n’avait trouvé aucune catégorie ou complexité de défaut que les humains peuvent identifier et que le modèle ne peut pas identifier. Ce qui est également encourageant, c’est qu’ils n’ont vu aucun bug qui n’aurait pas pu être découvert par un chercheur humain d’élite.
Même si la migration vers des langages sécurisés en mémoire comme Rust permet d’atténuer certaines classes de vulnérabilités courantes, l’arrêt du développement pour remplacer des décennies de code C++ existant n’est pas financièrement viable pour la plupart des entreprises. Les outils de raisonnement automatisé offrent une méthode très rentable pour sécuriser les bases de code existantes sans encourir les dépenses exorbitantes d’une refonte complète du système.
Supprimer la contrainte de la découverte humaine
Un écart important entre ce que les machines peuvent découvrir et ce que les humains peuvent découvrir favorise grandement l’attaquant. Les acteurs hostiles peuvent concentrer des mois d’efforts humains coûteux pour découvrir un seul exploit. Combler l’écart de découverte rend l’identification des vulnérabilités peu coûteuse, érodant ainsi l’avantage à long terme de l’attaquant. Même si la première vague de failles identifiées semble terrifiante à court terme, elle constitue une excellente nouvelle pour la défense des entreprises.
Les fournisseurs de logiciels vitaux exposés sur Internet disposent d’équipes dédiées visant à protéger les utilisateurs. À mesure que d’autres entreprises technologiques adoptent des méthodes d’évaluation similaires, la norme de base en matière de responsabilité logicielle va changer. Si les modèles peuvent trouver de manière fiable des failles logiques dans une base de code, le fait de ne pas utiliser de tels outils pourrait bientôt être considéré comme une négligence de l’entreprise.
Il est important de noter que rien n’indique que ces systèmes inventent des catégories d’attaques entièrement nouvelles qui défient la compréhension actuelle. Les applications logicielles comme Firefox sont conçues de manière modulaire pour permettre à l’homme de raisonner sur l’exactitude. Le logiciel est complexe, mais pas arbitrairement complexe. Les défauts logiciels sont limités.
En adoptant des audits automatisés avancés, les leaders technologiques peuvent activement vaincre les menaces persistantes. L’afflux initial de données exige une concentration intense sur l’ingénierie et une redéfinition des priorités. Cependant, les équipes qui s’engagent dans les travaux de remédiation requis trouveront une conclusion positive au processus. L’industrie se tourne vers un avenir proche où les équipes de défense disposeront d’un avantage décisif.
