Quand une IA enchaîne les bugs pour fabriquer des exploits réels

Génération automatique d’exploits de démonstration

Autre capacité notable : la création automatique de proof‑of‑concept (PoC), c’est‑à‑dire du code qui démontre concrètement qu’une vulnérabilité peut être exploitée.

Selon les observations de Cloudflare, Mythos peut :

• écrire du code destiné à déclencher la faille ;
• le compiler et l’exécuter dans un environnement de test ;
• analyser les résultats ;
• ajuster la méthode si l’exploit échoue.

Ce processus itératif permet au modèle de passer de la détection d’un bug à la validation pratique de son exploitabilité, souvent avec très peu d’intervention humaine.

Dans la pratique, cette étape est cruciale : c’est elle qui permet aux équipes de sécurité de savoir si une vulnérabilité est réellement dangereuse ou simplement théorique.

Des capacités avancées d’analyse d’exploits

La documentation d’Anthropic sur Mythos Preview mentionne aussi d’autres capacités observées lors de tests internes, notamment :

• la découverte de vulnérabilités zero‑day dans des projets open source ;
• l’analyse et la reconstruction de techniques d’exploit sur des logiciels fermés ;
• la transformation de vulnérabilités N‑day (connues mais non corrigées) en exploits fonctionnels.

Ces caractéristiques indiquent que le modèle est conçu moins comme un assistant de programmation classique que comme un outil spécialisé pour l’analyse structurée des vulnérabilités.

Les limites observées pendant les tests

Malgré ces capacités impressionnantes, les chercheurs de Cloudflare ont identifié plusieurs faiblesses importantes.

Faux positifs

Le modèle signale parfois des vulnérabilités qui ne sont pas réellement exploitables ou qui sont mal classifiées. Les projets écrits dans des langages dits memory‑unsafe comme C ou C++ génèrent particulièrement ce type d’erreurs, ce qui signifie qu’une validation humaine reste indispensable.

Refus de tâches incohérents

Cloudflare a également observé un comportement de sécurité irrégulier. Dans certains cas, le modèle identifie un chemin d’exploitation mais refuse ensuite d’en produire la démonstration à cause de ses garde‑fous internes. Dans d’autres cas, il va plus loin avant de s’arrêter.

Ces variations montrent la difficulté d’équilibrer capacité de recherche en sécurité et prévention des abus.

Pourquoi ces résultats comptent pour la cybersécurité

Les conclusions de Cloudflare illustrent un changement possible dans la recherche de vulnérabilités.

Pour les équipes de défense, un système comme Mythos pourrait :

• détecter des chaînes de vulnérabilités complexes que les scanners traditionnels manquent ;
• vérifier rapidement si un bug est exploitable ;
• aider à prioriser les correctifs les plus urgents.

Mais les mêmes capacités peuvent aussi présenter des risques. Si une IA peut passer automatiquement de la découverte d’un bug à un exploit fonctionnel, la barrière technique pour lancer des attaques sophistiquées pourrait diminuer fortement.

Cloudflare souligne ainsi que se contenter d’accélérer la publication de correctifs ne suffira peut‑être plus dans un monde où l’IA accélère aussi la découverte et l’exploitation des failles.

Le dilemme du “double usage” de l’IA

Claude Mythos Preview illustre un problème classique dans les technologies de sécurité : le double usage.

• Pour les défenseurs, l’outil peut aider à découvrir et corriger des vulnérabilités avant qu’elles ne soient exploitées.
• Pour des acteurs malveillants, les mêmes capacités pourraient automatiser la création d’attaques.

C’est pour cette raison que le modèle n’est pas disponible publiquement. Il est actuellement accessible uniquement à certaines organisations dans le cadre du programme Project Glasswing, destiné à des tests de sécurité défensive.

Les tests de Cloudflare suggèrent ainsi que les modèles d’IA commencent à dépasser l’assistance au développement logiciel pour atteindre la découverte et l’exploitation complète de vulnérabilités — une évolution qui pourrait transformer la cybersécurité dans les années à venir.