Anthropic a subi un revers embarrassant concernant la sécurité de son nouveau modèle d'intelligence artificielle, Mythos. Malgré des semaines d'insistance sur la dangerosité du système et la nécessité de le garder hors de portée du public, un petit groupe d'utilisateurs non autorisés a réussi à y accéder dès le premier jour de sa distribution restreinte. Cette faille de sécurité, largement médiatisée par Bloomberg, porte un coup direct à la réputation d'Anthropic, une entreprise qui construit son identité sur la rigueur en matière de sécurité de l'IA et les capacités cybernétiques de ses modèles. L'attaque technologique s'est révélée remarquablement basique. Les intrus n'ont pas utilisé d'exploit sophistiqué pour voler le modèle, mais ont plutôt effectué une devinette éclairée basée sur des informations issues d'une fuite précédente concernant Mercor, un fournisseur de données d'entraînement pour l'IA. En combinant ces données avec l'accès personnel qu'un membre du groupe obtenait par le biais de travaux contractuels pour Anthropic, ils ont localisé et accédé au système de Mythos. Bien que la responsabilité initiale des informations fuyées revienne à Mercor, les experts en sécurité soulignent qu'Anthropic aurait dû anticiper ce type de scénario standard après avoir connu la compromission de ses données. L'incident soulève également des questions sur la surveillance interne d'Anthropic. Le company dispose de capacités de journalisation et de suivi de l'utilisation du modèle, ce qui aurait permis de détecter plus rapidement un accès non autorisé, surtout dans le cadre d'un déploiement aussi limité que prévu. Le fait que la fuite ait été révélée par un journaliste plutôt que par les équipes d'Anthropic suggère une surveillance insuffisante. Par ailleurs, les utilisateurs du groupe n'ont pas utilisé les capacités offensives du modèle pour des attaques, préférant probablement éviter d'alerter Anthropic, ce qui a évité des conséquences immédiates plus graves. Le préjudice pour Anthropic réside principalement dans l'incohérence entre son discours et la réalité. L'entreprise a présenté Mythos comme un moment charnière pour la sécurité informatique, capable de détecter des vulnérabilités dans tous les grands systèmes d'exploitation, justifiant ainsi sa restriction d'accès pour permettre au monde de renforcer ses défenses. Cependant, la manière dont un modèle décrit comme trop dangereux a été compromis par des moyens élémentaires et prévisibles jure avec cette image de prouesse technologique et de responsabilité absolue. Cette situation n'est pas le premier incident de ce type. La simple existence de Mythos avait déjà été révélée par erreur via un dépôt de données non sécurisé. Pour une entreprise qui se positionne comme le leader incontesté de la sécurité de l'IA, ces erreurs répétées et basiques sont difficiles à justifier. Comme le résume Pia Hüsch de l'Institut Royal des Services Unis, l'incident est une humiliation : Anthropic prétend être à la pointe de ces technologies tout en agissant avec une négligence flagrante face à des risques qu'elle aurait dû mieux maîtriser. Alors que l'entreprise enquêtera sur ses chaînes d'approvisionnement, cet épisode sert de rappel que la sécurité absolue est un idéal inaccessible, surtout lorsque la confiance publique est fondée sur des promesses de sécurité absolue.