Les chercheurs de Mozilla ont rapporté en mars que Claude Opus 4.6 d’Anthropic avait identifié 14 bugs de haute gravité et 22 vulnérabilités et expositions communes (CVE) sur deux semaines, surpassant ainsi l’équipe humaine de Mozilla. Suite à cela, des chercheurs de la société de cybersécurité de Palo Alto, Calif, ont affirmé avoir utilisé une version d’essai du modèle Mythos d’Anthropic pour contourner la technologie de sécurité Apple macOS.
Les chercheurs californiens ont informé le Wall Street Journal qu’ils avaient exécuté un « exploit d’élévation de privilèges » combiné à un autre vecteur d’attaque, permettant un contrôle potentiel sur un appareil cible. Ils ont développé un logiciel reliant deux bogues distincts et ont utilisé des méthodes supplémentaires pour corrompre la mémoire d’un Mac et accéder aux zones restreintes de l’appareil.
La découverte de l’exploit a duré cinq jours et les chercheurs ont noté que le succès reposait non seulement sur Mythos mais aussi sur les compétences des testeurs humains. Apple examine actuellement les conclusions du rapport, un porte-parole déclarant : « La sécurité est notre priorité absolue et nous prenons très au sérieux les rapports faisant état de vulnérabilités potentielles. »
Anthropic avait lancé Mythos, initialement nommé Project Glasswing, en avril, donnant accès à une quarantaine d’entreprises technologiques sélectionnées. La société a déclaré que Mythos a identifié des milliers de vulnérabilités de haute gravité sur les principaux systèmes d’exploitation et navigateurs Web, mettant en garde contre de graves conséquences si ces outils sont utilisés à mauvais escient.
Michał Zalewski, chercheur en sécurité chez Google, a examiné les recherches de Calif mais n’a pas testé les résultats. Il a commenté le battage médiatique autour de Mythos, le décrivant comme étant peut-être « exagéré », tout en reconnaissant sa capacité à effectuer d’importantes recherches de vulnérabilités et à auditer le code.
Des inquiétudes sont apparues concernant la distribution de Mythos. Gary McGraw, ancien vice-président de Synopsys, a fait remarquer au New York Times que la technologie elle-même n’est pas trop dangereuse à diffuser. Il a souligné que le fait de refuser de tels outils ne résout pas les problèmes fondamentaux de la cybersécurité.
