Claude Mythos peut enchaîner quatre vulnérabilités du jour au lendemain. Le projet Glasswing d’Anthropic signale que le modèle de sécurité de Web3 est déjà obsolète.
Anthropic a discrètement confirmé quelque chose que l’industrie de la blockchain aurait dû redouter. Son modèle frontière inédit, Claude Mythos, a franchi un seuil que les chercheurs en sécurité ont passé des années à espérer ne jamais atteindre. Les ingénieurs n’ayant aucune expérience en matière de sécurité peuvent désormais le déclencher du jour au lendemain et se réveiller avec un exploit d’exécution de code à distance fonctionnel.
Ce n’est pas un avertissement pour l’avenir. C’est déjà arrivé.
Selon alicharts sur X, Mythos a identifié un bug vieux de 27 ans dans OpenBSD qui avait été manqué par les auditeurs humains pendant des décennies. Le même modèle a enchaîné quatre vulnérabilités distinctes pour échapper au bac à sable du navigateur. Cette tâche prend généralement des mois à des équipes humaines d’élite.
La chose Web3 refuse d’admettre
Anthropique a publié les détails directement. Le langage était délibéré et dur. Mythos Preview avait déjà découvert des milliers de vulnérabilités de grande gravité, dont certaines dans tous les principaux systèmes d’exploitation et navigateurs Web. Les protocoles blockchain, qui dépendent d’audits humains périodiques, se situent directement dans cette ligne de mire.
Le projet Glasswing est la réponse. Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks et la Linux Foundation se sont joints à cet effort. Anthropic a engagé jusqu’à 100 millions de dollars en crédits d’utilisation pour le déploiement défensif du modèle. Quatre millions de dollars supplémentaires ont été directement versés aux organisations de sécurité open source.
Le cadrage d’Anthropic était clair. Les capacités d’IA telles que Mythos proliféreront et atteindront des acteurs qui ne sont pas déterminés à les déployer en toute sécurité. Les conséquences sur la sécurité publique et nationale pourraient être graves.
Exploitez les revenus des attaques assistées par l’IA sur Contrats intelligents blockchaina doublé environ tous les 1,3 mois. Cette trajectoire est antérieure à la publication de Mythos.
Les audits périodiques sont déjà morts
Comme l’a noté Alicharts sur X, le modèle traditionnel d’examens de sécurité périodiques est terminé. Les protocoles blockchain qui n’intègrent pas de protection autonome contre l’IA dans leur pile seront mis à part par la prochaine génération d’agents antagonistes. Le post X a décrit Mythos comme un tueur de catégorie, spécifiquement en raison de sa capacité de chaîne d’attaque en plusieurs étapes.
Cela correspond à ce que PDF de recherche d’Anthropicmontre. L’étude Mythos Preview a signalé que l’accélération était suffisamment forte pour nécessiter une action immédiate, et non après la prochaine violation majeure du protocole.
Le Page d’aperçu de Glasswinga clairement formulé le problème principal : la capacité de codage de l’IA a dépassé tous les humains, sauf les plus compétents, dans la recherche et l’exploitation des vulnérabilités. Les protocoles Web3, dont beaucoup s’appuient encore sur des audits tiers peu fréquents, n’ont pas été conçus en tenant compte de ce modèle de menace.
Le protocole de prêt Moonwell DeFi a perdu environ 1,78 million de dollars dans un incident distinct mais connexe lié au code assisté par l’IA. L’auditeur de contrats intelligents Pashov a signalé sur X ce qu’il a décrit comme étant peut-être le premier exploit directement lié à Solidity codé par ambiance. L’examinateur humain a quand même signé. C’est l’écart qu’exploite Mythos. L’image complète de la façon dont Claude remodèle déjà l’audit du code Web3se développe depuis des mois.
Un effort de défense de 100 millions de dollars, aucune garantie
Quarante organisations supplémentaires qui construisent ou maintiennent une infrastructure logicielle critique ont obtenu un accès anticipé à Mythos Preview pour une analyse défensive. Anthropique était explicite. Aucune organisation ne peut résoudre ce problème à elle seule. Les capacités de Frontier AI devraient progresser considérablement au cours des prochains mois.
Web3 n’est pas nommément inclus dans la coalition Glasswing initiale. Cette absence est révélatrice.
La course entre les attaques assistées par l’IA et la défense assistée par l’IA est désormais le seul audit qui compte. Les protocoles blockchain reposant sur des examens de sécurité manuels fonctionnent avec un modèle qui était déjà obsolète avant l’annonce de Mythos.
Source : Live Bitcoin News
Laisser un commentaire