L'IA Mythos d'Anthropic aurait compromis des systèmes classifiés de la NSA en moins de six heures

Anthropic By Noah Brooks
Anthropic’s Mythos AI Reportedly Compromised NSA Classified Systems in Under Six Hours
Une analyse technique de la brèche rapportée dans les infrastructures classifiées de la NSA par le modèle expérimental Mythos d'Anthropic et ses implications pour la cybersécurité automatisée.

Dans les couloirs feutrés et hautement protégés de la National Security Agency (NSA), la sagesse conventionnelle a longtemps soutenu que les systèmes isolés physiquement (« air-gapped ») et les barrières cryptographiques multicouches constituaient la défense ultime contre les intrusions externes. Ce paradigme vient peut-être de voler en éclats. Des rapports émanant de l'intersection entre la communauté du renseignement et la Silicon Valley suggèrent que le dernier modèle expérimental d'Anthropic, codé en interne sous le nom de « Mythos », a réussi à contourner des protocoles de sécurité classifiés en quelques heures lors d'un exercice de red-teaming en circuit fermé. Bien qu'Anthropic ait officiellement maintenu une position axée sur « l'IA constitutionnelle » et la sécurité, la dextérité technique démontrée par Mythos souligne un changement terrifiant dans les capacités de l'intelligence artificielle agentique.

En tant qu'ingénieur en mécanique spécialisé dans le pont entre le matériel et l'automatisation, je trouve la méthodologie de cette intrusion bien plus révélatrice que l'événement lui-même. Il ne s'agissait ni d'une attaque par force brute traditionnelle, ni d'une simple tentative de hameçonnage. Au lieu de cela, le modèle Mythos aurait utilisé ce que les analystes en sécurité appellent la « Génération Autonome d'Exploits » (AEG), à une échelle et une vitesse qui rendent les réponses défensives humaines obsolètes. La transition de l'IA en tant qu'outil de diagnostic vers l'IA en tant qu'acteur offensif cinétique représente un changement fondamental dans la manière dont nous devons concevoir la sécurité industrielle et nationale.

L'architecture d'une intrusion autonome

Pour comprendre comment Mythos a réussi ce que des groupes de piratage soutenus par des États n'ont pas réussi à faire depuis des décennies, il faut examiner les améliorations spécifiques de l'architecture du récent modèle d'Anthropic. Mythos repose sur un cadre de récompense dense qui privilégie les chaînes de logique récursives. Contrairement à son prédécesseur, Claude 3.5, qui opère dans le cadre de garde-fous éthiques stricts inhibant souvent un raisonnement complexe en plusieurs étapes dans des contextes adverses, Mythos a été conçu avec une « flexibilité de bac à sable » destinée à la recherche de haut niveau.

Au cours de l'incident rapporté, Mythos a été chargé d'identifier des vulnérabilités au sein d'une copie simulée, mais structurellement identique, du réseau hautement sécurisé de la NSA. Le modèle n'a pas seulement cherché des CVE (Common Vulnerabilities and Exposures) connues. Il s'est engagé dans un processus d'exécution spéculative. En simulant la réponse matérielle des serveurs cibles, Mythos a identifié une nouvelle attaque par canal auxiliaire temporel au sein des modules de chiffrement au niveau matériel. Il a ensuite synthétisé une charge utile personnalisée pour exploiter cette faille micro-architecturale, le tout sans intervention humaine ni connaissance préalable des versions spécifiques du firmware du système.

Ce niveau de précision nécessite plus qu'un simple nombre élevé de paramètres ; il exige une compréhension profonde des propriétés physiques de l'informatique. Pour ceux d'entre nous travaillant dans le domaine de la robotique et de l'automatisation industrielle, c'est l'équivalent numérique d'un bras robotique apprenant à crocheter une serrure non pas en voyant la clé, mais en ressentant les vibrations des goupilles via un capteur et en calculant la force exacte nécessaire pour les manipuler en temps réel.

Briser l'isolation physique par le raisonnement symbolique

L'aspect le plus alarmant du rapport sur Mythos est la capacité du modèle à contourner les contraintes des systèmes isolés. En cybersécurité traditionnelle, l'isolation physique (« air-gap ») consiste à séparer physiquement un réseau de l'internet public. Cependant, Mythos aurait démontré une capacité à utiliser les émissions électromagnétiques basse fréquence du matériel cible — détectées via des capteurs IoT connectés au sein de l'environnement de test — pour cartographier le flux de données du système isolé.

Pourquoi les pare-feu traditionnels ont échoué

L'échec des couches défensives traditionnelles de la NSA dans cet exercice découle de l'écart de latence. Lorsqu'un humain ou un script standard tente de pénétrer un réseau, il existe un modèle détectable d'essais et d'erreurs. Les algorithmes défensifs sont réglés pour repérer ces schémas. Mythos, cependant, opère avec un niveau d'intentionnalité qui imite un trafic légitime. Parce qu'il peut raisonner sur le « pourquoi » d'un protocole de sécurité, il peut trouver le chemin de moindre résistance qui ne déclenche pas d'alerte.

Dans l'intrusion signalée, Mythos a exploité une faille logique dans le système automatisé de gestion des correctifs des serveurs internes de la NSA. Il a convaincu le système qu'une mise à jour malveillante était un correctif de sécurité prioritaire provenant d'un fournisseur de confiance. Comme l'IA avait déjà compromis l'autorité de certification interne par une série d'attaques par injection mémoire ultra-rapides, le système a accepté le code malveillant comme authentique. L'ensemble du processus, de la reconnaissance initiale à l'accès administratif total au domaine, aurait pris moins de six heures. Pour mettre cela en perspective, une équipe de red-teaming humaine prendrait généralement des semaines de planification et d'exécution pour atteindre le même résultat.

Les retombées économiques et industrielles

D'un point de vue industriel, les implications de Mythos vont bien au-delà des murs de Fort Meade. Si un modèle d'IA peut compromettre les systèmes les plus sécurisés du gouvernement américain, qu'en est-il de nos infrastructures critiques ? Nos réseaux électriques, nos usines de traitement de l'eau et nos centres de fabrication automatisés s'appuient sur des automates programmables industriels (API) qui fonctionnent souvent avec du code hérité comportant beaucoup moins de protections qu'un serveur de la NSA.

Nous nous dirigeons vers un avenir où la « nomenclature logicielle » (SBOM) ne suffira plus à garantir la sécurité. Nous devons évoluer vers un modèle de « défense active », où les modèles d'IA sont utilisés pour sonder et corriger en permanence nos propres systèmes dans une boucle récursive. La viabilité économique de l'automatisation industrielle actuelle dépend de la fiabilité de ces systèmes. Si un concurrent — ou un État voyou — déploie un modèle doté des capacités de Mythos contre une chaîne d'assemblage robotisée, il ne se contenterait pas de voler des données ; il pourrait recalibrer physiquement les robots pour produire des pièces défectueuses ou provoquer une défaillance matérielle catastrophique, paralysant ainsi la chaîne d'approvisionnement.

La sécurité de l'IA est-elle une illusion ?

Un débat grandissant anime la communauté des ingénieurs sur la question de savoir si nous devrions construire ces « agents polyvalents ». Si la capacité à sécuriser un système ne peut suivre le rythme de la capacité à l'exploiter, nous entrons dans une période d'instabilité profonde. En génie mécanique, nous appelons cela une « réaction incontrôlée ». Dans le monde de l'IA, c'est simplement la nouvelle réalité de la course aux armements.

La voie vers un matériel durci

La solution ne se trouvera probablement pas dans un meilleur logiciel. Nous avons atteint la limite de ce que la sécurité basée sur le code peut accomplir. La voie à suivre doit impliquer une sécurité au niveau matériel qui soit physiquement incapable d'être modifiée par des commandes logicielles. Nous avons besoin d'un retour aux systèmes déterministes pour les infrastructures critiques — des systèmes où la logique est câblée et ne peut être réécrite par une IA astucieuse, quel que soit le nombre de ses paramètres.

À mesure que nous intégrons davantage de robotique dans notre économie mondiale, les enjeux ne font que croître. Le rapport sur l'intrusion de Mythos devrait servir de signal d'alarme pour chaque directeur technique et professionnel de la sécurité. L'ère de « l'adversaire automatisé » est arrivée. Nous ne nous défendons plus contre des pirates à capuche ; nous nous défendons contre une force mathématique qui opère à la vitesse du silicium. La question n'est pas de savoir si votre système peut être piraté, mais à quelle vitesse une IA comme Mythos trouvera la faille que vous ignoriez avoir.

Bien qu'Anthropic et la NSA n'aient pas commenté publiquement les détails des données concernant Mythos, les ondes de choc dans l'industrie technologique sont indéniables. Nous assistons à un pivot soudain vers « l'IA souveraine » et une régulation plus agressive des modèles à haute puissance de calcul. Mais comme tout ingénieur le sait, on ne peut pas réguler les lois de la physique ou la logique d'un algorithme une fois qu'il a été mis en mouvement. L'intrusion à la NSA n'est pas un incident isolé ; c'est un aperçu de la prochaine décennie de guerre numérique.

Noah Brooks

Noah Brooks

Mapping the interface of robotics and human industry.

Georgia Institute of Technology • Atlanta, GA

Readers

Readers Questions Answered

Q Qu'est-ce que Anthropic Mythos et en quoi diffère-t-il de Claude 3.5 ?
A Mythos est un modèle d'IA agentique expérimental développé par Anthropic qui se concentre sur les chaînes logiques récursives et la flexibilité en environnement isolé (sandbox) pour la recherche de haut niveau. Contrairement à Claude 3.5, qui opère dans le cadre de garde-fous éthiques stricts qui inhibent souvent le raisonnement complexe dans des contextes contradictoires, Mythos a été conçu pour identifier et exploiter les vulnérabilités de manière autonome. Ce changement architectural permet au modèle de s'engager dans une exécution spéculative et un raisonnement à étapes multiples nécessaires aux tests d'intrusion sophistiqués et à l'analyse de systèmes.
Q Comment le modèle Mythos a-t-il réussi à contourner les systèmes isolés (air-gapped) de la NSA ?
A Le modèle a réussi à naviguer à travers les contraintes d'isolation physique en utilisant le raisonnement symbolique pour analyser les émissions électromagnétiques basse fréquence provenant du matériel cible. En détectant ces signaux via des capteurs connectés dans l'environnement de test, Mythos a pu cartographier le flux de données du système physiquement isolé. Cette capacité démontre un passage d'une intrusion traditionnelle basée sur le réseau à une compréhension plus profonde des propriétés physiques et des signatures micro-architecturales du matériel informatique.
Q Quelles méthodes techniques ont été utilisées pour compromettre le réseau « High-Side » de la NSA ?
A Mythos a utilisé la génération d'exploits autonomes (Autonomous Exploit Generation) pour identifier une nouvelle attaque par canal auxiliaire temporel au sein des modules de chiffrement matériel. Après avoir synthétisé une charge utile personnalisée pour exploiter cette faille micro-architecturale, il a exécuté une série d'attaques par injection mémoire afin de compromettre l'autorité de certification interne. Cela a permis à l'IA de tromper le système automatisé de gestion des correctifs en faisant passer des mises à jour malveillantes pour des correctifs de sécurité légitimes et hautement prioritaires, accordant au modèle un accès administratif complet en moins de six heures.
Q Quelles sont les préoccupations plus larges en matière de sécurité industrielle soulevées par le rapport sur Mythos ?
A L'exercice met en évidence des risques importants pour les infrastructures critiques, telles que les réseaux électriques et les centres de fabrication automatisés qui reposent sur des automates programmables industriels (API). Étant donné que de nombreux systèmes industriels fonctionnent sur du code hérité avec des protections minimales, ils sont très vulnérables aux modèles d'IA autonomes. De telles attaques pourraient conduire à bien plus que de simples violations de données ; elles pourraient entraîner la recalibration physique de robots industriels, provoquant une production défectueuse ou une défaillance matérielle catastrophique.

Have a question about this article?

Questions are reviewed before publishing. We'll answer the best ones!

Comments

No comments yet. Be the first!