GPT-5.5 d'OpenAI rivalise avec Claude Mythos d'Anthropic en matière de capacités de cyberattaque : la cybermenace représentée par Mythos ne serait pas une avancée propre à un seul modèle

Une agence gouvernementale britannique a découvert que le tout dernier modèle d'IA d'OpenAI est capable de mener de manière autonome des cyberattaques complexes et qu'il a réussi un défi de rétro-ingénierie en un peu plus de 10 minutes, alors qu'il avait fallu environ 12 heures à un expert en sécurité humain. L'AI Security Institute (AISI), un organisme de recherche rattaché au ministère britannique des Sciences, de l'Innovation et de la Technologie, a publié des conclusions montrant que le GPT-5.5 figure parmi les modèles les plus performants qu'il ait évalués en matière de capacités cyberoffensives, ce qui le place à peu près au même niveau que le très vanté Claude Mythos d'Anthropic.

Anthropic PBC est une entreprise américaine spécialisée dans l'intelligence artificielle (IA) dont le siège social est situé à San Francisco. Elle a développé une famille de grands modèles de langage (LLM) baptisée Claude. Anthropic fonctionne comme une société d'intérêt public qui mène des activités de recherche et de développement en IA afin « d'étudier leurs propriétés de sécurité à la frontière technologique » et d'utiliser ces recherches pour déployer des modèles sûrs destinés au grand public.

Fin mars, le modèle d'IA Claude Mythos d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Mais Anthropic a déclaré quelque jours plus tard qu'il ne commercialiserait pas Mythos au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a déclaré Anthropic.

Dans le cadre de ce programme, Mozilla, le développeur du navigateur Firefox, a déclaré qu’une première version du modèle d’IA Claude Mythos d’Anthropic avait permis d’identifier 271 vulnérabilités dans le navigateur lors de tests internes. Mozilla a rapporté : « Nous avons de nombreuses années d’expérience à décortiquer le travail des meilleurs chercheurs en sécurité du monde, et Mythos Preview est tout aussi performant. Jusqu’à présent, nous n’avons trouvé aucune catégorie ni aucune complexité de vulnérabilité que les humains peuvent détecter et que ce modèle ne peut pas. »

Les rapports concerant Claude Mythos donnent l’impression qu’OpenAI joue le rôle de suiveur. OpenAI est un organisme américain de recherche en intelligence artificielle (IA) composé d’une société à but lucratif d’intérêt public (PBC) et d’une fondation à but non lucratif, dont le siège se trouve à San Francisco. OpenAI a développé la famille de grands modèles de langage GPT, la série DALL-E de modèles de conversion texte-image et la série Sora de modèles de conversion texte-vidéo, qui ont influencé la recherche industrielle et les applications commerciales. Le lancement de ChatGPT en novembre 2022 est considéré comme ayant suscité un intérêt généralisé pour l'IA générative.

Dans cette course effrénée face à Anthropic, notamment Claude Mythos, OpenAI a annoncé fin avril son dernier modèle d'IA, GPT-5.5, qui, selon la société, est plus performant en matière de codage, d'utilisation des ordinateurs et de capacités de recherche approfondie. Dans le domaine de la cybersécurité, OpenAI affirme : « GPT-5.5 constitue une avancée progressive mais importante vers une IA capable de résoudre certains des défis les plus complexes au monde, tels que la cybersécurité. »

Selon les résultats d'une nouvelle étude, le GPT-5.5 d'OpenAI rivalise avec Claude Mythos d'Anthropic en matière de capacités de cyberattaque ; la cybermenace représentée par Mythos ne serait pas « une avancée propre à un seul modèle. » Une agence gouvernementale britannique a découvert que le tout dernier modèle d'intelligence artificielle d'OpenAI est capable de mener de manière autonome des cyberattaques complexes et qu'il a réussi un défi de rétro-ingénierie en un peu plus de 10 minutes, alors qu'il avait fallu environ 12 heures à un expert en sécurité humain.


L'AI Security Institute (AISI), un organisme de recherche rattaché au ministère britannique des Sciences, de l'Innovation et de la Technologie, a publié des conclusions montrant que le GPT-5.5 figure parmi les modèles les plus performants qu'il ait évalués en matière de capacités cyberoffensives, ce qui le place à peu près au même niveau que le très vanté Claude Mythos d'Anthropic. Le rapport révèle que GPT-5.5 est le deuxième modèle à avoir réussi le test le plus exigeant de l'AISI — une attaque simulée en 32 étapes contre un réseau d'entreprise baptisée « The Last Ones » — en y parvenant de manière autonome lors de deux des dix tentatives. Le premier modèle à avoir franchi cette étape décisive était le Claude Mythos Preview d'Anthropic, qui avait réussi la simulation lors de trois des dix essais.

La simulation de réseau d'entreprise, développée en collaboration avec la société de cybersécurité SpecterOps, exige qu'un agent enchaîne les étapes suivantes : reconnaissance, vol d'identifiants, mouvement latéral à travers plusieurs forêts Active Directory, pivotement de la chaîne d'approvisionnement via un pipeline CI/CD, et enfin l'exfiltration d'une base de données interne protégée — des étapes qui, selon les estimations de l'AISI, prendraient environ 20 heures à un expert humain.

Le résultat le plus frappant concerne peut-être un casse-tête de rétro-ingénierie d'une difficulté diabolique. GPT-5.5 a résolu ce défi — qui consistait à reconstruire le jeu d'instructions d'une machine virtuelle personnalisée, à écrire un désassembleur à partir de zéro et à récupérer un mot de passe cryptographique par résolution de contraintes — en 10 minutes et 22 secondes, pour un coût de 1,73 $ en utilisation d'API. Un expert humain, utilisant des outils professionnels, aurait eu besoin d'environ 12 heures.

Sur la batterie de tests avancés de cybersécurité de l'AISI, GPT-5.5 a atteint un taux de réussite moyen de 71,4 % au niveau « Expert », le plus difficile, devançant Mythos Preview (68,6 %) et surpassant largement GPT-5.4 (52,4 %). Ces résultats ont des implications précises pour la trajectoire générale du développement de l'IA. L'AISI a conclu que les performances de GPT-5.5 suggèrent qu'une amélioration rapide des capacités cybernétiques pourrait s'inscrire dans une tendance générale plutôt que constituer une avancée isolée — et a averti que si les compétences cyberoffensives apparaissent comme un sous-produit d'améliorations plus larges en matière de raisonnement, de codage et d'exécution autonome de tâches, alors d'autres avancées pourraient se succéder rapidement.

Le rapport a également soulevé des préoccupations importantes concernant les mesures de sécurité du modèle. Les chercheurs ont identifié une faille universelle permettant d’obtenir du contenu nuisible pour toutes les requêtes cybermalveillantes testées, y compris dans des environnements agentiques à tours multiples. Il a fallu six heures de travail d’une équipe d’experts en simulation d’attaques pour mettre au point cette attaque. OpenAI a par la suite mis à jour son ensemble de mesures de sécurité, bien qu’un problème de configuration ait empêché l’AISI de vérifier si la version finale était efficace.

L'AISI a précisé que ses évaluations des capacités avaient été menées dans un environnement de recherche contrôlé et ne reflétaient pas nécessairement ce qui est accessible à un utilisateur lambda, soulignant que les déploiements publics incluent des mesures de sécurité et des contrôles d'accès supplémentaires. Ce rapport s'inscrit dans un contexte préoccupant pour la cybersécurité britannique. L'enquête annuelle du gouvernement britannique sur les violations de cybersécurité, également publiée jeudi, a révélé que 43 % des entreprises avaient subi une violation ou une attaque cybernétique au cours des 12 derniers mois.

En réponse, le gouvernement a annoncé un nouveau...