00:00:00En tant que développeur de logiciels et j'imagine en général en tant qu'humain, mais surtout en tant que développeur,
00:00:06il est impossible de contourner Anthropic en ce moment. Que vous le vouliez ou non. Et je ne pense pas que vous devriez essayer
00:00:12de l'ignorer car c'est important. C'est important pour notre avenir de développeurs de logiciels, je dirais.
00:00:20Et dans cet épisode, je ne parlerai pas de la fuite de Claude Code que nous avons eue la semaine dernière. Je ne parlerai pas
00:00:28de leurs conditions renforcées concernant l'utilisation de leurs offres d'abonnement, Claude Max et ainsi de suite,
00:00:36ni de la manière dont ils répriment l'utilisation non autorisée de ces abonnements. Ils le font
00:00:43en ce moment parce que, bien sûr, leurs offres d'abonnement, tout comme celles d'OpenAI, sont fortement subventionnées,
00:00:50et ils ne peuvent pas gagner d'argent si tout le monde utilise ses abonnements au maximum. Alors oui, ils
00:00:56restreignent ou essaient de restreindre l'utilisation de leurs abonnements aux seuls humains, uniquement sur leur
00:01:04site web, dans Claude Code ou l'application de bureau Claude, j'imagine. Mais bon, encore une fois, ce n'est pas le sujet
00:01:11ici, et je ne me concentrerai même pas sur leur impressionnante croissance de revenus, qui mérite tout de même une petite note
00:01:19car Anthropic a atteint un revenu récurrent annuel de 30 milliards de dollars, ce qui est déjà
00:01:27impressionnant, mais particulièrement frappant si on le compare aux 9 milliards de dollars fin 2025. Donc,
00:01:35ils ont plus que triplé leur revenu récurrent annuel en quelques mois seulement. Ce qui est
00:01:41vraiment impressionnant. Et par conséquent, bien sûr, si vous voulez apprendre à utiliser Claude Code efficacement,
00:01:47comment en tirer le meilleur parti, j'ai un cours à ce sujet et il est aussi très populaire, ce qui
00:01:53me rend heureux, et vous trouverez un lien ci-dessous si vous voulez le rejoindre et apprendre à travailler efficacement avec
00:01:59Claude Code. Mais comme mentionné, ce n'est même pas le sujet principal ici. Au lieu de cela, je veux parler de
00:02:05Project Glasswing et de leur nouveau modèle Mythos qu'ils n'ont pas encore rendu public, et
00:02:14ils ont également expliqué pourquoi. Et je pense qu'il est important de comprendre cela, et il est aussi important d'essayer de
00:02:20regarder dans les coulisses, derrière leur raisonnement et quel est l'impact de ce nouveau modèle, de son fonctionnement
00:02:27et de ses capacités pour nous, les développeurs. Alors, qu'est-ce que Project Glasswing ? En quoi consiste leur nouveau modèle ?
00:02:33Ci-dessous, vous trouverez bien sûr aussi un lien vers cet article. C'est un article sur le site officiel
00:02:39d'Anthropic où ils ont annoncé Project Glasswing et parlent également de leur nouveau modèle.
00:02:44Et si je descends un peu, nous pouvons déjà voir quelques statistiques de benchmarks résumées ici où l'on voit
00:02:52que ce nouveau modèle, la version préliminaire du modèle Mythos — le nom du modèle est Mythos — est
00:02:59bien plus performant qu'Opus 4.6. Et selon le benchmark exact que vous regardez, il y a une assez grande
00:03:07différence entre Opus 4.6 et ce nouveau modèle. Maintenant, bien sûr, en soi, ce n'est pas super
00:03:15impressionnant. Chaque fois qu'un nouveau modèle est annoncé, peu importe l'entreprise, il est bien meilleur ou
00:03:21du moins un tout petit peu meilleur que tous les modèles concurrents, sinon il ne sortirait pas. Et bien sûr,
00:03:26il existe des moyens de manipuler certains de ces chiffres de benchmark, donc je n'accorde généralement pas trop
00:03:31d'importance à ces chiffres, et ce ne serait pas vraiment différent pour ce modèle-ci, mais
00:03:39il y a des choses intéressantes à propos du nouveau modèle Mythos. Et c'est le fait qu'Anthropic a décidé de ne pas
00:03:46le rendre public car, selon eux, il est trop doué pour trouver et exploiter des vulnérabilités
00:03:56dans les systèmes d'exploitation, tout autre logiciel, les navigateurs, vraiment dans les logiciels en général. Et dans cet article
00:04:05ainsi que dans un autre article séparé qui est également lié ci-dessous, ils partagent certains détails et surtout cet
00:04:11autre article est extrêmement long et donne des exemples concrets de vulnérabilités et
00:04:19d'exploits potentiels que ce nouveau modèle a trouvés. Par exemple, ils commencent dans cet article par un
00:04:28exploit et une vulnérabilité très graves qui ont été trouvés dans OpenBSD. OpenBSD est bien sûr un système d'exploitation
00:04:38populaire sur certains types de logiciels réseau par exemple, et Mythos, leur nouveau modèle,
00:04:45tournant dans un cadre agentique comme Claude Code j'imagine, a pu trouver et exploiter, et c'est ça
00:04:53la partie intéressante, une vulnérabilité liée à un dépassement d'entier et à un accès mémoire, un accès mémoire inattendu,
00:05:02qui était capable de faire planter des machines tournant sous OpenBSD de manière reproductible, ce qui
00:05:12pourrait bien sûr être exploité pour lancer des attaques par déni de service très dommageables en envoyant de manière répétée
00:05:20des paquets et des requêtes spécifiques à ces machines, exploitant cette vulnérabilité pour faire tomber
00:05:27ces machines et potentiellement faire tomber des réseaux d'entreprise entiers. Et cette vulnérabilité a été
00:05:34détectée lors d'un test qui a coûté moins de cinquante dollars, bien que l'ensemble des tests ait coûté moins de vingt
00:05:43mille dollars. Et comme vous ne savez pas à l'avance quel test trouvera une vulnérabilité,
00:05:48c'est ce dernier chiffre qui compte. Pourtant, il est facile d'imaginer qu'un modèle capable de trouver
00:05:57de telles vulnérabilités critiques pour un coût comparativement aussi bas, selon qui vous êtes,
00:06:04si vous êtes un État par exemple ou un acteur malveillant sérieux, cela peut ne pas représenter beaucoup d'argent pour vous.
00:06:13Cela pose évidemment un problème, car il est facile d'imaginer que si un tel modèle était développé par
00:06:22une entreprise, une organisation qui se soucie un peu moins de la sécurité ou qui n'aurait peut-être pas à
00:06:31craindre les conséquences d'un abus de telles vulnérabilités, cela pourrait être un problème, et
00:06:42il semble que nous entrions dans une nouvelle ère avec l'IA, avec ces modèles d'IA où rien n'est sûr,
00:06:56et il est plus facile que jamais de déployer massivement des agents d'IA utilisant des modèles comme celui-ci pour scanner toutes sortes
00:07:05de logiciels et trouver, voire exploiter, des vulnérabilités. Et bien sûr, en tant qu'humain seul,
00:07:13il est impossible de suivre la cadence. Je veux dire, le bug, l'exploit qui a été trouvé ici existait
00:07:19depuis, je crois qu'ils ont dit 27 ans ou quelque chose comme ça. Cela montre qu'aucun humain n'a pu trouver
00:07:29ce bug pendant une si longue période, y compris des acteurs malveillants qui auraient bien sûr eu un
00:07:35intérêt à pouvoir attaquer ce système d'exploitation par le passé également. Or, ce n'est qu'une
00:07:41découverte, peut-être la plus marquante de ce nouveau modèle. Ils listent bien d'autres bugs et exploits
00:07:49que le modèle a trouvés et qu'il a parfois pu exploiter, et ils ont aussi partagé d'autres histoires sur X par
00:07:57exemple, comme le fait que le modèle soit capable de s'échapper d'un bac à sable ou que l'agent d'IA utilisant le modèle
00:08:04ait pu s'échapper du bac à sable dans lequel il tournait. Et cela nous ramène à Project Glasswing, qui
00:08:11est une initiative créée par Anthropic avec d'autres grandes entreprises comme AWS, Apple, Microsoft,
00:08:21la Linux Foundation et d'autres, pour utiliser ce modèle afin de corriger leurs logiciels avant que
00:08:30celui-ci ne soit rendu public et avant que le public n'ait accès à ce modèle. C'est le récit
00:08:38de cet article, c'est l'explication d'Anthropic, et j'ai des sentiments partagés. D'un côté,
00:08:48je n'ai aucune raison sérieuse de croire que ce n'est pas vrai. Clairement, Anthropic aurait des raisons de
00:08:56ne pas sortir ce modèle en dehors de ce qu'ils mentionnent ici. Par exemple, j'ai lu que ce
00:09:04modèle est un modèle d'environ 10 billions de paramètres, ce qui est bien plus grand que tous les modèles de pointe
00:09:11que nous avons eus jusqu'ici, que nous pouvions utiliser publiquement, et son entraînement aurait coûté
00:09:20environ 10 milliards de dollars. Le coût par jeton de ce modèle, j'ai lu qu'on l'estime dans cette fourchette,
00:09:3025 à 125 dollars pour les jetons d'entrée et de sortie. Et ce serait bien sûr aussi des raisons pour ne pas
00:09:39sortir ce modèle, car ils ne peuvent pas l'inclure dans leurs abonnements Claude parce que c'est tout simplement trop
00:09:46cher. Ils devraient augmenter le prix de l'abonnement probablement à un niveau que peu de
00:09:52personnes accepteraient de payer, et donc il n'y aurait pas vraiment de moyen de l'exposer au
00:09:59public, du moins dans le cadre de Claude Code. Maintenant, bien sûr, ils pourraient toujours l'exposer via leur API sur une
00:10:05base de coût à l'utilisation, et si c'est cher, peu importe s'il y a des entreprises ou des gens
00:10:12prêts à payer. Ils pourraient le faire. Et c'est là bien sûr que les préoccupations de cybersécurité
00:10:18entrent vraiment en jeu, car il est très probable que tout cela ne soit pas inventé. Je veux dire, ce n'est
00:10:26certainement pas inventé. L'équipe de FFmpeg, par exemple, qui est aussi citée ici comme ayant une
00:10:36vulnérabilité trouvée par le modèle dans FFmpeg, l'équipe a confirmé sur X qu'Anthropic avait
00:10:44envoyé un correctif pour une vulnérabilité dans le programme logiciel FFmpeg. Donc oui, ce n'est clairement pas
00:10:55inventé. Ces préoccupations sont valables, les soucis de cybersécurité sont réels, surtout si l'argent n'est
00:11:03pas le problème principal. On pourrait déployer des milliers d'agents tournant simultanément avec ce modèle ou des modèles
00:11:11similaires que nous pourrions avoir à l'avenir pour scanner toutes sortes de logiciels et les exploiter. Et bien sûr,
00:11:19le gros problème est que l'utilisation de ce modèle pour trouver des vulnérabilités et les corriger est possible, mais
00:11:30ce n'est possible que si le propriétaire ou le mainteneur d'un certain logiciel peut s'offrir le modèle
00:11:37ou y accède gratuitement ou quelque chose du genre. Et même si une vulnérabilité est corrigée, nous savons tous
00:11:46que tous les ordinateurs, toutes les machines, tous les utilisateurs n'ont pas des logiciels à jour qui tournent sur
00:11:55eux. Si vous jetiez un coup d'œil à tous les différents serveurs qui tournent partout sur le Web,
00:12:04je parierais que la grande majorité d'entre eux utilise des logiciels obsolètes. Je veux dire, sur nos téléphones ou nos
00:12:12ordinateurs portables, nous n'utilisons souvent pas la dernière version de notre système d'exploitation, le
00:12:20dernier correctif de sécurité n'est peut-être pas installé, et c'est vrai pour toutes les couches logicielles. Et dans un monde
00:12:28où il est plus facile que jamais de trouver des vulnérabilités de sécurité, cela devient évidemment un
00:12:34problème encore plus grand. Car, bien sûr, la bonne chose avec ce modèle d'IA est qu'il peut aussi être utilisé pour
00:12:43rechercher de manière proactive des vulnérabilités de sécurité et les corriger, ce n'est donc pas seulement un outil pour
00:12:48les attaquants, cela peut aussi faciliter la défense parce que vous avez maintenant un outil qui peut être lancé simultanément,
00:12:56en parallèle, sur des milliers d'agents pour sécuriser votre logiciel. En théorie, cela peut être un
00:13:01outil très utile pour la défense, mais encore une fois, toutes les entreprises ou personnes développant des
00:13:09logiciels cruciaux n'auront peut-être pas les moyens ou l'intérêt de l'utiliser. Et même s'il est utilisé
00:13:16pour trouver et corriger des vulnérabilités, ces dernières versions ne seront pas installées partout,
00:13:23ce qui donne bien sûr aux attaquants une belle opportunité où ils connaissent beaucoup plus de
00:13:31vulnérabilités qu'avant à un certain point parce que plus de vulnérabilités sont détectées, mais chaque
00:13:39machine, chaque utilisateur n'est pas protégé contre ces vulnérabilités. Et c'est une réelle inquiétude
00:13:46que j'ai à propos de cette évolution. Voilà pour la vue d'ensemble qui affecte tout le monde,
00:13:52toutes les entreprises, tous les humains au final. Une autre question, bien sûr, est de savoir ce qu'un modèle comme
00:13:59celui-ci signifie pour nous, développeurs. Je veux dire, clairement, cela semble être un modèle extrêmement capable qui a pu
00:14:08rechercher des vulnérabilités tout seul et les exploiter tout seul. Alors oui, quel est l'impact
00:14:16pour les développeurs ? Et je pense qu'à ce sujet, pas grand-chose ne change pour l'instant. Je veux dire,
00:14:28nous vivons déjà dans un monde où les agents d'IA comme Claude Code et les modèles sous-jacents — et bien sûr
00:14:34c'est la même chose pour Codex et ainsi de suite, quel que soit votre agent et modèle d'IA préféré —
00:14:39sont capables de générer la majeure partie de notre code. Vous ne les utilisez peut-être pas, vous ne les aimez peut-être pas. J'ai créé une
00:14:46vidéo séparée où je partage mon ressenti là-dessus, le fait que cela enlève tout le plaisir du côté
00:14:52développement logiciel pour moi, mais c'est la réalité néanmoins, qu'on le veuille ou non. Et
00:14:57croyez-moi, je n'aime pas forcément ça, mais oui, c'est la réalité. Ce qu'un humain apporte
00:15:04à la table ou la raison pour laquelle les humains comptent encore ici, et comptent peut-être plus que jamais, c'est bien sûr que vous
00:15:12ne voulez absolument pas qu'un agent d'IA comme celui-ci devienne incontrôlable et travaille totalement de son côté. Diriger de tels
00:15:21modèles et agents, les contrôler, leur donner des tâches claires, limiter la portée du travail qu'ils font,
00:15:29toutes ces choses sont plus importantes que jamais. Ces modèles peuvent, semble-t-il, faire bien plus que
00:15:39la grande majorité des développeurs, certainement bien plus que ce que je peux faire.
00:15:43Et pourtant, quand il s'agit de livrer des produits, quand il s'agit de construire des logiciels utilisés par des humains, l'influence
00:15:54d'un humain est bien sûr extrêmement, extrêmement importante. Ce qui change, bien sûr,
00:16:01c'est notre rôle en tant que développeurs de logiciels. Nous passons de ceux qui écrivent le code à
00:16:08ceux qui dirigent le modèle, qui révisent le code, qui comprennent ce
00:16:12qu'il fait, qui définissent la portée. Et oui, encore une fois, j'en ai parlé dans cette autre vidéo, de comment cela
00:16:18change et que ce n'est pas forcément ce que vous aimez. Ce n'est certainement pas
00:16:26la raison pour laquelle je me suis lancé dans le développement logiciel au départ, mais oui, c'est l'impact ici. Et
00:16:31plus ces modèles deviennent capables, plus je pense qu'il devient important d'avoir cette voix humaine
00:16:39à l'intérieur, cette influence humaine également. C'est donc ce rôle qui change et
00:16:48notre rôle à l'avenir. Mais oui, je veux dire, ce sont des développements vraiment intéressants et surtout
00:16:58ce modèle et ses implications, et la pertinence qu'il a en cybersécurité,
00:17:04font se demander ce qui se serait passé ou ce qui se passerait si d'autres acteurs, d'autres nations ou
00:17:16organisations dans le monde mettaient la main sur ce modèle ou sur des modèles aux capacités similaires.
00:17:23Car, bien sûr, ce n'est qu'une question de temps avant que des modèles avec des capacités similaires ne soient accessibles
00:17:33au public, ou du moins certainement par d'autres nations et acteurs. Et oui, je ne suis pas sûr que
00:17:44nous soyons préparés à cette nouvelle course à la cybersécurité et à ce délai entre la découverte des bugs
00:17:52et leur correction, et l'installation de ces correctifs par les gens. Je pense que nous entrerons dans une nouvelle ère de la
00:18:00cybersécurité et que nous pourrons nous adapter, j'en suis sûr, mais cela marque définitivement un point
00:18:08intéressant dans l'histoire du développement de modèles, je dirais.