00:00:00>> La plupart des gens qui utilisent des logiciels au quotidien ne pensent pas aux bogues.
00:00:04Ils ne pensent pas à ce qui peut arriver si le logiciel dont ils dépendent devient soudainement moins sûr.
00:00:12C'est une réalité à laquelle les développeurs de logiciels doivent faire face chaque jour.
00:00:16[MUSIQUE]
00:00:19>> Les logiciels ont toujours eu des failles et des vulnérabilités, ce n'est pas nouveau.
00:00:23>> Pour une personne moyenne, les bogues ne sont globalement pas quelque chose qu'elle remarque au quotidien
00:00:30car s'ils sont remarqués, ils sont corrigés.
00:00:32>> Mais de temps en temps, il y a des vulnérabilités qui ont des impacts réellement graves.
00:00:36>> Comme un seul bogue qui s'immisce dans un logiciel partagé que de très nombreux produits ou sites web utilisent.
00:00:45Ainsi, un seul problème se retrouve amplifié à travers le monde entier.
00:00:49>> Historiquement, trouver et corriger des vulnérabilités a été un processus lent, fastidieux et coûteux.
00:00:55>> Si les LLM sont désormais capables d'écrire du code au niveau des meilleurs développeurs de logiciels au monde,
00:01:04ils peuvent aussi être utilisés pour trouver des bogues et exploiter ces logiciels tout aussi efficacement.
00:01:10>> Ces modèles possèdent des capacités qui placent la barre plus haut du point de vue de la cybersécurité
00:01:16avec leur aptitude à aider les défenseurs, tout comme potentiellement les adversaires.
00:01:23>> Nous avons récemment développé un nouveau modèle, Claude Mythos Preview.
00:01:27Dès le début, il était clair pour nous que ce modèle allait être nettement plus performant en cybersécurité.
00:01:33>> Il y a une sorte d'accélération exponentielle, mais le long de cette courbe, il existe des points significatifs.
00:01:40Claude Mythos Preview représente un saut particulièrement important sur cette trajectoire.
00:01:45>> Nous ne l'avons pas entraîné spécifiquement pour être bon en cybersécurité.
00:01:48Nous l'avons entraîné pour être bon en code, mais en conséquence, il est aussi bon en cybersécurité.
00:01:54>> Le modèle avec lequel nous expérimentons est globalement aussi performant qu'un humain professionnel pour identifier des bogues.
00:02:03C'est une bonne chose pour nous car nous pouvons trouver plus de vulnérabilités plus tôt et les corriger.
00:02:07>> Il a la capacité d'enchaîner les vulnérabilités.
00:02:10Cela signifie que vous trouvez deux vulnérabilités qui, indépendamment, ne permettent pas d'obtenir grand-chose,
00:02:16mais ce modèle est capable de créer des exploits à partir de trois, quatre, parfois cinq vulnérabilités
00:02:21qui, en séquence, vous donnent un résultat final très sophistiqué.
00:02:24>> Et nous pensons que ce modèle y parvient très bien parce que nous avons remarqué qu'il est très autonome.
00:02:30Il est généralement meilleur pour poursuivre des tâches de longue haleine qui ressemblent aux tâches
00:02:37qu'un chercheur en sécurité humain accomplirait tout au long d'une journée entière.
00:02:42Évidemment, les capacités d'un tel modèle pourraient causer des dommages s'ils tombaient entre de mauvaises mains.
00:02:46C'est pourquoi nous ne diffuserons pas ce modèle à grande échelle.
00:02:49>> Des modèles plus puissants viendront de nous et d'autres acteurs.
00:02:53Nous avons donc besoin d'un plan pour y répondre.
00:02:56>> C'est pourquoi nous lançons ce que nous appelons Project Glasswing, en partenariat avec plusieurs organisations
00:03:02qui gèrent certains des codes les plus critiques au monde, afin de mettre le modèle entre leurs mains
00:03:06pour leur permettre d'étudier comment utiliser de tels modèles pour réduire les risques et protéger tout le monde.
00:03:12>> En donnant à ces développeurs des outils avancés avant tout le monde, cela nous donne à tous une avance collective.
00:03:22>> Cela nous permet de trouver des choses que nous ne pouvions pas trouver auparavant, et nous aide à les corriger beaucoup plus rapidement.
00:03:30>> En travaillant avec nos partenaires, nous avons trouvé des vulnérabilités sur pratiquement toutes les plateformes majeures.
00:03:36>> J'ai trouvé plus de bogues ces dernières semaines que dans tout le reste de ma vie combiné.
00:03:41Nous avons utilisé le modèle pour scanner une grande quantité de code open source.
00:03:44Et ce que nous avons ciblé en premier, ce sont les systèmes d'exploitation,
00:03:48car c'est le code qui sous-tend toute l'infrastructure d'Internet.
00:03:52Pour OpenBSD, nous avons trouvé un bogue présent depuis 27 ans,
00:03:58où je peux envoyer quelques données à n'importe quel serveur OpenBSD et le faire planter.
00:04:05Sur Linux, nous avons trouvé plusieurs vulnérabilités où, en tant qu'utilisateur sans permissions,
00:04:11je peux m'élever au rang d'administrateur simplement en exécutant un binaire sur ma machine.
00:04:16Pour chacun de ces bogues, nous avons informé les mainteneurs qui gèrent réellement ces logiciels,
00:04:20et ils les ont corrigés et ont déployé les correctifs pour que quiconque utilise ces logiciels ne soit plus vulnérable.
00:04:27>> Pour un développeur qui maintient inlassablement un logiciel,
00:04:30un modèle qui peut l'aider à découvrir des vulnérabilités dans son propre code et à les corriger avant qu'elles ne soient exploitées,
00:04:38est un outil inestimable.
00:04:40>> Nous avons discuté avec des responsables du gouvernement américain,
00:04:43et nous avons proposé de collaborer pour évaluer les risques de ces modèles et aider à s'en défendre.
00:04:50Tout ce que nous faisons dans nos vies dépend désormais des logiciels.
00:04:55>> Les logiciels ont en quelque sorte « dévoré le monde ».
00:04:56Chaque aspect analogique de notre vie est désormais représenté dans le domaine numérique.
00:05:01>> Ainsi, tout notre quotidien repose sur l'idée que nous pouvons faire confiance aux systèmes qui l'alimentent.
00:05:08>> La cybersécurité est la sécurité de notre société.
00:05:11>> Il est essentiel que nous nous unissions et travaillions ensemble dans toute l'industrie pour bâtir de meilleures capacités défensives.
00:05:19>> Aucune organisation ne possède une vision d'ensemble et ne peut s'attaquer à cela seule.
00:05:22>> Cela ne se fera pas dans le cadre d'un programme de quelques semaines.
00:05:26Ce sera un travail de plusieurs mois, voire peut-être de plusieurs années.
00:05:29>> Mais j'espère qu'à la fin, les logiciels du monde, les données clients, les transactions financières,
00:05:38et les infrastructures critiques seront plus sûrs qu'ils ne l'étaient auparavant.