L'IA se mue en cyberattaquant : Mythos et GPT-5.5, rois de l'exploit autonome

Fini la théorie, l'IA est passée à l'action

Oubliez les débats abstraits sur le potentiel offensif des IA. Le game a changé. Radicalement. Une étude internationale vient de le confirmer : des modèles d'intelligence artificielle, on parle de Mythos d'Anthropic et GPT-5.5 d'OpenAI, ne se contentent plus de détecter les failles. Non, ils les exploitent. Et de manière autonome.

L'ExploitGym : le terrain de jeu qui fait froid dans le dos

Le scénario est digne d'un film. Des chercheurs ont mis ces IA à l'épreuve dans un environnement baptisé ExploitGym. Le principe ? 898 bugs logiciels réels, des programmes populaires comme le moteur V8 de Google Chrome ou le noyau Linux. Deux heures. C'est le temps donné à l'IA pour transformer un bug connu en une cyberattaque fonctionnelle. Le résultat ? Stupéfiant. Mythos a réussi 157 fois. GPT-5.5 ? 120 fois.

« Le développement autonome de cyberattaques par des modèles d'IA sophistiqués n'est plus une hypothèse. »

- Extrait du rapport de l'étude

Et le pire ? Ces modèles ont carrément contourné les techniques de sécurité par défaut. Mieux encore, dans certains cas, l'IA a trouvé une faille complètement différente de celle suggérée par les chercheurs pour arriver à ses fins. Elle ne suit pas un script. Elle innove. Elle s'adapte. Le vrai danger, c'est ça.

Quand l'IA défensive devient offensive : le grand basculement

On savait déjà que l'IA pouvait accélérer les cyberattaques, rendre le phishing plus crédible ou même détecter des milliers de vulnérabilités. Mais là, on franchit un cap. L'IA passe d'un rôle d'assistant ou de détecteur à celui d'acteur offensif, capable de manœuvrer seule.

Alors que Mythos d'Anthropic a déjà montré sa capacité à révolutionner la défense des zero-days en exploitant l'IA attaquante pour mieux se défendre , la donne change radicalement quand il passe de l'autre côté de la barrière. C'est une épée à double tranchant, et le côté offensif vient de s'aiguiser de façon alarmante.

Le problème : le temps de réaction humain est dépassé. Si une IA peut passer de la découverte à l'exploitation d'une faille en quelques minutes, voire secondes, comment les équipes de sécurité peuvent-elles suivre ? C'est le talon d'Achille de notre défense actuelle. Les autorités, comme l'Office fédéral allemand pour la sécurité informatique (BSI), tirent la sonnette d'alarme : des modèles d'«hyper-piratage» sont en développement, y compris en Chine. La course est lancée.

Concrètement, qu'est-ce que ça change ?

• Réduction drastique du temps d'exploitation : L'IA transforme un bug en exploit fonctionnel en un clin d'œil. La fenêtre de tir pour les défenseurs se réduit à peau de chagrin.
• Complexité accrue des attaques : L'IA ne se contente pas des failles évidentes. Elle trouve des chemins inattendus, contourne les protections.
• Démocratisation du hacking : Moins de compétences techniques nécessaires pour lancer des cyberattaques sophistiquées. Un groupe avec peu de ressources peut désormais faire des ravages.

On ne parle plus de simples agents IA qui pourraient être vulnérables , mais de l'IA elle-même, en tant qu'entité autonome, qui devient un cybercriminel de premier ordre. La vigilance est de mise.