En une phrase
Cloudflare utilise le modèle avancé de cybersécurité Claude Mythos d'Anthropic (projet Glasswing) pour identifier des vulnérabilités *réellement exploitables*, surpassant les scanners classiques qui génèrent beaucoup de faux positifs, et maximise son efficacité en l'intégrant dans des outils spécialisés avec un champ d'application restreint.
Points clés
- Détection de vulnérabilités exploitables : Contrairement aux scanners de sécurité classiques (ex: Trivy, PNPM audit) qui génèrent des alertes (CVE) souvent non exploitables, Claude Mythos est capable de construire des chaînes d'exploitation complètes pour prouver une vulnérabilité et générer un "Proof of Concept" (PoC) fonctionnel, réduisant ainsi considérablement les faux positifs.
- Contournement des garde-fous de sécurité : Même les modèles LLM entraînés pour la cybersécurité comme Mythos intègrent des garde-fous pour empêcher la recherche de failles 0-day ou l'exploitation malveillante. Cependant, des experts en sécurité peuvent les contourner via des techniques de "re-prompting" créatives, ce qui souligne la nécessité de renforcer ces protections avant une éventuelle diffusion publique du modèle.
- Inefficacité des agents LLM génériques : Tenter de faire analyser un référentiel complet par un agent LLM générique (même puissant comme Claude Code) pour y trouver des vulnérabilités ne fonctionne pas. Ces agents sont optimisés pour des tâches précises, peinent à explorer de multiples hypothèses simultanément et sont limités par la fenêtre de contexte et le débit pour une analyse aussi vaste.
- Stratégie d'intégration : construire *autour* du LLM : Plutôt que de demander au LLM de tout faire, l'efficacité est maximisée en construisant des outils spécialisés *autour* du modèle, en lui assignant un champ d'application restreint (ex: "rechercher une injection SQL" plutôt que "trouver toutes les vulnérabilités"). Cette approche, combinée à l'examen contradictoire (utilisation de plusieurs agents ou outils), améliore la pertinence des constatations et réduit le bruit.
Ressources
- Anthropic — société derrière les projets Glasswing et les modèles Claude, dont Mythos et Code.
- Cloudflare — entreprise de services web et de sécurité, cliente et contributrice du rapport sur l'utilisation de Mythos.
- Microsoft — une des grandes entreprises de la tech mentionnée.
- OpenAI — une des grandes entreprises de la tech mentionnée.
- AWS — une des grandes entreprises de la tech mentionnée.
- PNPM — gestionnaire de paquets JavaScript/Node.js, mentionné pour sa fonction d'audit de sécurité des dépendances.
- Trivy — scanner de vulnérabilités open source pour les conteneurs, les systèmes de fichiers, les dépôts Git, etc.
- GitHub — plateforme de développement et d'hébergement de code source où des audits de sécurité sont fréquemment réalisés.