La cybersécurité fonctionne désormais comme une preuve de travail (Proof of Work)

• Le LLM « Mythos » d’Anthropic exécute des simulations complexes d’attaques réseau plus vite et avec plus de précision que les humains, et son accès est réservé à un nombre limité de développeurs clés
• Lors des tests de l’AI Security Institute, Mythos a réussi entièrement une simulation d’attaque contre un réseau d’entreprise en 32 étapes dans 3 cas sur 10, avec des performances qui s’améliorent à mesure que le budget en tokens augmente
• Ces résultats montrent que la sécurité évolue vers une structure où la défense exige d’engager plus de tokens que l’attaquant, autrement dit une concurrence de type preuve de travail
• Après les attaques de chaîne d’approvisionnement visant LiteLLM et Axios, les tentatives se multiplient pour remplacer les dépendances open source par des LLM ou renforcer la sécurité en injectant des tokens
• La sécurité est de moins en moins déterminée par la créativité technique et de plus en plus par le volume de ressources engagées, ce qui conduit à ajouter une étape de « hardening » au processus de développement

Une sécurité qui fonctionne comme une « preuve de travail »

• Le LLM « Mythos » d’Anthropic affiche d’excellentes performances sur des tâches de sécurité informatique, au point que son accès est limité aux principaux créateurs de logiciels au lieu d’être rendu public
  • Mythos exécute des simulations complexes d’attaques réseau bien plus vite que les humains
  • Dans les évaluations de l’AI Security Institute (AISI), il a également démontré une capacité d’exécution de cyberattaques supérieure d’un niveau aux modèles précédents
• Dans « The Last Ones », une simulation d’attaque contre un réseau d’entreprise en 32 étapes, Mythos a totalement réussi 3 fois sur 10
  • L’AISI a utilisé 100 millions de tokens (environ 12 500 dollars) par tentative
  • Parmi les modèles testés, seul Mythos a mené l’attaque jusqu’au bout, et ses performances continuent de progresser à mesure que le budget en tokens augmente
• Ce résultat ramène l’économie de la sécurité à une formule simple : « pour se défendre, il faut dépenser plus de tokens que l’attaquant »
  • Le renforcement de la sécurité dépend davantage du volume de ressources engagées que de la créativité
  • Cela ressemble au mécanisme de preuve de travail (Proof of Work) des cryptomonnaies, où l’emporte celui qui mobilise le plus de ressources de calcul

Ce que révèle cette nouvelle économie de la sécurité

• Renforcement de l’importance des logiciels open source

  • Après les récentes attaques de chaîne d’approvisionnement contre LiteLLM et Axios, certains proposent de réimplémenter le code des dépendances avec des agents IA
  • Andrej Karpathy a déclaré que « les dépendances doivent être réévaluées » et qu’il vaut mieux implémenter directement les fonctions simples avec un LLM
  • Si la sécurité est proportionnelle au nombre de tokens investis, plus les entreprises injectent des tokens pour renforcer la sécurité des bibliothèques open source, plus elles peuvent devenir sûres
  • Mais les OSS largement utilisés ont aussi une forte valeur pour les attaquants, ce qui les incite eux aussi à engager davantage de ressources

• Ajout d’une étape de « hardening » au processus de développement

  • Aujourd’hui, les développeurs suivent un processus en deux étapes : développement → revue de code, avec des modèles différents à chaque étape
  • Anthropic propose un service dédié à la revue de code (Code Review), à un coût d’environ 15 à 20 dollars par revue
  • À l’avenir, un cycle en trois étapes pourrait devenir la norme : développement → revue → hardening
    1. Développement : implémentation des fonctionnalités et itérations fondées sur les retours des utilisateurs
    2. Revue : documentation, refactoring et amélioration de la qualité
    3. Hardening : recherche automatique de vulnérabilités dans les limites du budget disponible
  • La première étape est limitée par le temps humain, la dernière par le coût

Structure des coûts et limites de la sécurité

• L’écriture du code elle-même reste peu coûteuse, mais garantir la sécurité exige d’acheter plus de tokens que l’attaquant
• Même si l’efficacité d’inférence des modèles s’améliore, le coût du renforcement de la sécurité reste déterminé par la valeur de l’attaque, ce qui rend difficile une baisse complète des coûts
• En conséquence, la sécurité se transforme d’un enjeu de créativité technique en une concurrence de ressources fondée sur le marché