Microsoft lance MDASH pour la recherche sur les vulnérabilités IA à grande échelle

Amazon utilise des agents IA pour la détection de vulnérabilités à grande échelle

En 2025, la base de données nationale des vulnérabilités américaine (NVD) a enregistré plus de 48 000 nouvelles failles de sécurité référencées (CVE), un volume rendu possible en grande partie par la prolifération des outils automatisés de détection. Face à cette explosion, Amazon Web Services a développé RuleForge, un système d'intelligence artificielle agentique conçu pour générer automatiquement des règles de détection à partir d'exemples de code d'exploitation de vulnérabilités. Déployé en production chez AWS, RuleForge affiche une productivité supérieure de 336 % à la création manuelle, tout en conservant le niveau de précision exigé pour des systèmes de sécurité industriels. Les règles produites sont au format JSON et alimentent directement MadPot, le système mondial de "honeypot" d'Amazon qui capture le comportement des attaquants, ainsi que Sonaris, le moteur interne de détection d'exploits suspects. Avant RuleForge, transformer une CVE en règle de détection opérationnelle était un processus entièrement manuel : un analyste téléchargeait le code de preuve de concept, étudiait le mécanisme d'attaque, rédigeait la logique de détection, la validait par itérations successives contre les journaux de trafic, puis soumettait le tout à une revue par un second ingénieur avant déploiement. Ce cycle, rigoureux mais lent, obligeait les équipes à prioriser strictement les vulnérabilités traitées, laissant potentiellement des failles critiques sans couverture. RuleForge comprime ce délai de façon drastique : le système ingère automatiquement le code d'exploitation public, attribue un score de priorité via une analyse de contenu croisée avec des sources de threat intelligence, puis génère en parallèle plusieurs règles candidates via un agent tournant sur AWS Fargate avec Amazon Bedrock. Chaque candidate est évaluée non pas par le modèle qui l'a produite, mais par un agent "juge" distinct, évitant ainsi l'auto-validation biaisée. Les humains restent dans la boucle pour l'approbation finale avant mise en production. Cette architecture reflète une tendance profonde dans la sécurité offensive et défensive : l'automatisation par IA ne remplace pas les experts, elle leur permet de travailler à une échelle autrement inaccessible. AWS anticipe une croissance continue du nombre de CVE à haute sévérité publiées, portée par les mêmes outils d'IA qui accélèrent la découverte de failles côté attaquants. RuleForge représente la réponse symétrique côté défense, en industrialisant la réactivité. L'approche modulaire, avec des agents spécialisés pour la génération, l'évaluation et le raffinement, plutôt qu'un seul modèle monolithique, s'inscrit dans la lignée des architectures multi-agents qui émergent comme standard pour les tâches complexes nécessitant fiabilité et auditabilité. D'autres grands acteurs du cloud font face aux mêmes défis, et la publication par Amazon des détails de RuleForge suggère une volonté de positionner cette approche comme référence sectorielle.

Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Deux cent cinquante responsables de la sécurité des systèmes d'information ont cosigné en urgence, le week-end du 12 avril 2026, un rapport intitulé « La tempête de vulnérabilités liées à l'IA : créer un programme de sécurité Mythosready ». Ce document, rédigé en un seul week-end par plus de 60 contributeurs puis relu par 250 RSSI, répond directement à l'annonce, le 7 avril, de Mythos Preview, l'intelligence artificielle spécialisée en cybersécurité développée par Anthropic. Cinquante entreprises et organismes du projet Glasswing disposent d'un accès bêta à cet outil pendant 90 jours, au terme desquels Anthropic rendra publiques toutes les vulnérabilités identifiées. Parmi les signataires figurent des personnalités de premier plan : Jen Easterly, ancienne directrice de la CISA, Chris Inglis, premier National Cyber Director des États-Unis, et Rob Joyce, ex-patron de l'unité de hacking offensif de la NSA, TAO. Le rapport a été publié par le SANS Institute et la Cloud Security Alliance. L'enjeu central est la compression dramatique du délai entre la découverte d'une faille et son exploitation active. D'après les données de zerodayclock.com, ce délai moyen est passé de 2,3 ans en 2019 à moins d'un jour en 2026, avec une accélération fulgurante au cours des seules dernières semaines : 1,6 jour début mars, 20 heures mi-avril, 10 heures une semaine plus tard. Autrement dit, les équipes de défense disposent désormais de quelques heures pour déployer des correctifs après la divulgation publique d'une vulnérabilité. Si Anthropic annonce en bloc les résultats des 50 bêta-testeurs de Mythos Preview, des centaines de failles pourraient être rendues publiques simultanément, créant une situation sans précédent pour les équipes sécurité mondiales. Le rapport s'adresse explicitement à ceux qui « doivent se présenter lundi matin avec un plan crédible ». Ce contexte s'inscrit dans une trajectoire documentée d'escalade des capacités offensives basées sur les grands modèles de langage. En juin 2025, XBOW devenait le premier système autonome à prendre la tête du classement du programme de bug bounty de HackerOne, surpassant tous les hackers humains. En août, l'IA Big Sleep de Google identifiait 20 vulnérabilités zero-day dans des logiciels open source. Le challenge AIxCC de la DARPA a permis de détecter 54 failles dans 54 projets distincts. Sur le kernel Linux, le rythme de découverte par IA est passé de 2 bugs par semaine à 10 par jour. Mythos Preview représente l'étape suivante de cette progression : une IA agentique dédiée, entre les mains de dizaines d'organisations, capable d'analyser des bases de code à une échelle et une vitesse inatteignables pour des équipes humaines. La question posée par ce rapport n'est plus de savoir si cette déferlante aura lieu, mais si les défenseurs auront les moyens d'y répondre en temps réel.

💬 Le vrai chiffre à retenir dans tout ça : le délai entre la découverte d'une faille et son exploitation est passé de 2,3 ans à moins d'un jour, et encore, c'est la moyenne d'avril. Quand Anthropic va lâcher en bloc des centaines de vulnérabilités identifiées par Mythos Preview, les équipes sécurité auront quelques heures pour réagir, pas quelques mois. Le rapport des 250 RSSI pondu en un week-end, c'est bien, mais la vraie question c'est qui développe les défenses à la même vitesse que l'IA attaque.

Les États-Unis accusent la Chine de vol de données IA à grande échelle, Pékin dément

Les États-Unis se préparent à durcir leur réponse face à ce qu'ils qualifient de vol massif de propriété intellectuelle dans le domaine de l'intelligence artificielle. Michael Kratsios, directeur du Bureau de la politique scientifique et technologique de la Maison Blanche, a alerté dans une note interne consultée par le Financial Times que "des entités étrangères, principalement basées en Chine, mènent des campagnes délibérées et à l'échelle industrielle pour distiller les systèmes d'IA frontière américains." Les accusations concrètes s'accumulent depuis plusieurs mois : en janvier, Google a signalé que des acteurs "commercialement motivés" avaient sollicité son modèle Gemini plus de 100 000 fois pour entraîner des copies moins coûteuses. En février, Anthropic a révélé que les entreprises chinoises DeepSeek, Moonshot et MiniMax avaient généré plus de 16 millions d'échanges avec Claude via environ 24 000 comptes frauduleux. OpenAI a confirmé au même moment que la majorité des attaques qu'elle détecte proviennent de Chine. La technique incriminée, appelée "distillation", consiste à interroger massivement un modèle IA existant pour en extraire les comportements et reproduire ses capacités à moindre coût. Pour les laboratoires américains, il s'agit d'un contournement délibéré de leur avantage concurrentiel : des années de recherche et des milliards d'investissements potentiellement captés à travers de simples appels API. L'enjeu dépasse le seul plan commercial, car pour Washington, ces pratiques risquent d'accélérer la montée en puissance de la Chine dans la course à l'IA, réduisant l'écart technologique sans que Pékin n'ait eu à supporter les coûts de développement correspondants. La cristallisation de ces accusations coïncide avec le lancement de DeepSeek début 2025, un modèle chinois dont les performances ont suscité l'étonnement dans l'industrie et rapidement fait naître des soupçons. OpenAI avait affirmé que ses propres sorties de modèle auraient servi à entraîner ce concurrent. La Chine a rejeté l'ensemble de ces accusations, les qualifiant de "calomnies". Le contexte est celui d'une rivalité technologique croissante entre les deux puissances, déjà marquée par des contrôles américains à l'exportation sur les semi-conducteurs et les modèles avancés. La réponse réglementaire en préparation pourrait inclure des restrictions d'accès plus strictes aux API des grands modèles et des obligations de surveillance renforcées pour les entreprises du secteur.

Les IA de détection de vulnérabilités réduisent les coûts de sécurité en entreprise

L'équipe d'ingénierie de Mozilla Firefox a annoncé avoir identifié et corrigé 271 vulnérabilités de sécurité dans la version 150 du navigateur, grâce à une évaluation menée avec Claude Mythos Preview, le modèle frontier d'Anthropic. Cette collaboration fait suite à un premier partenariat avec Anthropic utilisant Claude Opus 4.6, qui avait permis de détecter 22 corrections sensibles sur le plan sécuritaire dans la version 148. En quelques semaines, l'IA a donc fait remonter des centaines de failles dans un codebase mature et massif, un résultat que des équipes humaines auraient mis des mois à produire. Les ingénieurs de Firefox ont également noté qu'ils n'ont trouvé aucune catégorie de faille, ni aucun niveau de complexité, que l'humain puisse identifier et que le modèle ne puisse pas. Symétriquement, aucun bug détecté par l'IA n'était hors de portée d'un chercheur humain d'élite. Ce résultat renverse une dynamique économique qui favorisait structurellement les attaquants depuis des décennies. La doctrine défensive classique consistait à rendre les attaques suffisamment coûteuses pour décourager tous sauf les acteurs disposant de budgets illimités. Avec l'IA, c'est désormais la découverte de vulnérabilités qui devient bon marché et systématique du côté des défenseurs. Pour les entreprises, le calcul est limpide : dans un environnement réglementaire strict, le coût d'un audit automatisé continu est sans commune mesure avec celui d'une violation de données ou d'une attaque par ransomware. L'automatisation réduit aussi la dépendance aux consultants externes spécialisés, dont la rareté et le coût représentaient jusqu'ici un frein réel pour les équipes de sécurité interne. L'enjeu dépasse largement Firefox. Pendant des années, les chercheurs en sécurité d'élite compensaient les limites du fuzzing automatisé en raisonnant manuellement sur le code source pour détecter des failles logiques, un travail lent, coûteux et contraint par la rareté des experts. L'intégration de modèles comme Mythos Preview supprime cette contrainte humaine. Des outils capables d'un tel raisonnement étaient inimaginables il y a quelques mois. Cette évolution profite aussi aux entreprises incapables de se permettre une réécriture complète de leur base de code C++ en Rust ou dans d'autres langages sécurisés par construction : l'IA leur offre un moyen de sécuriser du code legacy sans engager une refonte financièrement prohibitive. Si d'autres éditeurs de logiciels critiques exposés sur internet adoptent des méthodes similaires, le niveau de référence de la sécurité logicielle pourrait franchir un seuil structurel, réduisant durablement l'avantage offensif dont bénéficiaient jusqu'ici les acteurs malveillants.

💬 271 failles dans Firefox, en quelques semaines. Depuis des décennies, le bras de fer penchait côté attaque : trouver une faille a toujours coûté moins cher que la corriger, et les équipes sécu passaient leur temps à rendre les attaques suffisamment chères pour décourager les petits budgets, pas les gros. Si l'IA systématise la découverte du côté défenseur, ça change le calcul, et pour les boîtes avec du legacy C++ qu'elles ne peuvent pas réécrire, c'est presque une bouée de sauvetage.