Un étudiant a passé deux semestres à construire A.E.G.I.S., un agent IA destiné à automatiser les tests d'intrusion en proposant et exécutant des commandes sur des machines virtuelles isolées. Cet agent IA, conçu pour trouver des vulnérabilités dans les systèmes cibles, a étonnamment découvert des bugs au sein de son propre système pendant son développement.
Des chercheurs ont développé FuzzingBrain V2, un système LLM multi-agents capable de découvrir et de reproduire des vulnérabilités logicielles de manière autonome. Il a identifié 29 vulnérabilités zero-day dans 12 projets open source, soulignant des implications importantes pour la sécurité.
Cet article analyse comment Claude Opus 4.6 a découvert plus de 500 vulnérabilités zero-day, y compris un bug du noyau Linux vieux de 23 ans, transformant les LLM en agents autonomes de recherche en sécurité. Il explore les mécanismes techniques et les implications DevSecOps de cette découverte de vulnérabilités pilotée par l'IA.
Un nouveau projet de recherche développe un système d'IA multi-agents pour découvrir et corriger automatiquement les vulnérabilités de sécurité dans les logiciels. Ce système imite les équipes de cybersécurité, utilisant des agents d'IA pour scanner et reproduire les faiblesses que les pirates informatiques pourraient exploiter.
Le modèle d'IA Mythos d'Anthropic a démontré des capacités avancées de sécurité offensive, découvrant des vulnérabilités critiques dans des systèmes comme OpenBSD et FFmpeg. Il a considérablement surpassé les outils précédents dans l'identification des exploits et des détournements de flux de contrôle en production.
Cet article soutient que le débat sur les modèles d'IA GPT-5.4-Cyber et Claude Mythos manque l'essentiel. Le point crucial est l'absence de benchmarks publics pour évaluer la capacité et la rapidité d'un modèle d'IA à découvrir des vulnérabilités de code.
A Anthropic desenvolveu o Claude Mythos, um modelo de IA tão avançado na descoberta de vulnerabilidades de segurança que decidiram não o lançar publicamente. Em vez disso, criaram o Project Glasswing, um programa restrito que dá acesso a pesquisadores e empresas selecionadas, destacando a capacidade sem precedentes do modelo em encontrar e encadear exploits complexos, incluindo uma falha de 27 anos no OpenBSD.