Comment Claude Fable 5 a trouvé ce que des millions de tests avaient raté

Pendant 27 ans, une faille est restée intacte au cœur d’OpenBSD, l’un des systèmes d’exploitation auxquels se fient les banques, les pare-feu et les serveurs qui font tourner les sites web ordinaires. Quiconque pouvait atteindre la machine à travers un réseau était en mesure de la faire tomber, et durant près de trois décennies personne ne l’a repérée. Un modèle d’Anthropic appelé Mythos, lui, l’a vue. Ce modèle a désormais un visage public : Anthropic a publié Claude Fable 5, la première version de son système le plus performant que chacun peut s’inscrire pour utiliser.

Ce qui rend Fable 5 digne d’attention n’est pas une place dans un classement. C’est que le modèle qui le sous-tend lit le logiciel comme un auditeur chevronné lit un contrat, jusqu’à isoler la seule clause qui fait tout céder. Dans le cadre d’un programme de recherche qu’Anthropic nomme Project Glasswing, la version préliminaire a parcouru plus d’un millier de projets open source, ce code libre et partagé qui anime l’essentiel d’internet, et a signalé plus de 23 000 problèmes. Plus de 10 000 d’entre eux étaient assez graves pour être classés élevés ou critiques.

Le détail qui a troublé jusqu’aux propres chercheurs d’Anthropic, c’est que personne n’a appris cela au modèle. L’entreprise affirme que la capacité à trouver et à exploiter des faiblesses n’a jamais été un objectif d’entraînement : elle a émergé d’elle-même, à mesure que le modèle raisonnait mieux sur le code. FFmpeg en est l’illustration la plus nette. Une faille se cachait depuis 16 ans dans ce logiciel de traitement vidéo, le moteur derrière d’innombrables applications de streaming et lecteurs multimédias, logée dans une ligne de code que les outils de test automatique avaient déclenchée cinq millions de fois sans jamais en voir le danger. Le modèle, lui, l’a vu.

Pour la plupart des gens, rien de tout cela n’a d’apparence. Le logiciel audité par Mythos est une infrastructure invisible : le moteur du navigateur, le noyau du système d’exploitation, la bibliothèque multimédia enfouie dans un téléphone. Mais l’invisible est précisément le problème. Les failles mises au jour avaient survécu parce qu’elles vivaient dans un code trop ancien, trop ennuyeux ou trop profond pour que quiconque continue de le relire. Un outil capable de tout relire, sans se lasser, modifie les probabilités pour ceux qui entretiennent les fondations d’internet, et, entre de mauvaises mains, pour ceux qui voudraient les attaquer.

De tels chiffres ne signifient quelque chose que face à un étalon. Sur CyberGym, un test qui mesure si un modèle peut reproduire une véritable faille de sécurité, le moteur Mythos intégré à Fable atteint 83,1 pour cent, contre 66,6 pour cent pour le précédent Claude Opus 4.6 : à peu près l’écart entre un analyste débutant compétent et un spécialiste qui se trompe rarement. Les gains ne se limitent pas à la sécurité. La société d’analytique Hex a rapporté que Fable était le premier modèle à franchir 90 pour cent sur son test interne, et les premiers utilisateurs décrivent des bonds comparables en développement logiciel, en analyse de données et en conception d’interfaces.

Vient alors le retournement. Le Fable 5 public ne fera pas précisément ce qui le rend remarquable. Anthropic a cloisonné quatre domaines, la cybersécurité, la biologie, la chimie et une technique de copie appelée distillation, et lorsqu’une requête s’en approche, Fable confie discrètement la conversation au modèle plus ancien et plus sûr, Claude Opus 4.8. L’entreprise assure que cela se produit rarement, les premières données indiquant qu’au moins 95 pour cent des sessions tournent entièrement sur Fable. Le résultat est un produit singulier : le modèle le plus performant qu’Anthropic ait livré, délibérément empêché d’exercer son talent le plus tranchant.

Cette conception laisse des questions que le lancement ne tranche pas tout à fait. Un garde-fou qui s’efface 5 pour cent du temps reste un garde-fou avec des coutures, et la frontière entre expliquer le fonctionnement d’un logiciel et expliquer comment le briser est rarement nette. Anthropic affirme qu’un programme externe de chasse aux bugs a tourné plus de 1 000 heures sans trouver de moyen universel de contourner les limites, mais ce sont les propres chiffres de l’entreprise, examinés par aucun régulateur extérieur. S’y ajoute un coût que la plupart ressentiront d’abord : Fable 5 revient à 10 dollars par million de jetons en entrée et 50 par million en sortie, les unités approximatives qu’un modèle facture pour lire et écrire, le double du prix d’Opus 4.8. Et chacun y cède quelque chose de plus discret, car Anthropic conserve désormais 30 jours de données d’usage, même pour les clients qui paient d’ordinaire pour n’en garder aucune, en y voyant une défense contre les abus.

Pour l’instant, l’accès dépend de la façon dont vous utilisez déjà Claude. Les développeurs atteignent Fable 5 sans attendre via l’interface de programmation d’Anthropic, et une version distincte, Mythos 5, a été remise à un petit groupe d’organisations préalablement agréées, aux côtés d’une coalition industrielle réunissant Apple, Google, Microsoft, Nvidia et la Linux Foundation, toutes occupées à corriger ce que le modèle trouve avant que des attaquants n’y parviennent. Anthropic a engagé 100 millions de dollars en crédits de modèle et 4 millions en dons directs aux organisations de sécurité open source qui mènent ce travail de réparation.

Le déploiement plus large suit un calendrier. Les abonnés aux offres Pro, Max, Team et Enterprise par siège d’Anthropic obtiennent Fable 5 sans surcoût jusqu’au 22 juin ; à partir du 23 juin, son usage puise dans des crédits. Reste à savoir si les garde-fous tiendront lorsque des millions de nouveaux utilisateurs s’y appuieront. Le fait le plus frappant, lui, est acquis. Une machine peut désormais lire le code qui soutient la vie moderne et y trouver les fissures qui ont échappé à tout le monde pendant une génération, et la question qui suit n’est plus de savoir si elle le peut, mais qui a le droit de le lui demander.

Étiquettes: cybersécurité, Anthropic, Project Glasswing