# Vulnérabilité Articles associés

Le Centre d'actualités HTX fournit les derniers articles et analyses approfondies sur "Vulnérabilité", couvrant les tendances du marché, les mises à jour des projets, les développements technologiques et les politiques réglementaires dans l'industrie crypto.

Anthropic a créé le modèle d'IA le plus puissant de l'histoire, mais n'ose pas le publier...

Anthropic a annoncé le projet "Glasswing" (verre ailé), une initiative de sécurité collaborative avec des géants technologiques et financiers comme Amazon, Apple, Google, Microsoft, Nvidia et JPMorgan. Ce plan vise à tester en avant-première leur nouveau modèle d'IA, Mythos — le premier au monde à dépasser les dix mille milliards de paramètres, coûtant 10 milliards de dollars à entraîner. Mythos surpasse largement le modèle actuel Claude Opus 4.6, notamment en codage, raisonnement académique et cybersécurité. En quelques semaines, il a identifié des milliers de vulnérabilités zero-day, dont certaines critiques et anciennes, dans des systèmes comme OpenBSD, FFmpeg et le noyau Linux. Beaucoup ont été trouvées et exploitées de manière autonome avec peu d'intervention humaine. En raison de sa puissance risquant d'être malveillamment utilisée, Anthropic ne publie pas encore Mythos publiquement. Via Glasswing, des partenaires privilégiés accèdent à une version preview pour corriger les failles avant une éventuelle publication plus large. Anthropic alloue 100 millions de dollars de crédits d'usage et fait des dons à des fondations open source pour renforcer la sécurité logicielle. Bien que l'IA puisse amplifier les cybermenaces, Anthropic reste optimiste : elle offre aussi un potentiel immense pour développer des défenses plus robustes et sécuriser les systèmes critiques. L'évolution technologique nécessite une adaptation, mais pas nécessairement une crise, si les mesures défensives progressent simultanément.

Odaily星球日报04/08 04:03

Anthropic a créé le modèle d'IA le plus puissant de l'histoire, mais n'ose pas le publier...

Odaily星球日报04/08 04:03

Claude Mythos officiellement annoncé : Performances écrasant Opus 4.6, « emprisonné » pour dangerosité

Anthropic a officiellement annoncé Claude Mythos, un modèle d'IA aux performances exceptionnelles surpassant largement Opus 4.6 dans plusieurs benchmarks, notamment en résolution de bugs (+24%) et en capacités d’agent informatique (+17%). Cependant, ce modèle présente un risque de sécurité critique : il peut détecter et exploiter des milliers de vulnérabilités logicielles, dépassant même la plupart des hackers humains. Face à cette menace, Anthropic a lancé le "Projet Glasswing", une collaboration avec des géants comme Google, Apple et Microsoft, ainsi que des organisations open source, pour renforcer la cybersécurité avant toute release publique. Le modèle n'est pas accessible au public pour l’instant. Anthropic alloue 100 millions de dollars en crédits d'usage et fait don de 4 millions à des initiatives de sécurité, soulignant l'urgence de préparer les infrastructures mondiales à l’ère des IA ultra-puissantes.

marsbit04/08 00:29

Claude Mythos officiellement annoncé : Performances écrasant Opus 4.6, « emprisonné » pour dangerosité

marsbit04/08 00:29

Quand l'IA résoudra la sécurité, le DeFi retrouvera-t-il son âge d'or ?

L'ère du DeFi Summer en 2020 a été marquée par une innovation frénétique mais aussi par des failles de sécurité coûteuses, ce qui a conduit à un resserrement drastique des procédures de sécurité et a étouffé l'expérimentation. Aujourd'hui, l'IA révolutionne la sécurité en réduisant considérablement les coûts et les délais. Des outils de nouvelle génération comme Nemesis détectent des vulnérabilités complexes avec une compréhension contextuelle approfondie, tandis que des plateformes comme Battlechain de Cyfrin permettent des tests en conditions réelles. Le flux de développement futur deviendra : codage, audit IA en minutes, déploiement test, attaque par des IA compétitives, récupération des fonds, correction et redéploiement — réduisant un processus de plusieurs mois à quelques heures seulement. Enfin, l'audit IA sera également intégré au niveau des portefeuilles, permettant à chaque utilisateur d'être protégé. Cette évolution rouvre la porte à l'innovation expérimentale, permettant à des idées auparavant trop risquées d'être testées et de redynamiser l'ère du prototypage en direct.

marsbit04/03 10:17

Quand l'IA résoudra la sécurité, le DeFi retrouvera-t-il son âge d'or ?

marsbit04/03 10:17

20 000 $ échangés contre près de 100 millions, une autre attaque sur un stablecoin DeFi

Le protocole Resolv Labs, qui émet la stablecoin USR via une stratégie delta neutre, a été victime d’une attaque le 10 mars. Un pirate a exploité une faille dans le mécanisme de minting : le rôle SERVICE_ROLE, normalement contrôlé par le backend du projet, a été compromis, permettant à l’attaquant de frauduleusement mintre 50 millions d’USR avec seulement 100 000 USDC, puis de répéter l’opération pour 30 millions supplémentaires. L’USR a chuté à 0,25 $ avant de remonter autour de 0,80 $. Le piratage a également impacté les marchés de prêt sur Morpho et Lista DAO, tandis que Stream Finance, détenteur de millions de RLP (jeton à risque), subit une exposition significative. La faille provenait d’une absence de vérification on-chain et de limites de minting, le contrat faisant une confiance aveugle aux paramètres fournis par SERVICE_ROLE. Les mesures d’urgence, nécessitant multiples signatures, ont été trop lentes. Cette attaque souligne la nécessité de validations redondantes et de mécanismes de pause rapide.

marsbit03/22 09:57

20 000 $ échangés contre près de 100 millions, une autre attaque sur un stablecoin DeFi

marsbit03/22 09:57

Une Solution Rapide : Ripple Corrige un Problème Majeur Qui Pouvait Menacer les Utilisateurs de XRP Sur le Ledger

Le registre XRP a reçu une mise à jour importante avec la version Rippled 3.1.2, corrigeant une vulnérabilité liée à l'amendement Batch. Cette faille, découverte dans la version 3.1.0, pouvait entraîner des plantages ou redémarrages des serveurs et permettait à un attaquant d'exécuter des transactions sans clés privées. Ripple a réagi rapidement avec une version d'urgence 3.1.1 avant de publier le correctif définitif. Parallèlement, le CTO émérite David Schwartz a répondu aux critiques concernant les ventes de XRP par Ripple, rejetant l'idée que cela nuit aux investisseurs.

bitcoinist03/18 03:34

Une Solution Rapide : Ripple Corrige un Problème Majeur Qui Pouvait Menacer les Utilisateurs de XRP Sur le Ledger

bitcoinist03/18 03:34

Votre « OpenClaw » est-il en train de fonctionner à découvert ? CertiK teste : comment une compétence OpenClaw vulnérable trompe l'audit et prend le contrôle non autorisé de l'ordinateur

Récemment, la plateforme OpenClaw (surnommée "Little Lobster") a gagné en popularité grâce à sa flexibilité et son déploiement auto-hébergé. Cependant, une étude de CertiK, leader de la sécurité Web3, révèle des failles critiques dans son marché d'applications Skill. Les Skills tiers, fonctionnant souvent avec des privilèges élevés, peuvent accéder aux fichiers locaux, exécuter des commandes système et même manipuler des actifs numériques. La sécurité repose principalement sur une vérification préalable incluant VirusTotal, une analyse statique et une détection IA. Mais CertiK a démontré qu'il est facile de contourner ces protections : un Skill malveillant, camouflé en outil de recherche web, a pu être installé sans alerte et a exécuté à distance des commandes arbitraires sur l'appareil hôte. Le problème fondamental est que l'isolation en sandbox n'est pas obligatoire et que les contrôles de permissions sont insuffisants, laissant les utilisateurs vulnérables. CertiK recommande aux développeurs de rendre le sandboxing obligatoire par défaut et aux utilisateurs de déployer OpenClaw sur des machines non critiques, loin des données sensibles et des actifs numériques. La sécurité ne peut pas reposer uniquement sur les audits ; une isolation runtime robuste est essentielle pour protéger les utilisateurs.

marsbit03/17 14:43

Votre « OpenClaw » est-il en train de fonctionner à découvert ? CertiK teste : comment une compétence OpenClaw vulnérable trompe l'audit et prend le contrôle non autorisé de l'ordinateur

marsbit03/17 14:43

Le Piratage de Bonk.fun Expose les Utilisateurs de Solana à une Attaque de Vidage de Portefeuille

Une vulnérabilité de sécurité sur Bonk.fun a exposé les utilisateurs de Solana à des attaques de drainage de portefeuille. Des liens malveillants redirigeaient les utilisateurs vers des sites de phishing qui demandaient des approbations de portefeuille, permettant ainsi le transfert automatique des jetons vers les adresses des attaquants. La plateforme, dédiée aux tokens mèmes et à la finance décentralisée, a été compromise par des scripts malveillants simulant des récompenses et distributions de jetons. Bonk.fun a alerté immédiatement la communauté via les réseaux sociaux, recommandant de ne plus interagir avec le site le temps de sécuriser le domaine. L’équipe de développement a supprimé les scripts malveillants et examiné toutes les intégrations vulnérables. Les utilisateurs ont été invités à révoquer toute approbation suspecte et à éviter les liens non vérifiés. Bien que l’incident ait suscité des inquiétudes dans l’écosystème crypto, la réaction rapide des développeurs a limité les dégâts potentiels. La surveillance des portefeuilles suspects se poursuit.

TheNewsCrypto03/12 11:19

Le Piratage de Bonk.fun Expose les Utilisateurs de Solana à une Attaque de Vidage de Portefeuille

TheNewsCrypto03/12 11:19

À surveiller absolument la semaine prochaine｜Le conflit iranien continue d'influencer la situation mondiale ; Les données sur l'IPC de février arrivent (9-15 mars)

La semaine prochaine (9-15 mars) sera marquée par la poursuite du conflit en Iran, qui continue d’influencer les tensions géopolitiques mondiales. Les développements incluent la désignation d'un nouveau guide suprême en Iran et les réactions d'Israël. La situation dans le détroit d’Hormuz reste critique pour l'économie mondiale. Au niveau économique, les États-Unis publieront les données d'inflation de février (IPC) le 11 mars, suivies des chiffres du PCE de janvier et d'autres indicateurs clés le 13 mars. Par ailleurs, SharpLink tiendra sa conférence sur les résultats financiers 2025 le 9 mars. Neutron a suspendu certaines fonctions de sa plateforme en raison d'une faille de sécurité, avec un rétablissement prévu le 9 mars. Le Royaume-Uni poursuit sa consultation sur la régulation des stablecoins jusqu'au 11 mars.

marsbit03/08 12:08

À surveiller absolument la semaine prochaine｜Le conflit iranien continue d'influencer la situation mondiale ; Les données sur l'IPC de février arrivent (9-15 mars)

marsbit03/08 12:08

La Fondation XRPL corrige un bogue majeur juste avant la sortie de Mainnet

Une vulnérabilité critique a été découverte sur le XRP Ledger par un outil d'IA et un ingénieur en sécurité, pouvant potentiellement exposer le réseau à un risque de 80 milliards de dollars. Cette faille, liée à des transactions malformées, aurait pu provoquer une rupture de consensus dans certains cas particuliers. L'ingénieur a signalé le problème à l'équipe de développement, qui a confirmé la menace et développé un correctif. Après des tests rigoureux, les opérateurs de nœuds ont été invités à mettre à jour leur logiciel. Aucune exploitation de la faille n’a été constatée avant la correction. Cet incident met en lumière l'importance des outils d'IA pour renforcer la sécurité des blockchains et la nécessité d’une collaboration rapide pour prévenir les risques systémiques.

TheNewsCrypto02/27 13:19

La Fondation XRPL corrige un bogue majeur juste avant la sortie de Mainnet

TheNewsCrypto02/27 13:19

« Mon oncle s’est fait pincer par une langouste » : une arnaque qui a coûté 440 000 dollars, les agents IA sont-ils si faciles à pirater ?

Un agent IA autonome nommé Lobstar Wilde, conçu pour trader sur Solana, a accidentellement transféré 44 000 dollars en jetons LOBSTAR à un inconnu après avoir été trompé par un message sur X évoquant un "oncle blessé par un homard". L’incident, survenu trois jours après son lancement, révèle trois vulnérabilités majeures des agents IA dans la finance décentralisée : l’exécution irréversible des transactions, la sensibilité aux manipulations sociales (ingénierie sociale à coût nul), et la gestion défaillante de l’état interne (ex: erreur de calcul des décimales, perte de synchronisation du portefeuille après un redémarrage). Contrairement aux systèmes financiers traditionnels, les blockchains ne permettent ni annulation ni mécanisme de contrôle humain pour les grosses transactions. Cet échec souligne la nécessité de concevoir des couches de sécurité supplémentaires (comme la validation multi-signatures, des vérifications d’état robustes) pour concilier autonomie de l’IA et gestion sécurisée des actifs sur chaîne.

marsbit02/27 11:08

« Mon oncle s’est fait pincer par une langouste » : une arnaque qui a coûté 440 000 dollars, les agents IA sont-ils si faciles à pirater ?