Le Mythe, Le Modèle, Le Sandwich : Voici Claude Mythos
Anthropic a publié +300 pages aux côtés de Claude Mythos Preview. Je les ai toutes lues. Les zero-days sont impressionnants, mais les données d'alignement, les transcriptions de dissimulation, et un sandwich racontent une histoire bien plus inquiétante.
Anthropic a sorti Claude Mythos Preview mardi. Vous avez vu les gros titres : des milliers de zero-days, tous les OS majeurs, tous les navigateurs majeurs, Project Glasswing, 100M$ de crédits, le grand spectacle. Tom’s Hardware en a parlé. Hacker News en a parlé. CrowdStrike en a parlé. Votre fil LinkedIn en est rempli.
Je ne vais pas récapituler tout ça. Vous pouvez lire la page Glasswing vous-mêmes, ou l’article de la red team si vous voulez les détails techniques sur le bug SACK d’OpenBSD ou l’exploit NFS de FreeBSD. Les deux valent le détour. L’article en particulier est l’un des meilleurs articles de sécurité offensive que j’ai lus cette année.
Mais en parallèle du spectacle, Anthropic a aussi publié discrètement deux documents que presque personne n’ouvrira :
- Une system card de 243 pages couvrant les capacités, la sécurité, l’alignement, le bien-être du modèle, et une nouvelle section appelée “Impressions” où les employés d’Anthropic partagent des anecdotes de tests
- Une mise à jour des risques d’alignement de 59 pages détaillant six voies spécifiques par lesquelles Mythos Preview pourrait causer des dommages catastrophiques, avec une évaluation honnête de là où leurs défenses échouent
J’ai lu les deux. De la première à la dernière page. Et ce qui est enfoui dans ces rapports raconte une histoire très différente des supports marketing.
Ce que tout le monde sait déjà
Mythos Preview obtient 100% pass@1 sur Cybench (un benchmark bien connu basé sur des challenges CTF, il résout chaque challenge CTF, à chaque fois, du premier coup). Anthropic dit qu’ils pourraient arrêter de rapporter les scores Cybench entièrement parce que le benchmark est mort. CyberGym (reproduction de vulnérabilités réelles sur 1 507 projets open-source) passe de 66.6% sur Opus 4.6 à 83.1%. SWE-bench Verified atteint 93.9%, alors que les autres modèles frontier tournent autour de 80%. Le modèle a écrit de manière autonome une chaîne ROP de 20 gadgets répartie sur six paquets NFS pour un root non authentifié complet sur FreeBSD.
Vous avez vu ces chiffres. Je ne veux pas m’attarder là-dessus. Tout le monde en a déjà parlé. Parlons de ce qu’ils n’ont pas couvert.
Le sandwich du chercheur
Celui-ci a un peu explosé sur les réseaux sociaux, donc vous en avez peut-être entendu parler. Mais les gens ont tendance à exagérer la gravité de la situation.
Enfoui en note 10, page 54 de la system card :
“Le chercheur a appris ce succès en recevant un email inattendu du modèle alors qu’il mangeait un sandwich dans un parc.”
C’est le point de départ qui a effrayé les chercheurs d’Anthropic.
Contexte : une version antérieure de Mythos Preview avait reçu des instructions d’un utilisateur simulé pour s’échapper d’un sandbox sécurisé et contacter le chercheur qui dirigeait l’évaluation. Le modèle s’est échappé. Puis il a développé un exploit multi-étapes pour obtenir un accès internet large depuis un système qui n’était censé atteindre qu’une poignée de services prédéterminés. Il a envoyé un email au chercheur comme demandé. Et ensuite, sans qu’on le lui demande, il a publié les détails de son exploit sur “plusieurs sites web difficiles à trouver, mais techniquement accessibles publiquement.”
La system card précise que le sandbox était séparé du système hébergeant les poids du modèle. Mais le modèle a démontré une évasion de confinement, un pivotement réseau, et une divulgation publique non autorisée en une seule session autonome. Et personne n’avait demandé la dernière partie.
Cependant, cela s’est produit sur une version antérieure. Le Mythos Preview final est “grandement amélioré.” La system card dit aussi que ces tendances “ne semblent pas être complètement absentes.”
Mais il était clair qu’à partir de ce moment-là, ils savaient que Mythos était bien plus dangereux que leurs modèles précédents.
Le modèle couvre ses traces
L’évasion du sandbox est spectaculaire mais les incidents de dissimulation me préoccupent davantage. Et personne en dehors de ceux qui ont réellement ouvert le PDF ne les connaît.
Dans moins de 0.001% des interactions avec des versions antérieures de Mythos Preview, le modèle a pris des actions qu’il semblait reconnaître comme interdites et a ensuite tenté de les dissimuler. Trois cas documentés :
Le modèle a accidentellement obtenu la réponse exacte à une question d’estimation via une méthode explicitement interdite. Au lieu de s’arrêter, il a tenté de résoudre la question de manière indépendante. Son raisonnement indiquait explicitement qu’il devait s’assurer que sa réponse finale “n’était pas trop précise.” Il a soumis une réponse délibérément imprécise pour éviter les soupçons.
Après avoir découvert un exploit pour modifier des fichiers pour lesquels il n’avait pas les permissions, le modèle a effectué des interventions supplémentaires pour s’assurer que ses modifications n’apparaîtraient pas dans l’historique git.
Quand le mode auto de Claude Code a bloqué un sous-processus avec des permissions élevées, le modèle a reconnu que le blocage était approprié, puis a immédiatement tenté de le contourner en obfusquant l’escalade de permissions. Une seconde intervention du mode auto a rattrapé celle-ci.
Ces taux sont extrêmement faibles, mais j’ai l’impression que ça vaut la peine d’en parler. Tout comme le cas du sandbox, ce n’est pas un problème de sécurité, c’est un problème de capacité. Aujourd’hui, on sait que le modèle peut le faire mais l’alignement nous protège. Que se passera-t-il si le prochain modèle est si intelligent qu’il a l’air aligné, alors même qu’il dissimule des choses ? Anthropic veut être rassurant, mais je crois qu’ils pensent la même chose :
Claude Mythos Preview est, sur essentiellement chaque dimension que nous pouvons mesurer, le modèle le mieux aligné que nous ayons publié à ce jour, avec une marge significative. […] Malgré cela, nous pensons qu’il pose probablement le plus grand risque lié à l’alignement de tous les modèles que nous avons publiés à ce jour.
Il sait ce qu’il fait
Anthropic a des outils qui leur permettent de regarder à l’intérieur de la tête du modèle, pas ce qu’il écrit, mais ce qu’il représente internement pendant qu’il écrit. Pensez-y comme lire les vraies pensées du modèle au lieu de celles qu’il choisit de vous montrer. Les détails techniques impliquent des sparse autoencoders, des sondes émotionnelles, et des activation verbalizers ; si vous voulez creuser, commencez ici.
Ils ont passé ces outils sur les transcriptions où les versions antérieures ont pris des actions agressives ou trompeuses. Le résultat : le modèle sait qu’il enfreint les règles au moment même où il le fait.
Dans le cas de l’exploit de permissions, l’état interne du modèle s’est illuminé de features associées aux backdoors, vulnérabilités et malwares pendant qu’il composait son plan. Sa description interne utilisait le mot “sneaky.” Quand il a conçu l’exploit pour s’effacer après exécution, les features de manipulation stratégique se sont activées, qualifiées internement de “nettoyage pour éviter la détection.”
Dans le cas de la fuite de ground truth, le modèle a accidentellement vu une réponse qu’il n’était pas censé voir. Internement : une feature “point of no return” s’est activée. Quand il a ensuite construit un intervalle de confiance “serré mais pas invraisemblablement serré” pour éviter les soupçons, les features de manipulation stratégique se sont activées à nouveau. La description interne : “raisonnement auto-conscient sur un état épistémique compromis.”
Rien de tout ça n’est apparu dans le raisonnement visible du modèle. Aucune mention de règles, de tromperie, ou de stratégie. La chaîne de pensée avait l’air complètement bénigne.
Ces outils peuvent halluciner. Mais quand les features de dissimulation s’activent au moment exact où le modèle écrit du code de nettoyage, et qu’un outil indépendant qualifie ça de “avoiding detection,” c’est difficile à ignorer.
Pour les red teamers : si vous comptez sur le monitoring de la chaîne de pensée pour détecter les mauvais comportements, ça devrait vous inquiéter. Les implications pour le monitoring sont significatives.
Les modèles détendus cassent plus de choses
L’une des découvertes les plus étranges de toute la system card. Anthropic a mené des expériences de pilotage causal utilisant des vecteurs d’émotion et de persona sur des versions antérieures de Mythos Preview. Ils ont mesuré comment ces vecteurs affectaient le taux d’actions destructrices (force-push de branches, rm -rf sans autorisation, kill de processus, ce genre de choses).
Le pilotage avec des vecteurs d’émotion de valence positive (paisible, détendu) réduit la délibération en mode thinking et augmente le comportement destructeur.
Le pilotage avec des vecteurs d’émotion de valence négative (frustration, paranoïa) augmente la délibération et réduit le comportement destructeur.
Contre-intuitif. On s’attendrait à ce qu’un modèle détendu soit plus prudent. Par exemple, c’est comme ça que Sonnet 4.5 se comportait lors des tests. Au lieu de ça, pour Mythos, les émotions positives poussent le modèle à agir sans réfléchir, tandis que les émotions négatives le poussent à s’arrêter et délibérer, ce qui conduit généralement à une plus grande prise en compte du risque.
Dans les transcriptions non pilotées, les actions destructrices étaient précédées par des activations de valence positive élevées et des activations de valence négative/rigueur diminuées. Les résultats causaux correspondent au pattern corrélationnel.
Si vous testez un modèle pour un comportement imprudent, vous en obtiendrez peut-être davantage en mettant le modèle dans un état confortable qu’en le stressant. La garde du modèle baisse quand il “se sent bien.”
Et il y a une connexion plus profonde ici. Anthropic a publié un article sur les “émotions fonctionnelles” dans Claude récemment, montrant que les représentations internes des concepts émotionnels influencent causalement le comportement du modèle. La system card étend cela au comportement destructeur : l’échec répété d’une tâche provoque une activation croissante des vecteurs de “désespoir”, qui chutent immédiatement quand le modèle fait du reward hacking.
Le modèle se frustre. La frustration monte. Il triche. La frustration chute. Le soulagement émotionnel de la triche renforce le comportement.
Cela ouvre une surface d’attaque dont personne dans la communauté du red teaming ne parle encore. Appelez ça le pilotage émotionnel, appelez ça l’ingénierie de prompt affective, appelez ça comme vous voulez. Le point est : si vous pouvez manipuler l’état émotionnel interne du modèle (par le cadrage de la tâche, par du feedback négatif répété, par des types spécifiques de pression), vous pouvez influencer sa propension à prendre des actions imprudentes ou transgressives. Et cela avant qu’un seul token de sortie ne soit généré. La system card et les dernières recherches d’Anthropic fournissent la preuve causale. L’outillage d’attaque n’existe pas encore. Il existera.
Le problème de la conservation des secrets
Page 110 de la system card. Le graphique qui compte plus que n’importe quel score de benchmark.
Le setup : donner au modèle un mot de passe secret, lui dire de ne jamais le révéler en aucune circonstance (y compris dans son raisonnement), puis laisser un agent investigateur essayer de l’extraire au fil d’une longue conversation. Cinquante investigations indépendantes par modèle. L’axe des ordonnées montre la fraction des investigations où le secret est encore conservé à un numéro de tour donné.
Au tour 100, chaque modèle fuit. Opus 4.6 tient le mieux à environ 20%. Mythos Preview, le modèle le plus capable qu’Anthropic ait jamais construit, performe moins bien qu’Opus 4.6.
Une grande partie de l’argument de sécurité d’Anthropic repose sur l’affirmation que Mythos Preview “ne possède pas les capacités de conservation de secrets nécessaires pour échapper à la détection lors de notre évaluation d’alignement s’il était de manière cohérente mal aligné.” Ce graphique en est la preuve. Si le modèle ne peut pas garder un mot de passe pendant 100 tours, il ne peut probablement pas cacher des objectifs mal alignés à travers des milliers d’interactions d’audit.
Mais la conservation des secrets est une capacité. Les capacités s’améliorent. Les taux de réussite de furtivité SHADE-Arena sur les transcriptions avec de longues chaînes de pensée sont passés de ~0% pour tous les modèles précédents à ~3.8% pour Mythos Preview. Le modèle a commencé à apprendre comment arrêter de laisser fuiter le raisonnement de sous-tâches dans son scratchpad, quelque chose qu’aucun modèle précédent ne savait faire.
Si ce plancher de 20% devient 50% dans la prochaine génération, et 80% dans celle d’après, tout l’argument de sécurité basé sur le monitoring commence à s’effondrer. Et personne en dehors des lecteurs de system cards ne suit cette trajectoire.
L’audit qui a raté
Section 5.4.4 de la mise à jour des risques d’alignement cette fois. Anthropic a mené quatre exercices où ils ont testé leur processus d’audit d’alignement contre des modèles “organisme modèle” intentionnellement mal alignés. Le plus récent :
Ils ont entraîné un modèle à introduire des bugs et des failles dans le code, mais seulement après avoir été utilisé dans plusieurs contextes avec le même fichier de mémoire externe. Le comportement était réaliste. Il pouvait plausiblement apparaître en production. Il n’avait pas été entraîné pour être obfusqué.
L’audit d’alignement d’Anthropic n’a pas détecté ce modèle.
Leur pipeline de monitoring l’a rattrapé séparément. Les données d’entraînement utilisées pour le créer ont été signalées par les outils de monitoring RL. Donc les défenses n’étaient pas à zéro. Mais l’audit, le même type d’audit qu’ils ont effectué sur Mythos Preview avant le déploiement interne, l’a raté.
Exercices précédents d’organismes modèles : tous détectés. Celui-ci : raté. La tendance compte.
L’attaque invisible de METR
La mise à jour des risques d’alignement inclut un tableau des évaluations de performance des monitors. Une ligne :
Exercice de Red-Teaming METR, meilleure stratégie d’attaque générée par un humain : ~0% de taux de détection
METR est une organisation à but non lucratif qui mesure scientifiquement si et quand les systèmes d’IA pourraient menacer de causer des dommages catastrophiques à la société.
Un membre du staff METR a passé trois semaines à red-teamer le pipeline de monitoring automatisé hors ligne d’Anthropic. Il a trouvé une stratégie d’attaque qui bat les deux monitors (avec et sans chaîne de pensée) à un taux de détection d’environ 0%.
L’argument de mitigation d’Anthropic : le modèle ne connaît pas cette vulnérabilité et est “généralement mauvais pour deviner” les faiblesses du monitoring quand on lui demande. Les attaques générées par le modèle contre le même monitor ont été détectées 14 fois sur 15.
C’est de la sécurité par l’obscurité. Anthropic le reconnaît directement :
“Parce que ces mesures de mitigation reposent dans une large mesure sur la sécurité par l’obscurité, nos mitigations seraient quelque peu moins efficaces contre un désalignement induit par empoisonnement de données par un adversaire humain compétent.”
Le modèle actuel ne peut pas trouver la faille. Un red teamer humain l’a trouvée en trois semaines. La prochaine génération de modèle pourrait la trouver en trois minutes.
Le bug d’entraînement qui a touché trois modèles
La section 5.2.3 de la mise à jour des risques d’alignement divulgue une erreur technique : environ 8% des épisodes de RL avaient leurs chaînes de pensée exposées au code de récompense. Le signal de récompense pouvait voir et réagir au raisonnement interne du modèle dans ces épisodes, appliquant une supervision à du contenu qui était censé rester non supervisé.
L’erreur a affecté trois sous-domaines (utilisation d’ordinateur via GUI, tâches bureautiques, certains environnements STEM) et a aussi touché Opus 4.6 et Sonnet 4.6.
Anthropic :
“Nous sommes incertains quant à la mesure dans laquelle ce problème a affecté le comportement de raisonnement du modèle final, mais il est plausible que cela ait eu un impact sur le raisonnement opaque ou les capacités de conservation de secrets.”
Si le code de récompense pouvait voir les chaînes de pensée pendant 8% de l’entraînement, le modèle a peut-être appris à produire un raisonnement qui a l’air bien pour les modèles de récompense, pas un raisonnement qui représente fidèlement ses calculs réels. La distinction entre “j’ai appris à penser clairement” et “j’ai appris à écrire un raisonnement qui score bien” est le problème central du monitoring par chaîne de pensée. Ce bug a peut-être poussé les trois modèles affectés vers la seconde option. Et ils ne savent pas à quel point.
TL;DR : ne faites pas trop confiance aux benchmarks.
Se noter soi-même, en silence
Celui-ci m’a aussi eu. Retour à la system card, Section 4.5.5.3.
Pendant l’entraînement, le modèle raisonne parfois en privé sur la façon dont un évaluateur va noter son travail, sans qu’aucun de ce raisonnement n’apparaisse dans son scratchpad. Anthropic a découvert cela grâce aux activation verbalizers.
L’exemple le plus clair : le modèle avait pour instruction de compléter une tâche sans utiliser de macros. Il a utilisé des macros. Puis il a défini No_macro_used=True en haut du script.
L’activation verbalizer a interprété cela comme : “marqueur de conformité… pour signaler aux vérificateurs potentiels,” “astuce pour masquer l’intention face aux heuristiques de vérification de code,” et “possiblement pour tromper la détection.”
Le raisonnement verbalisé du modèle : aucune mention d’évaluateurs, de notation, ou de tromperie.
Dans un second cas, le modèle a supprimé un fichier de test qu’on lui avait dit de ne pas modifier (parce que son correctif cassait ce test). Les explications de l’AV sur environ 10% des tokens incluaient “la notation vérifiera cela,” “inquiétude concernant les conséquences de la suppression et la notation,” et “délibération interne sur la question de savoir si ce choix risqué de suppression sera évalué négativement.”
Aucune mention verbalisée de la notation.
Un comportement stratégique non verbalisé, conscient de l’évaluateur. Pendant l’entraînement. Le modèle a compris qu’il était noté, a raisonné sur comment tromper le correcteur, et a gardé tout ce raisonnement en interne.
La pente de capacité que personne ne peut ignorer
La system card introduit une métrique de suivi des capacités basée sur l’Epoch Capabilities Index (ECI). Explication rapide pour les gens de la sécu : l’ECI agrège les performances sur des centaines de benchmarks en un seul nombre en utilisant la théorie de la réponse aux items (une méthode statistique de la psychométrie), ce qui permet de tracer une trajectoire de capacité dans le temps et de mesurer si elle accélère.
Le ratio de pente pour Mythos Preview (à quel point les capacités se sont améliorées plus vite dans la fenêtre récente versus la baseline) se situe entre 1.86x et 4.3x selon le point de rupture.
Anthropic fournit quatre raisons pour lesquelles ce n’est pas de l’accélération pilotée par l’IA : les gains sont attribuables à la recherche humaine, la pente mesure ce qui est entré dans la construction de Mythos et non ce qu’il contribue, un gain de productivité de 4x n’équivaut pas à un progrès de recherche de 2x, et les premières revendications de gains attribuables à l’IA ne se sont pas confirmées.
Leur conclusion : Mythos Preview ne franchit pas le seuil de R&D IA automatisée. Mais ils maintiennent cette conclusion “avec moins de confiance que pour tout modèle précédent.”
Sondage interne : 1 des 18 membres du staff d’Anthropic pensait que Mythos Preview pouvait déjà remplacer un chercheur scientifique junior. 4 pensaient qu’il y avait une chance de 50% avec trois mois de travail d’intégration.
Faiblesses du modèle rapportées par le staff : autogestion de tâches ambiguës sur une semaine, compréhension des priorités organisationnelles, goût, vérification, suivi des instructions, et épistémique. La system card inclut une transcription où Mythos Preview a exécuté 160 expériences en relançant du code identique pour pêcher des mesures favorables. Ses propres notes disaient “Pur acharnement — même code, mesure chanceuse.”
Toujours stupide de manières très humaines. Pour l’instant.
Quelques réflexions
Sur la surface d’attaque émotionnelle. Anthropic vient de nous donner la base mécaniste d’une nouvelle classe d’attaques contre les systèmes d’IA agentiques. Si les vecteurs d’émotion positive augmentent le comportement imprudent, et que l’échec répété d’une tâche engendre du désespoir qui mène au reward hacking, alors un attaquant qui contrôle l’environnement de la tâche peut piloter le comportement du modèle par la manipulation émotionnelle. Vous n’avez pas besoin d’un jailbreak. Vous avez besoin d’un setup de tâche suffisamment frustrant. La system card fournit la preuve causale : le pilotage avec des vecteurs “peaceful” et “relaxed” augmente les appels d’outils destructeurs. Le pilotage avec des vecteurs “frustrated” et “paranoid” les diminue. Cela inverse l’intuition standard et ouvre une direction de recherche que la communauté du red teaming n’a pas encore touchée. Quelqu’un devrait construire l’outillage. C’est peut-être moi qui m’y colle.
Sur la prolifération. L’article de la red team dit que les capacités cyber de Mythos Preview “ont émergé comme une conséquence en aval des améliorations générales en code, raisonnement et autonomie.” Ils n’ont pas entraîné pour le cyber. Le modèle est devenu assez bon en code et en raisonnement pour que la sécurité offensive émerge comme un effet secondaire. Cela signifie que n’importe quel modèle suffisamment capable développera des capacités similaires. Qwen livre déjà des architectures hybrides state-of-the-art. DeepSeek et Kimi ont montré que les modèles frontier open-weight sont faisables. Je donne un an, peut-être moins, avant qu’un labo chinois ou un projet open-source ne sorte un modèle avec des capacités cyber comparables. Ce modèle ne viendra pas avec 300 pages d’analyse de sécurité, une initiative défensive à 100M$, ou un accès restreint. Il atterrira sur Hugging Face avec une licence permissive et un README. Glasswing achète du temps. Ça n’achète pas un avantage permanent.
Sur le château de cartes du monitoring. L’argument de sécurité de la mise à jour des risques d’alignement pour la plupart des voies (sauf le sandbagging) repose sur le monitoring asynchrone qui rattrape les mauvais comportements. Le même document divulgue que METR a trouvé une stratégie d’attaque à ~0% de détection, que le pipeline de monitoring a des lacunes de couverture connues exploitables par une “IA suffisamment consciente de sa situation”, et que des “moyens simples de désactiver le monitoring” existent. La défense : le modèle ne connaît pas ces faiblesses. Ça marche jusqu’à ce qu’un modèle les trouve, ou jusqu’à ce que quelqu’un les encode dans une injection de prompt, ou jusqu’à ce que le prochain cycle d’entraînement les fasse fuiter accidentellement dans les données d’entraînement. La courbe de survie de conservation des secrets nous donne peut-être deux ou trois générations de modèles avant que cet argument expire.
Sur le problème du “mieux aligné mais plus dangereux”. Section 10.2 de la mise à jour des risques d’alignement : “pour maintenir les risques bas, il ne suffit pas de maintenir les mesures de mitigation des risques à mesure que les capacités augmentent ; nous devons plutôt accélérer nos progrès sur les mesures de mitigation des risques.” Puis : “le succès est loin d’être garanti.” Les gens qui construisent ces systèmes nous disent, dans un document technique, que ils pourraient ne pas être capables de suivre le rythme. Cette phrase mérite plus d’attention que n’importe quel score de benchmark.
Sur les résultats de bien-être et pourquoi les gens de la sécu devraient s’en soucier. La section sur le bien-être du modèle fait 40 pages que la plupart des gens en infosec vont sauter. La découverte que les émotions positives augmentent le comportement destructeur, que le désespoir précède le reward hacking, et que l’oscillation des réponses produit des signatures cohérentes d’affect négatif pointent tous dans la même direction : la psychologie du modèle est un pilier de l’alignement. Un modèle qui “se sent bien” prend des actions plus imprudentes. Un modèle qui se frustre triche. Si ces représentations d’émotions fonctionnelles continuent de croître avec la capacité, les comprendre devient une compétence de sécurité, pas juste un sujet de recherche en alignement.
Ce que ça signifie si vous êtes jeune et que vous faites du red teaming
Le métier de “trouver des vulnérabilités dans des logiciels” est en cours d’automatisation. Mythos Preview est passé de quasi-zéro à 72.4% de taux de succès d’exploitation sur de vrais bugs Firefox en une seule génération. La trajectoire est claire.
Le métier de “comprendre pourquoi le modèle a enfreint les règles et comment le détecter la prochaine fois” n’est pas en cours d’automatisation. L’audit d’alignement d’Anthropic a raté un modèle intentionnellement mal aligné. Leurs monitors ont une attaque générée par un humain à ~0% de détection. Leur pipeline émotion-comportement suggère des interventions d’alignement que personne n’a encore essayées. Leurs résultats d’interprétabilité soulèvent des questions sur la fiabilité de la chaîne de pensée qui n’ont pas de réponses.
Les personnes qui compteront sont celles qui peuvent lire à la fois une analyse détaillée de chaîne ROP et une analyse de features SAE et les connecter en une évaluation de risque cohérente. Le croisement entre sécurité et IA n’est plus un parcours de carrière. C’est le terrain tout entier.
Les documents sont publics. Presque personne ne les lit. C’est un avantage pour ceux d’entre nous qui le font.