Depthfirst revendique une chasse aux bugs IA moins coûteuse que le programme Mythos d'Anthropic — Pourquoi l'infrastructure de la cryptomonnaie devrait y prêter attention

12 mai 2026

Le 12 mai 2026, Depthfirst, une startup spécialisée dans la sécurité de l'IA, a annoncé que son modèle autonome de découverte de vulnérabilités avait identifié plusieurs failles Internet de haute gravité qu'elle avait manquées par le programme Mythos d'Anthropic, et ce, pour environ un dixième du coût. Qasim Mithani, PDG de Depthfirst, a qualifié cette approche d'optimisation spécialisée pour la tâche : construire une architecture de modèle finement réglée pour la découverte de vulnérabilités, de sorte que « 1 000 $ de puissance de calcul puissent accomplir ce que 10 000 $ auraient autrement acheté ».

Pour l'industrie de la blockchain et de la cryptomonnaie, le titre n'est pas « qui a trouvé le plus de bugs ». La véritable histoire est que l'économie de la découverte et de l'exploitation des vulnérabilités s'effondre. Ce changement modifie le modèle de menace pour tout ce qui touche aux clés privées : passerelles RPC, tableaux de bord de staking, pipelines de portefeuilles chauds d'échange, interfaces DeFi, et même les navigateurs et systèmes d'exploitation utilisés pour signer des transactions.

La nouvelle réalité de la sécurité : L'IA réduit le coût marginal des zero-days

La découverte de vulnérabilités pilotée par l'IA passe rapidement d'une approche « d'assistance » à une approche « d'agent ». Les modèles peuvent explorer des bases de code, raisonner sur la possibilité d'exploitation et itérer vers des conditions de preuve de concept avec une intervention humaine minimale. Anthropic lui-même a décrit la capacité de classe Mythos comme un changement significatif dans les flux de travail autonomes de découverte et d'exploitation (voir l'article d'Anthropic sur Mythos Preview sous Project Glasswing : Claude Mythos Preview).

L'affirmation de Depthfirst ajoute un second accélérateur : l'efficacité des coûts. Si un modèle spécialisé peut produire des résultats comparables pour environ 10 % des dépenses, alors :

  • Les équipes de défense peuvent analyser plus de code, plus souvent.
  • Les acteurs offensifs peuvent faire de même, y compris cibler l'infrastructure fortement axée sur la cryptomonnaie avec des marges de sécurité plus faibles.

Cela correspond aux signaux plus larges de la veille stratégique. Les équipes de sécurité de Google ont averti que le piratage assisté par l'IA apparaît déjà dans la nature, y compris des activités qui impliqueraient l'IA dans la découverte et l'exploitation d'une faiblesse inconnue de type « zero-day » (rapport sur l'avertissement de Google).

Ce que Depthfirst affirme avoir trouvé (et pourquoi ces cibles sont importantes pour le Web3)

L'annonce de Depthfirst mentionne plusieurs catégories de problèmes dans des logiciels largement déployés. Même sans supposer que tous les détails sont entièrement publics, les types de composants mentionnés sont précisément ceux dont le Web3 dépend :

1) NGINX : La porte d'entrée par défaut pour les RPC, les API et les tableaux de bord

Depthfirst affirme avoir trouvé une faille critique dans NGINX, décrite comme étant de longue date (datant de 2008) et potentiellement affectant une grande partie de l'Internet, avec un correctif attendu bientôt de la part du mainteneur actuel (F5).

Dans la cryptomonnaie, NGINX se trouve couramment devant :

  • Points d'extrémité RPC (limitation du débit, mise en cache, routage, terminaison TLS)
  • API d'explorateurs et d'indexeurs
  • Passerelles de services de garde et de signature (panneaux d'administration internes, trafic entrant inter-services)
  • Couches Web d'échange et de courtiers

Un seul problème NGINX à fort impact peut devenir un événement de « balayage à l'échelle d'Internet ». Pour les opérateurs, la mesure la plus pratique est de surveiller continuellement les avis en amont, car la pensée du « mardi des correctifs » ne résiste pas à la découverte à l'échelle de l'IA. Commencez par l'index en amont : Avis de sécurité NGINX.

2) Linux : Les nœuds validateurs, les indexeurs et les signataires fonctionnent principalement ici

Depthfirst a également fait référence à une grave vulnérabilité Linux avec un potentiel d'exécution de code à distance, qui n'aurait pas été entièrement corrigée au moment de sa divulgation.

Que le bug spécifique se trouve dans l'espace noyau, les bibliothèques courantes ou un service par défaut, la conclusion pour la cryptomonnaie est cohérente :

  • La plupart des flottes de nœuds exécutent des images Linux homogènes.
  • Une fois qu'un exploit fiable existe, les attaquants peuvent passer de « une machine » à « de nombreuses machines », en particulier lorsque les nœuds RPC sont exposés ou que les réseaux internes sont plats.

Si vous maintenez une infrastructure de production, liez votre prise en charge des vulnérabilités à un processus de divulgation coordonnée. Les directives du gouvernement américain sur la divulgation coordonnée des vulnérabilités constituent une base utile pour les programmes et les flux de travail de réponse : Programme de divulgation coordonnée des vulnérabilités de la CISA.

3) Chrome : La couche d'interface utilisateur du portefeuille est un problème de sécurité du navigateur

La déclaration de Depthfirst a également mis en évidence des vulnérabilités dans Google Chrome, dont certaines ont déjà été corrigées par Google.

Pour les utilisateurs de cryptomonnaies, les navigateurs font effectivement partie du périmètre de signature :

  • Les extensions de portefeuille et les fournisseurs injectés résident ici.
  • De nombreuses attaques de phishing réussissent sans « casser la cryptomonnaie » – elles cassent la couche de confiance du navigateur, puis trompent les utilisateurs pour qu'ils signent.

Sur le plan opérationnel, le contrôle le plus simple reste l'un des plus efficaces : maintenir les navigateurs sur des canaux stables et mis à jour, et faire respecter la conformité des versions dans les environnements d'entreprise. Suivez les correctifs en amont via le canal officiel : Sorties de Chrome.

4) FFmpeg : Les bibliothèques « non cryptographiques » se retrouvent dans les systèmes cryptographiques

Depthfirst a également fait référence à des problèmes dans FFmpeg, un framework multimédia open source. Cela peut sembler sans rapport avec la blockchain – jusqu'à ce que l'on considère les déploiements réels :

  • Outils de support qui ingèrent le contenu des utilisateurs (vidéos KYC, pièces jointes de support, téléchargements marketing)
  • Systèmes de modération internes
  • Pipelines de notification qui traitent les médias
  • Tout microservice « utilitaire » intégré dans une image de plateforme plus large

Les propres conseils de sécurité de FFmpeg sont ici : Sécurité FFmpeg.

La leçon du Web3 : les attaquants ne se soucient pas de savoir si une bibliothèque est « native à la cryptomonnaie ». Ils se soucient de savoir si elle est accessible, exploitable et mène à des identifiants, des secrets ou à des mouvements latéraux vers des systèmes de signature.

L'Initiative de Défense Ouverte de Depthfirst : Pourquoi l'accès compte plus que la marque

Depthfirst a également annoncé un nouveau plan appelé l'Initiative de Défense Ouverte, s'engageant à hauteur de 5 millions de dollars en accès/crédits pour rendre ses outils de détection de vulnérabilités IA disponibles aux entreprises et aux développeurs open source.

Si ce modèle (et d'autres similaires) devient largement disponible, nous devrions nous attendre à deux effets opposés simultanément :

  • Une meilleure sécurité pour l'open source, car les mainteneurs et les défenseurs peuvent trouver des bugs plus tôt.
  • Une pression accrue du « bug à l'exploit », car la vitesse de découverte augmente plus rapidement que ce que de nombreux projets ne peuvent trier, corriger et publier.

Ce n'est pas hypothétique. Même aujourd'hui, l'écosystème des vulnérabilités est soumis à une forte pression en raison du volume. Le NIST a publiquement discuté des changements opérationnels pour gérer la croissance record des enregistrements CVE et la priorisation à grande échelle (Mises à jour du NVD du NIST).

Pourquoi la cryptomonnaie est une cible de grande valeur dans un monde accéléré par l'IA

Les systèmes de cryptomonnaie concentrent la valeur d'une manière qui les rend particulièrement attrayants lorsque l'exploitation devient moins coûteuse :

  1. Les clés privées transforment le compromis en perte immédiate et irréversible Une exécution de code à distance sur un serveur ou une porte dérobée dans la chaîne d'approvisionnement peut conduire directement à l'autorité de signature, à la vidange des portefeuilles chauds ou à des mises à jour malveillantes.

  2. Les piles open source et composables élargissent la surface d'attaque Les équipes DeFi et d'infrastructure déploient rapidement, réutilisent les dépendances et intègrent des SDK tiers. L'IA facilite la recherche de maillons faibles dans ce graphe de dépendances.

  3. Le Web3 est opérationnellement « toujours actif » Les nœuds, les indexeurs, les relais, les ponts et les systèmes de teneurs de marché ne peuvent pas simplement s'arrêter pour une longue fenêtre de maintenance sans impacts financiers réels, ce qui est précisément ce que les attaquants exploitent.

  4. Les attaquants s'adaptent déjà Au-delà des annonces des fournisseurs, les rapports de renseignement sur les menaces indiquent maintenant que les criminels expérimentent l'IA pour découvrir et opérationnaliser des faiblesses jusqu'alors inconnues (couverture de l'évaluation de Google).

Une liste de contrôle de défense pratique pour les équipes Web3

Si vous exploitez une infrastructure de cryptomonnaie (services de portefeuille, échanges, fournisseurs RPC, protocoles ou dApps), considérez les priorités suivantes comme des « bases de l'ère de l'IA » :

1) Traitez les composants exposés à Internet comme jetables

  • Utilisez des images immuables, des reconstructions rapides et des déploiements blue/green.
  • Supposez un compromis et concevez pour une rotation rapide.

2) Réduisez le rayon d'explosion autour de l'autorité de signature

  • Isolez les signataires de l'informatique générale.
  • Segmentez strictement les réseaux ; éliminez les chemins entrants vers les hôtes de signature.
  • Exigez des contrôles multiples pour la signature de production (politique + examen humain + limites de débit).

3) Passez de « scanner tout » à « valider l'exploitabilité »

Les outils pilotés par l'IA inonderont les files d'attente si votre processus ne peut pas valider la portée et les chemins d'exploitation. Assurez-vous que votre pipeline peut répondre :

  • Est-ce accessible dans notre déploiement ?
  • Est-ce exploitable avec notre configuration ?
  • Est-ce qu'il touche des secrets, l'authentification ou la signature ?

4) Renforcez la chaîne d'approvisionnement

  • Épinglez les dépendances et vérifiez leur intégrité.
  • Utilisez des builds reproductibles lorsque cela est possible.
  • Signez les versions et vérifiez les signatures lors du déploiement.
  • Surveillez le typosquatting dans les paquets au moment de la création (en particulier dans la CI).

5) Améliorez les compétences en matière de divulgation et de réponse aux incidents

Si l'IA peut trouver des problèmes du jour au lendemain, votre organisation doit :

  • Trier rapidement
  • Corriger en toute sécurité
  • Communiquer clairement
  • Coordonner en amont lorsque le bug concerne une infrastructure partagée

Les directives de divulgation de la CISA constituent un bon point de départ pour la structure du programme et les attentes : Ressources de divulgation de vulnérabilités de la CISA.

Ce que cela signifie pour les utilisateurs de cryptomonnaies au quotidien

Même si vous n'exploitez pas de serveurs, la découverte de vulnérabilités accélérée par l'IA vous affecte toujours car vos transactions touchent :

  • Navigateurs (hameçonnage + bugs de navigateur)
  • Systèmes d'exploitation (vol d'identifiants, détournement du presse-papiers, vol de jetons de session)
  • Sites Web et points d'extrémité RPC (routage malveillant, contenu injecté)

Deux comportements simples sont plus importants que jamais :

  1. Mettez à jour votre navigateur et votre système d'exploitation rapidement Suivez les corrections de Chrome via le canal de publication officiel : Sorties de Chrome.

  2. Gardez les clés privées isolées de la surface d'attaque exposée à Internet C'est là qu'un portefeuille matériel réduit considérablement le risque : même si votre ordinateur est exposé à une faille de navigateur, un flux de signature bien conçu force la confirmation sur l'appareil et empêche les clés privées brutes d'atteindre l'hôte.

Où s'inscrit OneKey : Défense en profondeur pour l'ère de l'IA

L'IA accélérera la découverte de vulnérabilités des deux côtés du combat. Dans cet environnement, la posture de sécurité cryptographique la plus résiliente est stratifiée :

  • Hygiène de l'infrastructure (correction, segmentation, moindre privilège)
  • Contrôles opérationnels (politique de signature, surveillance, réponse aux incidents)
  • Isolation des clés côté utilisateur (signature basée sur matériel)

Pour les utilisateurs axés sur l'auto-garde, la proposition de valeur principale de OneKey correspond directement à cette réalité : garder les clés privées hors des appareils à usage général et exiger une confirmation explicite lors de la signature. À mesure que les couches de navigateur, de système d'exploitation et de serveur Web deviennent plus volatiles sous la découverte à l'échelle de l'IA, l'isolement des clés devient moins une « meilleure pratique » et plus une exigence de base pour une sécurité cryptographique sérieuse.

Sécurisez votre parcours crypto avec OneKey

View details for Boutique OneKeyBoutique OneKey

Boutique OneKey

Le portefeuille matériel le plus avancé au monde.

View details for Télécharger l'applicationTélécharger l'application

Télécharger l'application

Alertes contre les arnaques. Toutes les pièces supportées.

View details for OneKey SifuOneKey Sifu

OneKey Sifu

Clarté Crypto—À un appel de distance.