SiliconANGLE a pu examiner une alerte de sécurité d'Oracle Corp. envoyée aux clients cette semaine. Nous pensons qu'il s'agit d'une réponse directe au nouveau modèle d'intelligence artificielle Mythos d'Anthropic PBC, ainsi qu'à d'autres modèles pionniers, qui réduisent considérablement le coût pour les attaquants de découvrir des exploits.
Dans cette analyse de rupture, nous vous donnons notre première vision de ce développement. Voici le contexte :
La sécurité des logiciels est entrée dans une nouvelle phase. Non seulement les modèles s’améliorent dans l’écriture du code ; ils s'améliorent sensiblement dans la lecture du code, le raisonnement sur les systèmes et la recherche de vulnérabilités exploitables qui modifient le modèle de menace en réduisant considérablement le coût pour les attaquants.
La sortie limitée de Mythos par Anthropic est une étape importante. À notre avis, Mythos ne doit pas être considéré comme une annonce de produit ponctuelle ou comme un développement exclusivement anthropique. Il s'agit plutôt d'un premier signe de la direction que prennent les modèles pionniers : vers une compréhension plus approfondie des logiciels, une découverte automatisée des vulnérabilités et, à terme, des approches d'exploitation plus autonomes.
Nous ne pensons pas que l’industrie devrait trop tourner autour de Mythos en tant qu’événement autonome. OpenAI Group PBC, Google LLC et d'autres principaux fournisseurs de modèles disposent de la capacité technique, de la profondeur de la recherche et, dans certains cas, d'une plus grande capacité de calcul, pour offrir des capacités similaires. Les tâches qui nécessitaient autrefois une main d'œuvre spécialisée (révision du code, analyse des dépendances, évaluation de la configuration et découverte des chemins d'exploitation) deviennent moins chères, plus rapides, automatisées et plus évolutives.
Cela a de profondes implications pour les entreprises technologiques, leurs clients, les éditeurs de logiciels d’entreprise, et cela est particulièrement grave pour les bases de données. Les bases de données se situent au centre de la surface d’attaque de l’entreprise. Ils détiennent les joyaux de la couronne, se connectent à un écosystème d’applications tentaculaire, dépendent de politiques d’identité et d’accès complexes et portent souvent des années de dette de configuration accumulée (et d’expositions qui en découlent). À mesure que les modèles avancés réduisent le coût de recherche des points faibles, la charge incombe aux fournisseurs et aux clients de supposer que les adversaires découvriront les erreurs de configuration et les vulnérabilités latentes plus rapidement que les processus de sécurité traditionnels ne peuvent réagir.
À bien des égards, le mythe a provoqué un choc dans tout l’écosystème technologique. Les organisations ne doivent pas paniquer. Mais ils doivent réagir délibérément et rapidement et travailler en étroite collaboration avec les fournisseurs pour sécuriser leurs environnements. Cette analyse de rupture examine la réponse d'un fournisseur à cette réalité. Nous pensons que c’est un bon exemple de la manière dont les entreprises technologiques devraient réagir de manière générale.
Une nouvelle posture de sécurité est nécessaire
Nous estimons que la bonne réponse ne consiste pas simplement à ajouter des fonctionnalités d'IA ou des correctifs ponctuels à un message de sécurité en réponse à Mythos. Nous considérons plutôt l’alerte Oracle comme signalant la nécessité d’une stratégie de sécurité plus complète. Il s’agit de l’un des premiers exemples de la manière dont les fournisseurs sérieux d’infrastructures et de bases de données devront réagir à mesure que la découverte de vulnérabilités basée sur l’IA se généralise.
Les approches les meilleures et les plus sûres en matière de « IA pour la sécurité » seront celles qui reconcevront leurs plates-formes autour de valeurs par défaut sécurisées, d'un renforcement continu, de mesures correctives automatisées, d'une gouvernance axée sur les politiques et d'une résilience contre un adversaire hautement performant et dont le coût marginal d'attaque diminue rapidement.
Nous sommes dans une nouvelle ère qui nécessite une nouvelle réflexion en matière de sécurité.
En ce sens, Mythe est à la fois un catalyseur et un avertissement. Cela accélère une conversation déjà inévitable : les fournisseurs de technologies doivent procéder à un examen intelligent et automatisé de leurs produits, de leurs configurations et des environnements de leurs clients. La réponse d’Oracle que nous analysons ici est donc importante à la fois comme réaction à un modèle d’une entreprise, mais aussi comme signe avant-coureur de la manière dont l’industrie technologique doit évoluer à l’ère de l’IA – d’autant plus que d’autres modèles pionniers sont mis à jour.
Le fait d'anticiper l'exposition réduit le risque d'Oracle et celui de ses clients
Une collaboration étroite entre Oracle et ses fournisseurs de modèles pionniers est la clé de la protection des données d'entreprise
Dans une note d'assistance divulguée que nous avons pu examiner, Oracle est l'une des premières, sinon la première, grande entreprise technologique à réagir pour anticiper la nouvelle vague de menaces de sécurité basées sur l'IA que nous avons décrites ci-dessus. La notification Oracle décrit comment les modèles d'IA de nouvelle génération accélèrent considérablement la découverte et l'exploitation des vulnérabilités logicielles, permettant aux attaquants d'identifier facilement les faiblesses et d'enchaîner plusieurs failles en attaques sophistiquées. Comme nous l’avons expliqué dès le départ, il s’agit d’un changement fondamental dans le paysage de la sécurité.
Selon la note de support, Oracle s'associe aux principaux fournisseurs de modèles d'IA pour anticiper les retombées afin d'identifier et de corriger les vulnérabilités avant qu'elles ne puissent être utilisées comme arme. Même si nous pensons que Mythos a été un catalyseur, cela s’applique à tous les modèles frontières. La note de support souligne que les clients exécutant les services de base de données cloud d'Oracle, tels que Autonomous AI Database et Exadata Database Service, sont dans une meilleure position que les clients sur site. En effet, ces services cloud, quel que soit leur emplacement – par exemple Amazon Web Services, Microsoft Azure, Google Cloud et Oracle Cloud Infrastructure – bénéficient de capacités de mise à jour automatisées.
Remarque : Les recommandations exigent que les organisations accélèrent les délais de mise à niveau et d'application des correctifs et, dans certains cas, modifier les recommandations précédentes pour faire face à ces nouvelles menaces. Oracle possède la meilleure compréhension de sa pile et exhorte de manière agressive ses clients à être proactifs et à prendre des mesures pour protéger les données de leur entreprise. Nous encourageons nos clients à prendre cela au sérieux en réfléchissant plus largement à la combinaison du renforcement de l'architecture, de la fourniture de correctifs ciblés et de la collaboration proactive avec les principaux fournisseurs de modèles d'IA.
La meilleure façon d'y parvenir est de s'adresser à des fournisseurs de technologie majeurs tels qu'Oracle, car leur accès aux principaux experts des grands fournisseurs de modèles de langage est probablement meilleur que le vôtre. Et chaque fournisseur comprend parfaitement sa propre pile et dispose des ressources pour vous guider.
Voici un extrait de la note de support de l’entreprise :
« Nous comprenons que ces nouvelles recommandations sont différentes de ce que nous avons recommandé dans le passé et obligeront les clients à modifier leurs plans de mise à jour existants. Malheureusement, il n'est pas techniquement possible de rétroporter tous les nouveaux correctifs de sécurité vers des versions de base de données plus anciennes ou des RU plus anciennes. C'est pourquoi nous recommandons la mise à jour vers ces versions et RU récentes. Cependant, nous continuerons à fournir des rétroportages de vulnérabilités CVE connues publiquement ou élevées vers des versions plus anciennes lorsque cela est possible. «
La note de support exhorte les clients à prendre des mesures immédiates en effectuant une mise à niveau vers Oracle Database 19c ou Oracle AI Database 26ai, et en appliquant rapidement les dernières mises à jour trimestrielles ou RU. Bien que cela soit quelque peu égoïste pour Oracle, nous conseillons vivement aux clients de suivre les conseils et de positionner toute dépense supplémentaire dans le cadre d'une nouvelle posture de sécurité nécessaire.
Notamment, les mises à jour à venir, y compris celles prévues pour avril et juillet 2026, devraient être les premières à intégrer un renforcement de la sécurité directement éclairé par des tests avec des modèles d'IA avancés. Selon la note de support, Oracle a rationalisé ces mises à jour pour donner la priorité aux correctifs de sécurité, signalant une évolution vers des cycles de correctifs plus ciblés.
Dans le document, Oracle conseille aux clients de mettre en œuvre Continuité transparente des applicationsqui permet une disponibilité continue pendant les mises à jour logicielles progressives des bases de données. Oracle note qu'il est particulièrement important de mettre en œuvre une isolation réseau stricte des bases de données et d'éviter d'exposer les bases de données directement sur l'Internet public.
De notre point de vue, nous considérons cette note de support comme une indication qu'Oracle prend ces menaces au sérieux et contacte de manière proactive sa clientèle en temps quasi réel concernant les dernières menaces de sécurité basées sur l'IA. Nous espérons et encourageons les autres fournisseurs de bases de données à suivre l'exemple d'Oracle et à se montrer très proactifs pour aider leurs clients à s'adapter à ces changements rapides et inattendus à l'ère de l'IA agentique.
Cette alerte de sécurité coïncide au moment même où Oracle a publié une série d'annonces de nouveaux produits, qui sont probablement les mieux placés pour se défendre contre les menaces potentielles, car ils sont conçus pour l'IA et sont plus automatisés. D'après nos calculs, Oracle a déployé plus de deux douzaines de produits d'IA agentique lors de son AI World Tour à Londres et, comme l'a récemment écrit John Furrier, positionne sa base de données AI comme plan de contrôle de l'IA. La sécurité doit être intégrée à cette couche.
La société a ensuite procédé à des optimisations critiques de la base de données Oracle AI lors du Data Deep Dive New York City, que theCUBE et moi avons couvert en direct depuis la Bourse de New York. Cette notification de sécurité adressée aux clients souligne l'importance accordée par l'entreprise à la fourniture d'une sécurité critique et souligne la nécessité de fixer une nouvelle barre en matière de résilience à l'ère de l'IA agentique.
Nous conseillons aux clients de prendre cela au sérieux et de mettre immédiatement en œuvre les actions recommandées par Oracle, y compris les mises à niveau logicielles, s'ils envisagent d'utiliser Oracle Database dans un avenir proche.
Éléments d'action pour les clients Oracle
Il ne s’agit pas d’un avis de patch de routine. À notre avis, la première étape consiste à déterminer où se situe chaque environnement sur la courbe de sortie du fournisseur. Les clients des versions actuelles ou récentes semblent avoir la voie la plus propre et sont mieux placés pour appliquer les mesures d'atténuation recommandées, bénéficier de paramètres par défaut renforcés et réduire l'exposition sans perturbation opérationnelle majeure.
Les clients utilisant des versions plus anciennes sont confrontés à un compromis plus difficile. Pour obtenir de meilleurs résultats à long terme, ils doivent accélérer les mises à niveau malgré le risque d’introduction de coûts imprévus, de tests et de travaux de gestion du changement. Telle sera la norme à l’avenir.
Nous pensons que la bonne posture est de segmentez votre parc de base installée par risque. Les systèmes critiques, les services accessibles sur Internet, les comptes de bases de données hautement privilégiés et les environnements contenant des données sensibles doivent être prioritaires. Demandez à votre représentant Oracle pour toute information supplémentaire sur la cartographie de l'exposition par version, configuration et type de charge de travail ; identifiez les domaines dans lesquels les nouvelles directives remplacent les recommandations précédentes afin que vous soyez clair sur le nouveau protocole ; et demandez des étapes de validation explicites afin que les équipes puissent prouver que les mesures d'atténuation sont en place. Lorsque des mises à niveau sont nécessaires, les organisations ne doivent pas considérer ces dépenses comme une simple taxe inattendue. Ils devraient considérer cela comme faisant partie du nouveau coût d’exploitation des logiciels à une époque où l’IA réduit le coût marginal de la découverte des faiblesses pour l’attaquant.
Le message plus large est que l’architecture de sécurité doit devenir plus actuelle, plus automatisée et moins dépendante de directives statiques. Les clients doivent inciter les fournisseurs à proposer des configurations sécurisées par défaut, des avis lisibles par machine, des contrôles de posture automatisés et des outils de remédiation qui peuvent être intégrés aux flux de travail SecOps et de gestion des changements existants. La leçon de Mythos et des modèles similaires est que si les attaquants peuvent utiliser l’IA pour raccourcir considérablement les cycles de découverte, les défenseurs doivent recourir à l’automatisation, à la modernisation et à une gouvernance disciplinée pour comprimer les cycles de réponse.
Remarque : Nous avons demandé à Oracle une déclaration formelle et une copie de l'avis. Oracle nous a renvoyé à un article de blog connexe et n'a pas répondu à notre demande d'affichage de l'alerte réelle. De plus, nous avons trouvé deux blogs de Jenny Tsai-Smith, vice-présidente senior de la gestion des produits pour Oracle Database. L’un incite les clients à agir et un autre décrit les ressources que les clients peuvent exploiter dans le cadre d’Oracle AI Factory.
