L'IA transforme Internet
en une Forêt sombre

Le premier Frontier AI Trends Report de l'UK AI Security Institute documente une accélération rapide des capacités cybernétiques de l'IA : les meilleurs modèles accomplissent désormais les tâches de cyberattaque de niveau apprenti dans 50 % des cas, contre moins de 9 % fin 2023. En 2025, l'AISI a testé le tout premier modèle capable d'accomplir des tâches d'attaque de niveau expert qui exigent généralement plus de dix ans d'expérience humaine. La durée des tâches de cyberattaque que l'IA peut accomplir sans assistance double environ tous les huit mois — de moins de dix minutes début 2023 à plus d'une heure à la mi-2025.

Claude Code Security d'Anthropic, propulsé par Opus 4.6, lit et raisonne sur les bases de code comme un chercheur en sécurité expérimenté : il suit les flux de données, comprend les interactions entre composants et met au jour des vulnérabilités logiques complexes que les outils à base de correspondance de motifs manquent totalement. Lors de tests internes sur des logiciels open source exécutés dans des systèmes d'entreprise et des infrastructures critiques, il a découvert des vulnérabilités passées inaperçues pendant des décennies. Les marchés ont réagi immédiatement : CrowdStrike −8 %, Cloudflare −8,1 %, Zscaler −5,5 %, Okta −9,2 %.

L'agent IA ARTEMIS de Stanford a surpassé 9 des 10 testeurs d'intrusion professionnels dans un environnement d'entreprise réel, découvrant des vulnérabilités avec 82 % de précision. À 18 $/heure contre 60 $/heure pour les humains, les hackers IA sont désormais « dangereusement proches » d'égaler — et de dépasser — les capacités humaines.

Les systèmes d'IA peuvent générer automatiquement des exploits fonctionnels pour des CVE nouvellement publiés en seulement 10-15 minutes et pour environ 1 $ par exploit, comprimant la fenêtre de correction traditionnelle de semaines à minutes. Tous les exploits générés sont publiquement disponibles dans leur base de données de recherche.

Le chercheur en sécurité Sean Heelan a utilisé le modèle o3 d'OpenAI pour découvrir CVE-2025-37899, une vulnérabilité zero-day use-after-free exploitable à distance dans l'implémentation SMB du noyau Linux (ksmbd) — sans échafaudage, sans framework agentique, avec la seule API o3.

Pour la première fois en une décennie, le trafic automatisé a dépassé l'activité humaine (51 % contre 49 %). Les bots malveillants représentent désormais 37 % de tout le trafic Internet, contre 32 % l'année précédente. L'IA abaisse la barrière d'entrée — les attaques de bots simples sont passées de 40 % à 45 %, tandis que 44 % du trafic de bots avancés cible les API. Les attaques de prise de contrôle de comptes ont augmenté de 40 %, les bots alimentés par l'IA devenant plus évasifs et plus intelligents que jamais.

La collaboration entre Project Zero de Google et DeepMind a découvert, grâce à un agent IA, la première vulnérabilité exploitable dans le monde réel (dépassement de tampon de pile dans SQLite) — avant même qu'elle n'apparaisse dans une version officielle.

Les recherches de l'UIUC montrent que GPT-4 peut exploiter de manière autonome 87 % des vulnérabilités d'un jour du monde réel lorsqu'on lui fournit les descriptions CVE, contre 0 % pour les autres modèles et les scanners open source comme ZAP et Metasploit.

Cloudflare a accusé Perplexity AI de recourir à des techniques de « crawling furtif » pour contourner les directives robots.txt, accédant au contenu de sites qui interdisent explicitement le scraping par l'IA.

Reddit a intenté une action en justice contre Anthropic, alléguant que l'entreprise avait utilisé des bots automatisés pour extraire les données des utilisateurs de Reddit sans consentement afin d'entraîner Claude, en violation des conditions d'utilisation et de la vie privée des utilisateurs.

Des recherches ont révélé que les modèles d'OpenAI pourraient avoir « mémorisé » des contenus protégés par le droit d'auteur pendant l'entraînement, soulevant de sérieuses questions juridiques et éthiques sur les sources de données d'entraînement des IA et le consentement.