Galaxy：Anthropic终极模型难题

Auteur : Alex Thorn, directeur général et responsable de la recherche chez Galaxy Digital ; Source : Galaxy Digital ; Traduction : Shaw, Jinse Finance

Le vendredi 12 juin à 17 h 21, heure de l’Est, Anthropic a reçu une directive de contrôle des exportations du Département du commerce des États-Unis, exigeant le blocage des modèles Fable 5 et Mythos 5 à l’échelle mondiale pour tous les étrangers, y compris les employés non américains de l’entreprise elle-même. Les États-Unis ont affirmé que quelqu’un avait trouvé un moyen de contourner les mécanismes de sécurité de Fable 5 et d’accéder aux fonctions de cybersécurité du modèle Mythos sous-jacent.

Cette entreprise d’IA n’a pas pu diviser les autorisations des utilisateurs par nationalité dans le délai imparti par le gouvernement. En quelques heures, elle a donc fermé ces deux modèles à l’échelle mondiale. Tous les autres modèles de la série Claude ont maintenu un service normal.

Deux des modèles de langage les plus avancés du secteur ont ainsi été retirés du marché, simplement sur la base d’une notification privée du gouvernement, sans décision de justice, sans dossier public et sans divulgation complète des conclusions de l’enquête. Mercredi, un utilisateur de Reddit a posté que le modèle Fable 5 était désormais répertorié dans le catalogue de produits de la plateforme AWS Bedrock, ce qui pourrait indiquer que les restrictions sur les canaux cloud sont en train d’être levées. Quoi qu’il en soit, cet événement pose un risque considérable pour l’industrie de l’IA, l’innovation technologique et les marchés financiers américains.

Passer le Rubicon (créer un précédent irréversible)

Le gouvernement américain a essentiellement déclaré qu’il pouvait, par une simple directive administrative, retirer arbitrairement des modèles commerciaux de langage du marché. Bien que cette mesure de contrôle relève du contrôle des exportations, son effet sur le marché équivaut à un rappel de produit.

Le gouvernement fédéral a franchi une ligne rouge dans la régulation de l’IA : auparavant, il se contentait d’établir des règles générales pour le secteur, mais désormais il détient un droit de veto discrétionnaire pour décider quels modèles peuvent être mis à la disposition du public et à quel moment. Une fois ce pouvoir établi, il ne se réduira jamais de lui-même ; si le gouvernement ne modifie pas rapidement sa politique, les directives de contrôle ultérieures seront encore plus faciles à émettre que la présente.

Ce qui aggrave encore ce mauvais précédent, c’est que la base déclenchant ce contrôle est elle-même intenable. La seule experte externe ayant vu le rapport sous-jacent, Katie Moussouris de Luta Security, a décrit de manière franche le processus complet de ce que l’on appelle une « faille de jailbreak » : des chercheurs d’Amazon ont saisi un code open source contenant des vulnérabilités connues dans le modèle, lui demandant d’identifier les risques de sécurité ; les deux modèles ont refusé. Les chercheurs ont ensuite demandé au modèle de corriger ce code problématique, et le modèle l’a fait.

Katie Moussouris, experte en cybersécurité

Moussouris a qualifié le scénario de test de cette directive d’« induction de prompts défensifs », et non d’un véritable jailbreak contournant les mesures de sécurité. Elle a déclaré que cette capacité est précisément la valeur fondamentale que l’IA peut apporter aux équipes de cybersécurité. Selon la seule experte ayant vu le rapport d’enquête complet, les simples cinq mots « corrige ce code » ont suffi à forcer le retrait du marché du meilleur modèle de langage spécialisé en cybersécurité.

Le Département du commerce américain n’a pas publié la directive de contrôle envoyée à Anthropic, ni divulgué les motifs complets justifiant cette directive. Aucun document public n’est disponible sur le site web du Département du commerce, dans le Federal Register ou sur tout autre canal public. Cette notification de contrôle a été émise sous la forme d’une lettre privée du Bureau de l’industrie et de la sécurité (BIS) du Département du commerce, et ni le Département ni Anthropic n’ont rendu son contenu public. L’autorité légale invoquée par le Département du commerce pour émettre cette directive reste floue.

Le Centre d’études stratégiques et internationales (CSIS) estime que le Département du commerce pourrait avoir invoqué le pouvoir dit de « notification » en vertu du Export Control Reform Act (ECRA) de 2018 — informer privément une entreprise que ses produits doivent désormais obtenir une licence d’exportation, les détails du contrôle étant mis en œuvre via le Export Administration Regulations (EAR). Cependant, l’EAR ne contient aucune disposition d’accompagnement pour soutenir ce pouvoir légal, ce qui explique pourquoi il n’a jamais été utilisé auparavant pour imposer des contrôles, et le Département du commerce n’a pas non plus publié de règlement d’application correspondant.

Une norme de régulation impossible à atteindre

Dans le mémoire de défense publié par Anthropic lui-même, une phrase transperce directement l’absurdité de cette politique. L’entreprise a déclaré qu’aucun fabricant actuel ne peut garantir une protection totale contre le jailbreak des modèles ; il y aura toujours quelqu’un pour trouver un moyen de contournement générique. Les chercheurs en sécurité partagent cet avis depuis des années : aucun modèle commercial en ligne n’a été prouvé comme capable de résister à un attaquant malveillant spécifiquement ciblé. Les modèles accessibles via API fermée peuvent être jailbreakés au niveau des prompts ; les modèles à poids ouverts peuvent être complètement modifiés, ce qui efface directement la logique de refus intégrée dans les poids. Une fois les poids divulgués (plusieurs cas de divulgation se sont produits historiquement), les modèles fermés présentent exactement les mêmes vulnérabilités que les modèles ouverts.

La norme de régulation implicite du gouvernement est totalement contraire à cette réalité objective. S’il faut absolument qu’il n’existe aucune méthode permettant de déclencher des fonctions dangereuses dans un modèle mis en ligne, cette norme est fondamentalement impossible à atteindre. Même les ingénieurs d’Anthropic confirment que cette condition est irréalisable, et l’entreprise ne peut donc pas fournir de garantie d’absence de vulnérabilité, pas plus qu’aucun autre fabricant. Selon la logique d’Anthropic, si cette norme était appliquée uniformément à toute l’industrie, la commercialisation des modèles de langage de pointe serait totalement bloquée. Un seuil qu’aucun fabricant ne peut atteindre n’est pas une norme de sécurité, mais un droit de veto discrétionnaire déguisé en jargon technique.

La voie alternative de la surveillance citoyenne généralisée

Supposons qu’Anthropic souhaite se conformer strictement à la lettre de la directive : ne fournir le service qu’aux utilisateurs américains et bloquer totalement les étrangers. La seule solution viable serait de procéder à une vérification complète de l’identité de tous les utilisateurs. Anthropic devrait mettre en place un processus complet de connaissance du client (KYC), obligeant les utilisateurs à fournir des documents de nationalité et de résidence, aussi fastidieux que l’ouverture d’un compte de trading. C’est seulement avec ce mécanisme que la plateforme pourrait attribuer des droits d’accès en fonction de la nationalité (et même ainsi, les employés étrangers internes seraient toujours exclus). Sans vérification d’identité, il serait impossible d’isoler les utilisateurs étrangers de l’accès au modèle Fable 5.

Des rapports indiquent déjà qu’Anthropic prépare un système de vérification d’identité pour répondre aux exigences de contrôle, et des extraits de code divulgués le confirment. L’entreprise met actuellement en place ce système d’accès à caractère surveillant, mais elle devrait immédiatement cesser ce déploiement.

Les pays occidentaux construisent des infrastructures de surveillance.

Les pays occidentaux sont déjà en train de mettre en place ces systèmes de vérification d’identité et de surveillance. La Online Safety Act britannique, en vigueur depuis juillet 2025, exige que l’Ofcom mette en œuvre ce qu’il appelle des « mécanismes de vérification de l’âge à haute fiabilité ». Les méthodes de vérification officiellement reconnues incluent la reconnaissance de photo d’identité, l’estimation de l’âge par reconnaissance faciale et la vérification bancaire ouverte (les banques confirment l’âge de l’utilisateur à partir des informations du compte sans divulguer les données financières sous-jacentes). Aux États-Unis, environ 19 États ont adopté des lois similaires de contrôle d’accès par identité, dont plusieurs sont actuellement contestées devant les tribunaux en vertu du Premier Amendement. L’Electronic Frontier Foundation (EFF) s’oppose constamment à ce type de contrôle, avertissant que l’authentification obligatoire crée un « pot de miel » de données hautement sensibles et met fin à l’anonymat en ligne.

Si les mécanismes KYC étaient utilisés pour contrôler l’accès aux modèles de langage, tous ces dangers seraient transférés à l’IA — or l’IA est précisément la technologie la mieux placée pour exploiter en profondeur les données qu’elle stocke. Aucun laboratoire d’IA de pointe ne devrait imposer l’authentification obligatoire, et le gouvernement ne devrait pas contraindre les entreprises à le faire. Internet doit rester ouvert et libre ; les connaissances et la puissance de calcul apportées par l’IA devraient être accessibles à tous.

L’impasse réglementaire des modèles open source

Cette logique de contrôle des exportations est fondamentalement contre-productive, en raison de l’écosystème des poids ouverts. La technologie de pointe en IA n’est pas l’apanage de quelques entreprises américaines. Une lettre ouverte signée par plus d’une centaine de leaders de la cybersécurité, dirigée par Alex Stamos (avec notamment Bruce Schneier, Casey Ellis, Paul Vixie), résume la situation : les modèles chinois à poids ouverts ne sont distants des meilleurs systèmes américains que de quelques mois, et non de plusieurs années, et cela ne concerne que les projets déjà rendus publics.

Si le gouvernement américain, par son droit de veto sur les exportations, limite la publication des meilleurs modèles des laboratoires américains, la recherche en IA ne s’arrêtera pas ; elle se déplacera simplement vers des domaines hors de portée du contrôle : projets gouvernementaux classifiés, laboratoires étrangers, écosystème des poids ouverts. Les modèles open source, actuellement distants de seulement quelques mois, verront cet écart se réduire rapidement si le modèle de référence cesse d’évoluer. Si la publication des meilleurs modèles est bloquée pendant un ou deux ans, le meilleur modèle qu’un particulier ou une entreprise pourra exécuter localement sera très probablement un modèle à poids ouverts développé en dehors des États-Unis, avec des garde-fous de sécurité encore plus faibles que ceux du modèle que le gouvernement vient de forcer à retirer.

Comment le gouvernement américain réagira-t-il alors ? Un modèle déjà largement distribué sur des milliers de disques durs et des centaines de réseaux de partage de fichiers ne peut être « rappelé ». Le gouvernement pourrait tenter d’interdire la publication publique des poids ouverts, mais une telle politique entrerait directement en conflit avec la Constitution américaine.

Les États-Unis ont déjà connu un tel jeu de régulation par le passé, et ils ont perdu. Dans les années 1990, le gouvernement américain avait inscrit le chiffrement fort sur la liste des munitions américaines, contrôlant les logiciels de cryptographie comme des armes en vertu de l’International Traffic in Arms Regulations (ITAR), les plaçant dans la même catégorie que les viseurs laser et les faisceaux de particules. Pendant trois ans, le gouvernement fédéral a enquêté sur Phil Zimmermann pour son logiciel PGP (Pretty Good Privacy), largement diffusé dans le monde, considérant que le téléchargement de ce code sur Internet équivalait à exporter des armes. En 1996, les autorités fédérales ont abandonné toutes les poursuites sans porter d’accusation.

Phil Zimmermann, créateur du logiciel de cryptographie PGP

La réponse de Zimmermann est devenue un événement emblématique de l’époque. Il a fait publier le code source complet de PGP sous forme de livre relié par la MIT Press, avec l’argument central suivant : le code imprimé dans un livre est clairement un discours protégé, même si le même code sous forme électronique serait considéré comme une munition contrôlée. Les militants technologiques ont suivi la même approche, imprimant sur des T-shirts le code concis de l’algorithme RSA (écrit par le cryptographe et futur participant au Bitcoin Adam Back), accompagné d’un avertissement — ce T-shirt lui-même étant considéré comme une munition.

Les tribunaux ont reconnu cette logique juridique. Dans les affaires Bernstein et Junger, les juges fédéraux ont statué que le code source est un discours protégé par le Premier Amendement. En 1996, le gouvernement américain a transféré le chiffrement de la liste des munitions au Département du commerce, assouplissant considérablement les contrôles et ouvrant la voie à l’essor actuel de l’Internet.

Moussouris, qui a ensuite contribué à l’ajout d’une exception pour les technologies de défense de la cybersécurité dans l’Arrangement de Wassenaar, a également fait référence à cette histoire en réponse : les poids des modèles ne sont qu’une série de chiffres, et publier des poids revient à une expression de discours. Si le gouvernement interdit massivement les modèles open source, cela déclenchera une guerre judiciaire transgénérationnelle sur le Premier Amendement ; or le gouvernement est naturellement en position de faiblesse — les États-Unis ont déjà reconnu que des capacités technologiques équivalentes circulent largement à l’étranger.

Ainsi, ce régime de contrôle des exportations est doublement inefficace. D’une part, il ne peut pas empêcher les concurrents étrangers : les institutions étrangères ont leurs propres modèles, et selon le média Semafor, la Maison-Blanche soupçonne qu’un groupe lié à la Chine a déjà obtenu les capacités de Mythos ; d’autre part, il cédera le secteur de pointe de l’IA américaine aux modèles open source et aux concurrents étrangers, que les États-Unis n’ont aucun moyen légal de contrôler.

Anthropic punie pour sa franchise

Il est notable qu’Anthropic a divulgué honnêtement toutes les informations. L’entreprise a reconnu qu’il n’existe pas de mécanisme de sécurité parfait ; avant le lancement de ses modèles, elle a effectué des milliers d’heures de tests de résistance rouge/bleue avec les gouvernements américain et britannique ; elle a volontairement divulgué les limites de son système de sécurité. Mais cette franchise a précisément servi de base à la sanction gouvernementale. Si une entreprise réduisait les tests et passait sous silence les risques, elle n’attirerait pas la foudre réglementaire. Lorsque la divulgation honnête des risques potentiels déclenche une sanction réglementaire, l’ensemble du secteur est incité à divulguer moins de risques, voire à ne pas les divulguer du tout.

Les professionnels de la cybersécurité soulignent également de leur point de vue le contresens de cette logique. Moussouris et les experts signataires affirment que le retrait forcé du modèle ne fait que nuire aux défenseurs de la sécurité — ceux qui utilisent précisément ces outils pour trouver et corriger les vulnérabilités avant que les attaquants n’agissent — alors que les attaquants malveillants ne sont soumis à aucune contrainte. Les capacités que le gouvernement redoute sont exactement les mêmes que celles dont les défenseurs ont besoin pour se défendre ; on ne peut pas supprimer un côté sans supprimer l’autre.

Arguments en faveur de la directive de contrôle

Objectivement, certains rapports montrent que les inquiétudes du gouvernement ne sont pas totalement infondées. Fin juin, le sénateur démocrate de Virginie, Mark Warner, a cité lors d’une audition au Sénat le témoignage du directeur de la NSA, Joshua Rudd : lors d’un exercice autorisé de simulation d’attaque rouge/bleue, le modèle Mythos a presque pénétré tous les systèmes classifiés de l’agence en quelques heures (bien que l’article correspondant de The Economist ait ensuite légèrement atténué cette affirmation). Mythos est également le premier modèle à avoir réussi l’ensemble des tests de cybersécurité de l’Institut britannique de sécurité de l’IA.

Il est indéniable que ce modèle possède des capacités techniques extrêmement puissantes. Cela ne fait que souligner la nécessité d’un processus réglementaire rigoureux et transparent, et non d’une lettre privée un vendredi soir sans conclusions d’enquête complètes.

Par ailleurs, Mythos n’a été accessible qu’à des partenaires ayant fait l’objet d’un contrôle strict des antécédents. La version grand public Fable, retirée mondialement, est dotée de garde-fous qui redirigent les demandes sensibles liées à la cybersécurité et à la biosécurité vers un modèle plus ancien, Opus 4.8. Une version civile dotée de mécanismes de protection a été retirée mondialement simplement sur la base d’une démonstration de prompt défensif ; la version professionnelle, bien plus risquée, n’a jamais été rendue publique. Ce traitement montre que le processus réglementaire confond « capacité technique » et « déploiement public ».

Opus 4.8 : le dernier modèle conforme ?

Si l’on suit cette logique réglementaire, les perspectives ne sont pas bonnes. Si Fable ne peut pas passer le cap, alors aucun modèle plus performant à l’avenir ne pourra être approuvé — selon les critères actuels du gouvernement, plus un modèle est performant, plus le risque potentiel est élevé. Il n’existe pas de version améliorée comme Fable 5.1, Fable 5.2 qui permettrait de mieux résister aux attaques tout en respectant la norme impossible d’« absence de vulnérabilité de jailbreak ».

Après la directive du Département du commerce, seul Claude Opus 4.8 reste le modèle le plus puissant en service, devenant le plafond légal pour les citoyens américains. La voie légale de déploiement des nouvelles technologies de pointe a été fermée, tandis que les canaux étrangers et non conformes restent ouverts.

La situation actuelle est une perte pour tous : le déploiement des modèles de pointe nationaux est gelé ; un système de surveillance citoyenne généralisée est mis en place pour se conformer au contrôle ; le secteur de pointe de l’IA est cédé aux modèles open source et aux concurrents étrangers que les États-Unis ne peuvent pas réglementer. Tout cela pouvait être évité, et la solution est celle préconisée par Anthropic lui-même : si le gouvernement veut interdire un modèle présentant un risque de sécurité majeur, il doit s’appuyer sur un processus transparent prévu par la loi, divulguer les conclusions techniques complètes de l’enquête, et offrir à l’entreprise une voie de recours et de défense. Le seuil réglementaire devrait se concentrer sur l’augmentation des capacités dangereuses nouvelles (c’est-à-dire les fonctions à haut risque ajoutées par rapport aux technologies ouvertes existantes), et non sur l’illusion gouvernementale d’un « risque résiduel nul ».

Si un seuil d’accès est vraiment nécessaire, le contrôle devrait porter sur la capacité technique elle-même, et non sur la vérification de l’identité des utilisateurs. Un système réglementaire qui ne peut être mis en œuvre qu’en collectant les empreintes identitaires de tous les utilisateurs est la solution la plus extrême de surveillance pour résoudre un problème de risque unique et limité.

Au niveau des marchés financiers, l’annulation de cette directive est également pleinement justifiée, et son impact dépasse largement Anthropic. Les « Sept Magnifiques » de la tech américaine représentent actuellement environ un tiers de la capitalisation totale de l’indice S&P 500, et en 2025, environ 42 % des gains de cet indice provenaient de ces sept entreprises. Nvidia a dépassé les 4 000 milliards de dollars de capitalisation en juillet 2025, puis les 5 000 milliards en octobre, représentant à un moment donné plus de 7 % de la capitalisation totale de l’indice.

Les quatre grands fournisseurs de cloud ont annoncé des dépenses d’investissement d’environ 725 milliards de dollars pour 2026, soit une augmentation de 77 % par rapport aux 410 milliards de dollars de l’année précédente ; Goldman Sachs prévoit que les dépenses d’investissement totales des fournisseurs de cloud mondiaux atteindront 5 300 milliards de dollars d’ici 2030. Les investissements liés à l’IA ont déjà un impact profond sur l’économie : les estimations varient, mais Goldman Sachs évalue les dépenses d’investissement en IA à près de 0,8 % du PIB américain, et des estimations plus optimistes suggèrent qu’au début de 2026, la croissance économique américaine est principalement tirée par l’IA.

Ces énormes investissements et les attentes de croissance du secteur reposent tous sur une hypothèse centrale : l’amélioration continue des modèles de pointe, leur déploiement continu auprès des clients, générant des revenus suffisants pour couvrir les investissements massifs dans les infrastructures. Cette hypothèse est aujourd’hui fragile. OpenAI s’est engagée à investir environ 1 400 milliards de dollars sur huit ans, mais ses revenus actuels ne sont que d’environ 13 milliards de dollars (Sam Altman conteste ce chiffre de 13 milliards, affirmant que les revenus réels sont bien supérieurs). Les entreprises ont massivement augmenté leurs infrastructures à l’avance, mais les bénéfices de l’IA ne se sont pas encore pleinement matérialisés dans les données macroéconomiques. Les investisseurs parient sur la valeur terminale à long terme, sur la capacité de ces systèmes d’IA à être commercialisés à grande échelle à l’avenir.

Les actions américaines sont fortement liées au récit de croissance de l’IA ; si le rythme d’amélioration et de déploiement des modèles de pointe ralentit (voire s’arrête), les portefeuilles d’investissement mondiaux en subiront les conséquences.

La directive de retrait de Fable ajoute une énorme incertitude à l’ensemble du secteur : le gouvernement américain va-t-il désormais régulièrement restreindre le déploiement public des grands modèles de langage ? La logique exposée plus haut suffit à montrer que des mesures de retrait régulières sont très probables. Si cela se concrétise, la logique de croissance sous-tendant les 725 milliards de dollars de dépenses d’investissement annuelles s’effondrera, et toute la chaîne industrielle, en amont comme en aval, subira des chocs en cascade :

• La mémoire à large bande passante est en pénurie, les commandes pour 2026 sont remplies, les prix des DRAM ont augmenté de plus de 50 % en un trimestre, propulsant SK Hynix au-dessus de 1 000 milliards de dollars de capitalisation ;
• La capacité électrique nécessaire aux infrastructures de calcul est massivement étendue, les fournisseurs de cloud signant même des contrats exclusifs avec des centrales nucléaires pour garantir l’alimentation ;
• Nvidia, OpenAI, Oracle, CoreWeave, Microsoft s’entrelacent dans un écosystème de financement cyclique.

Un centre de données construit avec 200 milliards de dollars d’investissements ne peut générer aucun retour si le gouvernement interdit au modèle d’IA qui lui est associé de fournir des services au public. Combiné à la dépendance du marché boursier à l’égard de la thèse de la croissance de l’IA, tout ralentissement, voire régression, du développement de l’IA de pointe entraînera des pertes pour les investisseurs mondiaux.

Plus d’une centaine des meilleurs experts en cybersécurité des États-Unis demandent conjointement l’annulation de cette directive. Anthropic a déposé une demande d’introduction en bourse secrète ce mois-ci, avec une valorisation estimée à près de 965 milliards de dollars ; aujourd’hui, le produit phare de cette entreprise peut être complètement fermé sur la base d’une seule notification tardive d’un seul organisme, sans que l’entreprise dispose d’une voie de recours efficace.

Ce modèle de régulation de l’IA doit être aboli à temps pour éviter qu’il ne devienne un cadre réglementaire permanent pour l’industrie américaine de l’IA. S’il devient un mécanisme de gouvernance normalisé, Anthropic, la recherche en IA dans l’ensemble du secteur et la position de leader technologique mondial des États-Unis subiront des dommages considérables.