Les chercheurs de Cybernews ont évalué la cybersécurité des principaux fournisseurs de grands modèles de langage, révélant des vulnérabilités significatives.

Les chercheurs de Cybernews ont évalué les postures de cybersécurité des 10 principaux fournisseurs de grands modèles de langage (LLM), dont OpenAI, Claude, Perplexity et DeepSeek. Ils ont découvert que la moitié d’entre eux avaient subi des violations de données, dont une seulement neuf jours avant l’audit.

Vulnérabilités SSL/TLS et autres problèmes

L’indice Cybernews Business Digital Index, qui évalue les entreprises sur la base de critères clés de cybersécurité, a révélé que tous les fournisseurs présentaient des vulnérabilités dans leurs configurations SSL/TLS. Plusieurs d’entre eux étaient également confrontés à des problèmes généralisés d’hébergement système, d’hygiène des informations d’identification et de réutilisation des mots de passe.

De plus, près de la moitié des invites sensibles de l’IA sont soumises via des comptes personnels, contournant les canaux officiels de l’entreprise. Cela expose potentiellement les données de l’entreprise sans surveillance, un risque croissant à mesure que les outils LLM deviennent la norme sur le lieu de travail.

Principaux points à retenir

• 50 % des principaux fournisseurs de LLM ont été victimes de violations de données, notamment OpenAI (1 140incidents) et Perplexity AI (190 informations d’identification divulguées 13 jours seulement avant l’audit).

• Tous les fournisseurs avaient des problèmes de configuration SSL/TLS, les exposant à des attaques potentielles de type man-in-the-middle et à l’interception de données.

• La réutilisation des identifiants était répandue : 35 % des employés de Perplexity AI et 33 % d’EleutherAI ont réutilisé des mots de passe piratés.

• Des vulnérabilités d’hébergement système ont été détectées chez 8 fournisseurs sur 10. Seuls AI21 Labs et Anthropic ont évité des problèmes majeurs dans ce domaine.

• Le score moyen de cybersécurité de tous les fournisseurs était de 88/100, mais les scores variaient considérablement, Inflection AI recevant un F.

• Les fournisseurs américains et israéliens ont généralement obtenu un score supérieur à celui des fournisseurs chinois – aucune des entreprises chinoises n’a obtenu une note supérieure à un C.

• L’utilisation croissante de comptes personnels pour interagir avec les LLM augmente le risque d’exposition de données non gérées.

Pour lire l’intégralité de l’étude, veuillez cliquer ici.

Méthodologie de recherche

Pour cette étude, les chercheurs de Cybernews ont analysé 10 fournisseurs de LLM populaires. Le rapport évalue les risques de cybersécurité selon sept dimensions clés : l’application de correctifs logiciels, la sécurité des applications Web, la protection des e-mails, la réputation du système, l’infrastructure d’hébergement, la configuration SSL/TLS et l’historique des violations de données.

La méthodologie du rapport peut être consultée ici.