Créer une IA capable de découvrir et exploiter des failles critiques… puis décider de ne jamais la diffuser. C’est le choix inédit d’Anthropic avec Claude Mythos Preview. En cause : des capacités jugées trop avancées en cybersécurité offensive, capables de rebattre les cartes entre attaquants et défenseurs. Un signal fort pour toute l’industrie.
Claude Mythos : une IA volontairement retenue par son éditeur
Dans un billet technique publié le 7 avril, Anthropic officialise une décision rare : Claude Mythos Preview ne sera pas mis à disposition du grand public. Contrairement aux autres modèles de la gamme, celui-ci restera limité à un cercle restreint de partenaires.
L’éditeur justifie ce choix par le niveau de risque associé à ses capacités. Loin d’un simple outil d’assistance au développement, Mythos serait capable d’identifier et d’exploiter des vulnérabilités critiques de manière autonome, à grande échelle.
Pour encadrer ces usages, Anthropic lance “Project Glasswing”, une initiative visant à collaborer avec des acteurs de confiance pour sécuriser des logiciels critiques avant une éventuelle diffusion plus large de modèles équivalents.
Des capacités inédites en découverte et exploitation de failles
Selon Anthropic, Claude Mythos Preview marque une rupture nette avec les générations précédentes. Le modèle ne se limite plus à détecter des vulnérabilités : il est capable de produire des exploits fonctionnels, parfois sans intervention humaine.
Les tests internes évoquent des résultats marquants : découverte de zero-day dans des systèmes d’exploitation majeurs, exploitation de failles anciennes dans des composants critiques comme OpenBSD ou FFmpeg, ou encore exécution de code à distance sur FreeBSD.
Plus préoccupant encore, le modèle serait capable de chaîner plusieurs vulnérabilités pour contourner des mécanismes de défense avancés, notamment sur Linux ou dans des navigateurs web.
Un basculement : de l’aide à la sécurité à l’industrialisation de l’attaque
L’un des points clés soulevés par Anthropic est la nature même de ces progrès. Ces capacités offensives n’ont pas été entraînées spécifiquement : elles émergent des améliorations globales en génération de code, en raisonnement et en autonomie.
Autrement dit, les mêmes avancées qui rendent l’IA plus efficace pour corriger des failles la rendent aussi plus performante pour les exploiter.
Ce changement de paradigme est majeur. Historiquement, les outils de sécurité (fuzzing, scanners) ont fini par avantager les défenseurs. Mais dans cette phase de transition, Anthropic estime que les attaquants pourraient temporairement prendre l’avantage.
Un risque immédiat pour les entreprises et les systèmes non patchés
Le risque ne se limite pas aux zero-day. Anthropic insiste sur l’accélération du cycle d’exploitation des vulnérabilités connues (N-day). Là où il fallait auparavant plusieurs jours ou semaines pour transformer un correctif en exploit, ce processus pourrait désormais être automatisé en quelques heures.
Conséquence directe : la fenêtre d’exposition entre publication d’un correctif et son déploiement devient critique. Pour les DSI et RSSI, cela implique une remise à niveau rapide des pratiques : réduction des délais de patch, automatisation des processus de triage, adoption d’outils capables de traiter un volume croissant d’alertes et d’incidents.
Project Glasswing : préparer la riposte côté défense
Avec Project Glasswing, Anthropic ne se contente pas de restreindre l’accès à Mythos : l’entreprise cherche à organiser la riposte. Le programme réunit plusieurs poids lourds du numérique et de la cybersécurité, parmi lesquels Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks.
Les partenaires bénéficient d’un accès anticipé au modèle pour des usages défensifs (audit de code, pentest, sécurisation d’infrastructures critiques), dans une logique de coopération sectorielle. L’initiative prévoit également un soutien massif à l’écosystème : jusqu’à 100 millions de dollars de crédits pour faciliter l’usage du modèle, ainsi que des financements dédiés à la sécurité open source.
Pour faire de l’IA un “coéquipier” des mainteneurs et équipes sécurité, capable d’identifier et corriger des vulnérabilités à grande échelle, y compris dans des projets qui n’ont pas les ressources nécessaires aujourd’hui.
Une transition sous tension pour l’écosystème cyber
Anthropic assume un discours alarmiste. L’entreprise considère que l’industrie entre dans une phase de rupture comparable à d’autres grands tournants technologiques, mais avec un impact direct sur la sécurité globale des systèmes.
À terme, les modèles d’IA pourraient renforcer la sécurité en permettant de corriger les failles plus rapidement et à grande échelle. Mais à court terme, la montée en puissance de ces outils pourrait fragiliser les organisations les moins préparées.
