Un mois. C’est le temps qu’il a fallu à Anthropic et à une cinquantaine de partenaires pour identifier plus de 10 000 vulnérabilités critiques ou de sévérité haute sur les logiciels les plus stratégiques au monde.
Cloudflare cite 2 000 bugs détectés sur ses systèmes critiques, avec un taux de faux positifs inférieur à celui d’auditeurs humains. Mozilla a trouvé et corrigé 271 vulnérabilités dans Firefox 150 — dix fois plus qu’avec Claude Opus 4.6 sur la version précédente.
Le vrai goulot d’étranglement, c’est la correction
Ce n’est pas le chiffre qui pose problème. C’est ce qu’il révèle : le verrou n’est plus la détection, il est humain. Vérifier, qualifier, notifier les mainteneurs, déployer les correctifs — tout ça prend du temps, beaucoup de temps, et l’IA n’y change rien. Anthropic le dit sans détour : certains mainteneurs open source ont demandé à ralentir le rythme des divulgations. Ils sont déjà saturés — notamment de rapports de mauvaise qualité générés par d’autres outils IA.
Sur plus de 1 000 projets open source scannés en parallèle, Mythos Preview a identifié 6 202 vulnérabilités estimées hautes ou critiques. Des évaluations indépendantes sur un sous-ensemble confirment 90,6 % de vrais positifs. L’une d’elles concernait wolfSSL, bibliothèque cryptographique embarquée dans des milliards d’appareils : la faille permettait de forger des certificats TLS et d’usurper n’importe quel site bancaire ou webmail. Elle est désormais corrigée, référencée CVE-2026-5194.
Ce que ça change pour les équipes sécurité
La conséquence directe pour les équipes sécurité : la fenêtre entre découverte d’une faille et exploitation potentielle se compresse. Les fondamentaux que le NIST et le NCSC britannique répètent depuis des années — durcissement des configurations réseau, MFA généralisé, journalisation exhaustive, cycles de patch raccourcis — deviennent moins optionnels qu’ils ne l’étaient.
Anthropic n’a pas encore ouvert Mythos Preview au grand public, faute de garanties suffisantes contre les usages offensifs. En attendant, Claude Security, disponible en bêta pour les clients Enterprise, a permis de corriger plus de 2 100 vulnérabilités en trois semaines sur des bases de code internes. Les outils utilisés dans Glasswing — agent de scan, cartographie de codebase, générateur de modèles de menace — sont désormais accessibles aux équipes sécurité qualifiantes. L’extension du programme à de nouveaux partenaires, dont des gouvernements alliés, est annoncée pour les prochains mois.
