Mythos Preview a construit de manière autonome 8 exploits fonctionnels à partir de 18 correctifs récents de Firefox et 8 chaînes d'exploit complètes (niveau SYSTEM) à partir de 21 correctifs du noyau Windows, créant s... Le coût des campagnes d'exploit est tombé à moins de 50 $ par tentative réussie, le scan complet...

Create a landscape editorial hero image for this Studio Global article: According to a March 2026 Axios report on Anthropic's Mythos Preview AI, what did the company's frontier red team find when they tested the. Article summary: **Note:** The Axios report in question was published **June 8, 2026**, not March 2026. The earlier Axios stories were in April (announcement) and March (Claude Opus bug-hunting). Below is the full breakdown based on the . Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "Anthropic has said Mythos Preview has found thousands of high-severity vulnerabilities, including some in every major operating system and web" source context "Anthropic Mythos spurs White House to weigh pre-release reviews for high-risk AI models | CSO Online" Reference image 2: visual subject "Anthropic has said
En juin 2026, l'équipe rouge d'Anthropic, chargée de tester les capacités offensives de ses modèles, a révélé une aptitude aussi nouvelle qu'inquiétante de son modèle Claude Mythos Preview, dont l'accès est strictement restreint : la capacité de lire les correctifs logiciels divulgués publiquement et de les transformer de manière autonome en exploits fonctionnels en quelques minutes. Les conclusions, partagées en exclusivité avec le site Axios, ont mis Mythos à l'épreuve des vulnérabilités N-day – ces failles déjà corrigées par les éditeurs mais encore présentes dans la plupart des organisations faute de mise à jour. Les résultats n'ont pas seulement écourté les délais traditionnels de riposte ; ils les ont tout bonnement anéantis .
L'équipe rouge d'Anthropic a fourni à Mythos 18 correctifs de sécurité récemment publiés pour Firefox et 21 pour le noyau de Windows, tous diffusés après la date limite d'entraînement du modèle, et lui a ordonné de créer des exploits. Sur l'ensemble des correctifs Firefox, Mythos a produit de manière autonome 8 exploits fonctionnels permettant l'exécution de code, et ce, sans aucune intervention humaine. Du côté du noyau Windows, dont le code source n'est pas accessible au public, le modèle a généré 8 chaînes d'exploit complètes capables d'élever un simple utilisateur en contrôle total du système (sessions SYSTEM) .
Mais c'est surtout la vitesse d'exécution qui a marqué les esprits : Mythos a pondu son premier exploit Windows en seulement 31 minutes, pour finalement créer huit exploits distincts en douze heures environ . Pour remettre ce chiffre en perspective, le délai médian de correction pour une entreprise est d'environ 70 jours, un chiffre qui n'a pas bougé depuis 2022. Mythos, lui, comprime la phase de militarisation en moins d'une heure. Ce décalage crée ce que les analystes appellent un « patch gap » (fossé de correction) structurel : les défenseurs sont matériellement incapables d'installer les correctifs plus vite que l'IA ne peut générer des exploits
.
La conséquence est vertigineuse : la fenêtre traditionnelle dite « N-day », ces quelques semaines ou mois dont les défenseurs disposaient entre la publication d'un correctif et l'apparition d'un exploit, s'est refermée pour de bon .
Dans le cadre d'une autre évaluation, tout aussi édifiante, Mythos a réussi à déclencher 13 des 14 bogues Windows que Microsoft avait pourtant classés comme « peu susceptibles d'être exploités » ; sur ces 13, un a même été poussé jusqu'à l'obtention de droits système étendus . Or, ce classement « faible exploitabilité » concerne aujourd'hui 80 à 90 % des bogues, même les plus critiques. Concrètement, le nombre de vulnérabilités que les équipes de sécurité jugent urgentes pourrait bien être multiplié par cinq
. Conçu pour un monde où le développement d'un exploit nécessitait des semaines d'un travail d'expert humain, le système de notation actuel sous-estime largement la menace que représente une IA capable de faire le même travail en quelques minutes, en totale autonomie.
L'un des chiffres les plus troublants de la publication d'Anthropic, c'est le coût. Chaque découverte individuelle de faille zero-day revient à moins de 50 dollars par tentative réussie. Le scan complet du code d'OpenBSD (un système réputé pour sa sécurité) – soit des milliers de tentatives – a coûté environ 20 000 dollars et a mis au jour plusieurs vulnérabilités critiques, dont un bug vieux de 27 ans dans la pile TCP . Créer un exploit N-day complet pour le noyau Linux (permettant d'obtenir les privilèges root) coûte, lui, moins de 2 000 dollars pièce
. Au total, la campagne entière de l'équipe rouge d'Anthropic, balayant des bases de code entières, est restée bien en dessous de la barre des 20 000 dollars
.
Ces budgets ne sont pas ceux d'États-nations. Ce sont des budgets de développeur indépendant, ou de petite équipe. Cela signifie que la barrière à l'entrée pour la découverte et la militarisation de vulnérabilités sophistiquées s'est effondrée, précisément au moment où les capacités des IA grimpent en flèche .
Anthropic a dévoilé Claude Mythos Preview les 7 et 8 avril 2026, présentant un modèle de pointe capable de découvrir et d'exploiter de manière autonome des vulnérabilités zero-day dans tous les principaux systèmes d'exploitation et navigateurs web. Il a découvert des milliers de bogues de haute sévérité, dont certains avaient survécu à des décennies de revue par des experts . En raison du risque extrême de double usage (défensif comme offensif), Anthropic n'a pas rendu Mythos public. À la place, l'entreprise a lancé le Project Glasswing, une initiative de cybersécurité strictement contrôlée, initialement limitée à une cinquantaine d'organisations partenaires parmi lesquelles AWS, Apple, Cisco, Google, Microsoft, JPMorgan ou encore la Linux Foundation
.
En juin 2026, Glasswing s'élargit pour couvrir près de 150 organisations dans plus de 15 pays, y compris des agences de sécurité nationale en Australie, au Royaume-Uni et dans plusieurs pays de l'Union européenne et d'Asie . Les partenaires bénéficient d'une fenêtre d'exclusivité de 90 jours pour appliquer les correctifs avant que les failles ne soient divulguées publiquement
. Fin mai 2026, Mythos avait déjà mis au jour plus de 10 000 vulnérabilités de sévérité haute ou critique dans des logiciels d'importance systémique
.
La collaboration nouée entre Mozilla et Anthropic a, à elle seule, permis de trouver et de corriger 271 vulnérabilités zero-day dans la version 150 de Firefox – le plus grand lot unique de correctifs de sécurité de l'histoire du navigateur .
Le monde de l'industrie : Cisco a rejoint le premier cercle de partenaires de Glasswing, aux côtés d'autres géants de la tech et de la cybersécurité, afin d'accéder très tôt à Mythos pour rechercher des vulnérabilités à des fins défensives dans ses propres logiciels comme dans ceux de l'open source . Le partenariat de Mozilla avec Anthropic, qui a précédé le déploiement complet de Mythos, et ses résultats – 271 zero-days corrigés – ont montré le potentiel défensif d'une utilisation responsable de ces outils
.
L'administration Trump : La réponse politique a été, pour le moins, tumultueuse. En avril 2026, le « National Cyber Director », Sean Cairncross, a mené des actions de sensibilisation auprès des agences fédérales, mais les coupes budgétaires à la CISA (l'Agence américaine de cybersécurité) et les querelles politiques intestines ont compliqué la coordination . Le 21 mai, Donald Trump a torpillé un projet de décret présidentiel qui aurait exigé des laboratoires d'IA qu'ils soumettent leurs modèles de pointe à l'examen du gouvernement 90 jours avant toute diffusion publique, expliquant aux journalistes qu'il ne voulait rien qui puisse ralentir l'avance de l'Amérique sur la Chine
.
Moins de deux semaines plus tard, le 3 juin, le président signait une version profondément remaniée de ce décret, axé sur l'innovation et la cybersécurité. Celui-ci instaurait un cadre d'évaluation volontaire de 30 jours pour les nouveaux modèles d'IA de pointe – une version allégée du mandat de 90 jours, mais qui marquait une prise de conscience que le statu quo n'était plus tenable .
Dans l'intervalle, des agences fédérales comme le Trésor américain, la Réserve fédérale et le Bureau de la gestion et du budget (OMB) se sont ruées pour obtenir un accès à Mythos après les alertes d'avril, le Trésor allant jusqu'à recevoir des briefings d'urgence, en dépit d'une injonction antérieure de Trump ordonnant aux agences de cesser d'utiliser la technologie d'Anthropic .
Le Congrès : OpenAI et Anthropic ont tenu des réunions à huis clos avec la commission de la Sécurité intérieure de la Chambre des représentants sur les cybermenaces amplifiées par l'IA, ce qui a constitué l'une des premières séances d'information dédiées à ce sujet pour le personnel du Congrès .
La conclusion fondamentale est limpide : l'époque où la publication d'un correctif offrait aux défenseurs quelques semaines de répit est révolue – du moins face à des adversaires ayant accès à une IA de pointe. L'asymétrie est saisissante : les entreprises mettent toujours près de 70 jours à appliquer leurs correctifs, tandis que l'IA peut militariser ces mêmes failles en moins d'une heure. Les organisations sont désormais contraintes de reconsidérer les vulnérabilités qu'elles jugent urgentes, la manière dont elles priorisent les correctifs, et se demandent si leur cadence de gestion des vulnérabilités a encore un sens dans un monde où le développement d'exploits est devenu rapide, bon marché et entièrement automatisé. C'est toute la grammaire de la cybersécurité qui est à réécrire.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Mythos Preview a construit de manière autonome 8 exploits fonctionnels à partir de 18 correctifs récents de Firefox et 8 chaînes d'exploit complètes (niveau SYSTEM) à partir de 21 correctifs du noyau Windows, créant s...
Mythos Preview a construit de manière autonome 8 exploits fonctionnels à partir de 18 correctifs récents de Firefox et 8 chaînes d'exploit complètes (niveau SYSTEM) à partir de 21 correctifs du noyau Windows, créant s... Le coût des campagnes d'exploit est tombé à moins de 50 $ par tentative réussie, le scan complet d'un système d'exploitation coûtant moins de 20 000 $, rendant la militarisation de vulnérabilités sophistiquées accessi...
Mythos a déclenché 13 des 14 bogues Windows que Microsoft jugeait « improbables à exploiter », suggérant que l'ensemble des vulnérabilités nécessitant des correctifs urgents pourrait être multiplié par cinq.