Claude Mythos : l’IA si puissante qu’Anthropic a choisi de la restreindre

Parmi les exemples cités figure un bug vieux de plusieurs décennies dans la pile réseau d’OpenBSD qui avait résisté à des années d’examens de code et de tests automatisés.

Il reste toutefois des zones d’ombre : aucun rapport technique complet et indépendant n’a encore publié le nombre exact de vulnérabilités trouvées ni le taux de réussite du modèle pour produire des exploits fonctionnels.

Pourquoi Anthropic n’a pas rendu Mythos public

Face à ces capacités potentiellement dangereuses, Anthropic a choisi une approche inhabituelle : ne pas publier le modèle au grand public.

À la place, l’entreprise a lancé Project Glasswing, une initiative de cybersécurité à accès restreint. Le modèle n’est accessible qu’à un petit groupe d’organisations technologiques et de sécurité.

Parmi les participants figurent notamment AWS, Apple, Google, Microsoft, CrowdStrike et Palo Alto Networks, ainsi que d’autres acteurs responsables d’infrastructures logicielles critiques.

L’objectif est clair : utiliser l’IA pour identifier et corriger les vulnérabilités avant que des acteurs malveillants ne les exploitent.

Anthropic décrit ainsi une stratégie de déploiement dite « défense d’abord » pour une technologie à double usage : la même capacité qui peut renforcer la sécurité pourrait aussi servir à automatiser des cyberattaques à grande échelle.

Des gouvernements et régulateurs en alerte

Les capacités rapportées de Mythos ont rapidement attiré l’attention des autorités publiques.

Aux États‑Unis, des responsables politiques ont demandé davantage d’informations aux entreprises technologiques sur les risques liés aux cyberattaques pilotées par l’IA. Les discussions ont notamment été déclenchées par les performances du modèle Mythos pour détecter des failles logicielles complexes.

Le secteur financier s’y intéresse aussi de près. Des régulateurs auraient organisé des réunions avec de grandes banques afin d’évaluer les risques opérationnels et cyber liés à ces nouvelles capacités.

Au niveau international, le Fonds monétaire international (FMI) a également averti que des systèmes d’IA capables de contourner des défenses logicielles pourraient représenter un risque systémique pour l’infrastructure financière mondiale, nécessitant une coopération internationale.

Les agences de cybersécurité et les communautés de renseignement étudient de leur côté comment ces outils pourraient transformer à la fois la défense numérique et les opérations offensives.

L’inquiétude principale : l’accélération du cycle des cyberattaques

Traditionnellement, découvrir une vulnérabilité sérieuse dans un logiciel complexe pouvait prendre des mois, voire des années.

Les outils automatisés comme le fuzzing ont accéléré ce processus, mais ils dépendaient toujours fortement du travail humain.

Si des modèles d’IA deviennent capables de chercher des failles de manière autonome et de générer des exploits fonctionnels, le délai entre trois étapes clés pourrait se réduire drastiquement :

• la découverte d’une faille
• sa transformation en arme logicielle
• son exploitation à grande échelle

Les spécialistes parlent alors d’un raccourcissement du “cycle de risque cyber”, c’est‑à‑dire la période entre l’existence d’une vulnérabilité et son exploitation massive.

Premiers incidents et questions ouvertes

Même avec un accès restreint, certaines inquiétudes persistent.

Un rapport a évoqué un incident où un petit groupe aurait obtenu un accès non autorisé à un environnement de prévisualisation de Mythos via un fournisseur tiers, sans compromission directe des systèmes d’Anthropic.

De nombreuses questions restent également sans réponse :

• combien de vulnérabilités Mythos a réellement découvert
• à quel point il peut transformer ces failles en exploits fiables
• si des capacités comparables existent déjà dans des laboratoires gouvernementaux ou chez des concurrents

Faute de publications scientifiques détaillées ou de benchmarks indépendants, plusieurs des affirmations les plus spectaculaires restent difficiles à vérifier.

Une nouvelle course aux armements en cybersécurité

Malgré ces incertitudes, l’épisode Mythos illustre une évolution majeure : l’IA pourrait devenir l’un des outils les plus puissants de la cybersécurité — pour la défense comme pour l’attaque.

En limitant l’accès au modèle via Project Glasswing, Anthropic tente d’éviter que cette capacité ne se diffuse trop vite.

La question désormais est stratégique : les défenseurs réussiront‑ils à utiliser l’IA pour corriger les vulnérabilités plus vite que les attaquants ne peuvent les exploiter ?

La réponse pourrait déterminer la manière dont les futurs systèmes d’IA de pointe seront déployés — et réglementés — dans les années à venir.