L’IA Mythos d’Anthropic révèle des failles logicielles majeures — et alerte les régulateurs du G20

Pour les équipes de sécurité, ce type d’outil représente un avantage majeur : découvrir les failles plus tôt permet de les corriger avant que des attaquants ne les exploitent. Mais cette capacité souligne aussi le problème central — une technologie capable de trouver des vulnérabilités plus vite pourrait aussi permettre de les exploiter plus rapidement.

Pourquoi Anthropic informe le Financial Stability Board

Le Financial Stability Board (FSB) est un organisme international chargé de coordonner la surveillance du système financier mondial. Il réunit banques centrales, autorités de régulation et ministères des finances des économies du G20.

Anthropic a accepté de présenter les capacités de Mythos au FSB après que le modèle aurait identifié des vulnérabilités pouvant concerner l’infrastructure numérique du système financier mondial. Cette présentation a été demandée par Andrew Bailey, gouverneur de la Banque d’Angleterre et président du FSB.

Les autorités financières prennent la question très au sérieux, car les marchés et les banques reposent aujourd’hui sur des infrastructures numériques complexes : logiciels bancaires, services cloud, systèmes d’authentification et réseaux de paiement.

Une vulnérabilité dans un logiciel largement utilisé pourrait donc toucher simultanément plusieurs institutions financières.

Pourquoi le modèle n’est pas publié librement

Anthropic a choisi de ne pas diffuser Mythos au grand public pour une raison principale : ses capacités pourraient réduire drastiquement le temps et les compétences nécessaires pour découvrir des vulnérabilités critiques.

Si un outil peut analyser automatiquement des systèmes d’exploitation, des navigateurs ou des infrastructures cloud pour détecter des failles exploitables, il pourrait devenir extrêmement précieux pour des groupes criminels ou des acteurs étatiques malveillants.

C’est ce qu’on appelle une technologie à double usage : elle peut renforcer la sécurité… ou faciliter les attaques.

Pour cette raison, Mythos est traité davantage comme une technologie sensible de cybersécurité que comme un produit d’IA classique.

Project Glasswing : un accès limité pour la défense

Plutôt qu’un lancement public, Anthropic a mis en place Project Glasswing, un programme qui donne un accès anticipé et contrôlé au modèle.

L’initiative réunit un petit groupe d’organisations responsables d’infrastructures technologiques majeures, notamment :

• Amazon Web Services
• Apple
• Broadcom
• Cisco
• CrowdStrike
• Google
• JPMorganChase
• Microsoft
• NVIDIA
• The Linux Foundation
• Palo Alto Networks

Ces partenaires peuvent utiliser Mythos pour analyser leurs propres systèmes et détecter des failles avant qu’elles ne soient exploitées. L’idée est de renforcer la défense collective des infrastructures numériques utilisées par des milliards de personnes.

Pourquoi les régulateurs parlent désormais de risque systémique

Pour les autorités financières, les outils d’IA capables d’automatiser la découverte de vulnérabilités ne sont plus seulement une question technique. Ils peuvent devenir un risque systémique.

Le Financial Stability Board a déjà identifié plusieurs mécanismes par lesquels l’IA pourrait fragiliser le système financier, notamment :

• la dépendance à un petit nombre de fournisseurs technologiques
• l’augmentation du risque cyber
• des défaillances corrélées entre institutions
• des problèmes de gouvernance et de contrôle des modèles d’IA

Comme de nombreuses banques utilisent les mêmes logiciels, services cloud et composants open source, une seule vulnérabilité critique peut se propager rapidement dans l’ensemble du secteur.

Si l’IA accélère la découverte — ou l’exploitation — de ces failles, l’impact pourrait dépasser largement une seule entreprise et affecter l’ensemble du système financier mondial.

Ce que l’on ignore encore

Malgré l’attention croissante autour de Mythos, de nombreux détails restent confidentiels.

Anthropic n’a pas rendu publiques les vulnérabilités précises découvertes par le modèle, leur niveau de gravité ou les validations indépendantes éventuelles. La plupart des informations disponibles proviennent de déclarations de l’entreprise et de reportages médiatiques plutôt que d’analyses techniques publiées.

Cette discrétion illustre le dilemme central : révéler trop d’informations sur ces failles pourrait lui‑même créer de nouveaux risques de sécurité.

Une nouvelle ère pour la cybersécurité

Mythos illustre une évolution majeure : l’IA pourrait bientôt accélérer autant la défense que l’attaque dans le domaine cyber.

Là où des chercheurs en sécurité mettaient parfois des mois à analyser un système complexe, des modèles avancés pourraient effectuer un travail comparable en quelques minutes ou quelques heures.

Pour les entreprises technologiques, les gouvernements et les institutions financières, le défi devient donc stratégique : utiliser l’IA pour protéger les infrastructures critiques tout en empêchant que les mêmes capacités ne facilitent des cyberattaques à grande échelle.