L'avertissement historique du renseignement Five Eyes : des modèles d'IA capables de faire tomber des gouvernements « dans quelques mois »

Les événements qui ont façonné cette escalade

1. Les modèles Fable 5 et Mythos 5 d'Anthropic : lancement et démantèlement gouvernemental

Anthropic a lancé le Claude Fable 5 (un modèle général public) et le Claude Mythos 5 (le même modèle, mais avec les garde-fous cybernétiques retirés, réservé à des défenseurs agréés) les 9 et 10 juin 2026 . Le 12 juin à 17h21, heure de l'Est, le département américain du Commerce a émis une directive de contrôle des exportations d'urgence ordonnant à Anthropic de désactiver immédiatement les deux modèles pour tout ressortissant étranger, y compris les employés étrangers d'Anthropic elle-même . Anthropic s'est conformée le jour même, suspendant l'accès mondial .

L'élément déclencheur : La chercheuse en cybersécurité Katie Moussouris a démontré que les modèles pouvaient être amenés, avec la simple instruction de trois mots « Fix this code » (Corrige ce code), à rétro-ingénierer et armer de manière autonome des vulnérabilités logicielles, ce qui a déclenché l'alarme au niveau de la sécurité nationale . Amazon, un investisseur d'Anthropic, a alerté la Maison-Blanche après sa propre revue de sécurité .

2. Incident d'accès non autorisé antérieur au modèle Mythos (avril 2026)

En avril 2026, Anthropic a enquêté sur des allégations selon lesquelles un petit groupe de personnes avait obtenu un accès non autorisé à une version préliminaire du modèle Claude Mythos, un système qu'Anthropic elle-même décrivait comme trop puissant pour être rendu public . Cet incident a préfiguré les préoccupations plus larges concernant les risques de prolifération qui ont ensuite déclenché l'arrêt de Fable 5.

3. La plateforme Daybreak d'OpenAI (lancée le 11 mai 2026)

OpenAI a lancé Daybreak, une initiative majeure de cybersécurité, le 11 mai 2026, le même jour où le Threat Intelligence Group de Google a divulgué le premier cas confirmé d'attaquants utilisant l'IA pour créer une faille zero-day . Daybreak regroupe les modèles GPT-5.5 (dont une variante permissive « GPT-5.5-Cyber » pour les tests d'intrusion) avec les agents Codex Security et plus de 20 partenaires de sécurité (Cloudflare, CrowdStrike, Palo Alto Networks, etc.) pour automatiser la découverte de vulnérabilités, la validation de correctifs et la remédiation à la vitesse de la machine . Il a été largement perçu comme la réponse concurrentielle directe d'OpenAI aux offres précédentes d'Anthropic (Project Glasswing / Mythos) .

4. Avis antérieur des Five Eyes sur l'IA agentique (1er mai 2026)

Le 1er mai 2026, six agences de cybersécurité des Five Eyes (CISA, NSA, ASD ACSC, CCCS, NZ NCSC, UK NCSC) ont publié « Careful Adoption of Agentic AI Services » — le premier guide de sécurité coordonné et multigouvernemental ciblant spécifiquement les agents d'IA autonomes . L'avis a identifié cinq catégories de risques (privilège, conception/configuration, comportemental, responsabilité et risques liés aux données/opérations) et a averti que des agents autonomes qui « agissent, décident et interagissent entre les systèmes de manière difficile à prévoir, auditer ou contrôler » opéraient déjà dans des infrastructures critiques sans garanties suffisantes . Cet avis de mai a posé les bases politiques que la déclaration du 22 juin a transformées en un appel à l'action plus large et plus urgent.

Chronologie récapitulative de l'escalade des préoccupations

L'avis de mai sur l'IA agentique a identifié les risques systémiques. L'incident d'accès à Mythos et la vulnérabilité « Fix this code » dans Fable 5 ont prouvé que ces risques se matérialisaient déjà dans des modèles de pointe réels. Le lancement de Daybreak par OpenAI a intensifié la dynamique concurrentielle et sécuritaire. La déclaration du 22 juin représente la conclusion unifiée des Five Eyes selon laquelle la fenêtre d'action défensive s'est réduite de quelques années à quelques mois.