Lors de tests sur plus de 50 dépôts internes et open source, Cloudflare a constaté que Claude Mythos Preview pouvait combiner plusieurs failles mineures pour créer une chaîne d’exploitation fonctionnelle. Le modèle est aussi capable d’écrire, compiler et exécuter automatiquement du code d’exploit de preuve de concep...

Create a landscape editorial hero image for this Studio Global article: What did Cloudflare find when testing Anthropic’s Claude Mythos Preview on more than 50 internal and open-source code repositories, specific. Article summary: Cloudflare tested Mythos Preview as part of Project Glasswing against more than 50 of its own internal and open-source code repositories.. Topic tags: general, general web, user generated. Reference image context from search candidates: Reference image 1: visual subject "# Claude Mythos: Benchmark-Dominating AI with Real Risks. Claude Mythos Preview is Anthropic’s most powerful AI yet, outperforming benchmarks and uncovering critical vulnerabilitie" source context "Claude Mythos: Benchmark-Dominating AI with Real Risks" Reference image 2: visual subject "Artificial Intelligence (AI) company Anthropic announced a new cybersecurity initiative called **Project Gla
Les équipes de sécurité de Cloudflare ont récemment évalué Claude Mythos Preview, un modèle d’IA spécialisé dans la recherche en cybersécurité développé par Anthropic. Le test s’est déroulé dans le cadre du programme restreint Project Glasswing, et a consisté à analyser plus de 50 dépôts de code internes et open source de l’entreprise.
Le résultat le plus marquant : le modèle ne se contente pas de détecter des vulnérabilités. Il est capable de les relier entre elles pour construire de véritables chaînes d’exploitation, puis de générer automatiquement du code permettant de démontrer l’attaque.
En même temps, les chercheurs ont observé plusieurs limites importantes, notamment des faux positifs et des comportements de sécurité incohérents.
Les outils automatisés de sécurité cherchent généralement des vulnérabilités isolées dans un programme. Dans les tests de Cloudflare, Mythos est allé plus loin.
Face à de vrais projets logiciels, le modèle pouvait :
Autrement dit, l’IA raisonne comme un chercheur en sécurité expérimenté : elle ne considère pas chaque bug individuellement, mais réfléchit à la manière dont un attaquant pourrait combiner plusieurs faiblesses pour obtenir un accès ou un contrôle plus large.
Cloudflare a observé ce comportement dans différents types de code : systèmes d’exécution, protocoles réseau, composants de contrôle interne et projets open source utilisés par l’entreprise.
Autre capacité notable : la création automatique de proof‑of‑concept (PoC), c’est‑à‑dire du code qui démontre concrètement qu’une vulnérabilité peut être exploitée.
Selon les observations de Cloudflare, Mythos peut :
Ce processus itératif permet au modèle de passer de la détection d’un bug à la validation pratique de son exploitabilité, souvent avec très peu d’intervention humaine.
Dans la pratique, cette étape est cruciale : c’est elle qui permet aux équipes de sécurité de savoir si une vulnérabilité est réellement dangereuse ou simplement théorique.
La documentation d’Anthropic sur Mythos Preview mentionne aussi d’autres capacités observées lors de tests internes, notamment :
Ces caractéristiques indiquent que le modèle est conçu moins comme un assistant de programmation classique que comme un outil spécialisé pour l’analyse structurée des vulnérabilités.
Malgré ces capacités impressionnantes, les chercheurs de Cloudflare ont identifié plusieurs faiblesses importantes.
Le modèle signale parfois des vulnérabilités qui ne sont pas réellement exploitables ou qui sont mal classifiées. Les projets écrits dans des langages dits memory‑unsafe comme C ou C++ génèrent particulièrement ce type d’erreurs, ce qui signifie qu’une validation humaine reste indispensable.
Cloudflare a également observé un comportement de sécurité irrégulier. Dans certains cas, le modèle identifie un chemin d’exploitation mais refuse ensuite d’en produire la démonstration à cause de ses garde‑fous internes. Dans d’autres cas, il va plus loin avant de s’arrêter.
Ces variations montrent la difficulté d’équilibrer capacité de recherche en sécurité et prévention des abus.
Les conclusions de Cloudflare illustrent un changement possible dans la recherche de vulnérabilités.
Pour les équipes de défense, un système comme Mythos pourrait :
Mais les mêmes capacités peuvent aussi présenter des risques. Si une IA peut passer automatiquement de la découverte d’un bug à un exploit fonctionnel, la barrière technique pour lancer des attaques sophistiquées pourrait diminuer fortement.
Cloudflare souligne ainsi que se contenter d’accélérer la publication de correctifs ne suffira peut‑être plus dans un monde où l’IA accélère aussi la découverte et l’exploitation des failles.
Claude Mythos Preview illustre un problème classique dans les technologies de sécurité : le double usage.
C’est pour cette raison que le modèle n’est pas disponible publiquement. Il est actuellement accessible uniquement à certaines organisations dans le cadre du programme Project Glasswing, destiné à des tests de sécurité défensive.
Les tests de Cloudflare suggèrent ainsi que les modèles d’IA commencent à dépasser l’assistance au développement logiciel pour atteindre la découverte et l’exploitation complète de vulnérabilités — une évolution qui pourrait transformer la cybersécurité dans les années à venir.
Studio Global AI
Use this topic as a starting point for a fresh source-backed answer, then compare citations before you share it.
Lors de tests sur plus de 50 dépôts internes et open source, Cloudflare a constaté que Claude Mythos Preview pouvait combiner plusieurs failles mineures pour créer une chaîne d’exploitation fonctionnelle.
Lors de tests sur plus de 50 dépôts internes et open source, Cloudflare a constaté que Claude Mythos Preview pouvait combiner plusieurs failles mineures pour créer une chaîne d’exploitation fonctionnelle. Le modèle est aussi capable d’écrire, compiler et exécuter automatiquement du code d’exploit de preuve de concept afin de vérifier si une vulnérabilité est réellement exploitable.
Ces capacités soulèvent un dilemme de cybersécurité : utiles pour les défenseurs, elles pourraient aussi faciliter la création d’attaques si elles étaient utilisées de manière malveillante.