Anthropic ouvre son IA Mythos à l'Europe, mettant fin à des mois d'exclusivité américaine

Tout au long du mois de mai, la situation s'est envenimée. Des responsables de la Commission européenne se sont rendus à San Francisco pour demander directement l'accès aux dirigeants d'Anthropic . Le ministre espagnol de l'Économie a publiquement déclaré que les progrès étaient « limités », et les négociations entre l'UE et Anthropic pour l'accès des institutions financières étaient au point mort . Fin mai, les médias présentaient l'absence d'accès de l'UE comme un « fossé technologique et institutionnel en matière de capacités de cybersécurité », soulignant que si la Banque d'Angleterre, la Réserve fédérale américaine et le Trésor américain avaient tous été briefés, aucune institution européenne n'avait d'accès opérationnel . La décision du 1er juin d'inclure l'ENISA est une résolution directe de cette campagne de pression publique.

Les capacités inédites de Mythos

Pour comprendre la portée de cet accès, il faut saisir ce dont Mythos est capable. Claude Mythos Preview n'est pas un simple chatbot. Il s'agit d'un modèle d'IA qui, une fois une consigne reçue, peut lire du code source de manière autonome, formuler des hypothèses, lancer des tests et écrire des exploits fonctionnels, le tout sans intervention humaine . Lors des premières évaluations, il a découvert des milliers de vulnérabilités zero-day de haute sévérité sur tous les principaux systèmes d'exploitation, y compris Windows, macOS, Linux, et tous les navigateurs web majeurs .

Certaines découvertes sont stupéfiantes. Mythos a identifié un bug vieux de 27 ans dans l'implémentation TCP SACK d'OpenBSD, une faille vieille de 16 ans dans FFmpeg, et a enchaîné de manière autonome quatre vulnérabilités pour briser le confinement d'un bac à sable (sandbox) de navigateur . Il a construit 181 exploits shell fonctionnels contre Firefox 147, là où le meilleur modèle précédent n'en avait réalisé que 2 . Le 23 mai 2026, ces efforts avaient pris une échelle industrielle : les partenaires du Projet Glasswing ont rapporté avoir trouvé plus de 10 000 vulnérabilités de sévérité haute ou critique dans des logiciels d'importance systémique, Cloudflare à lui seul déclarant près de 2 000 bugs avec un taux de faux positifs inférieur à celui des testeurs humains .

Le cadre défensif du Projet Glasswing

Malgré la puissance offensive du modèle, l'accès est régi par des conditions strictes. Tous les partenaires du Projet Glasswing doivent utiliser Mythos Preview exclusivement pour un travail de sécurité défensive, c'est-à-dire identifier, corriger et signaler des vulnérabilités dans des logiciels critiques . Les conditions d'utilisation interdisent explicitement les cyberopérations offensives. Anthropic s'est engagée à hauteur de 100 millions de dollars en crédits d'utilisation pour cette initiative, ainsi que 4 millions de dollars de dons directs à des organisations de sécurité open source .

L'inclusion de l'ENISA signifie que l'UE peut désormais appliquer cette capacité défensive à ses propres infrastructures critiques. Les institutions européennes sont confrontées à des risques réels de la part d'adversaires qui pourraient obtenir ou répliquer des capacités d'IA similaires . La BCE a déjà averti les banques de la zone euro que les cybermenaces pilotées par l'IA, en faisant spécifiquement référence aux outils de la classe de Mythos, sont une préoccupation majeure . L'accès de l'ENISA offre une visibilité de première main sur le paysage des menaces et la capacité de tester les défenses européennes face au scanner de vulnérabilités IA le plus avancé connu à ce jour.

Ce que l'accord n'inclut pas

L'accord est un pas de géant pour la souveraineté de l'UE en matière de cybersécurité, mais sa portée est limitée. Si l'ENISA a désormais voix au chapitre, l'accès pour les institutions financières européennes au sens large et les États membres individuels reste en suspens. Fin mai 2026, les discussions concernant les modalités de test pour les banques européennes étaient au point mort . L'adhésion de l'ENISA au Projet Glasswing comble un vide diplomatique, mais n'étend pas encore le parapluie défensif du modèle à l'ensemble du continent.