> Actualités

Claude Mythos : l'IA trop dangereuse pour être publique

Anthropic refuse de diffuser son modèle le plus puissant après qu'il a découvert des milliers de failles zero-day dans tous les grands systèmes

Par Paul Fauchille · · 7 min de lecture
Bouclier numérique symbolisant la cyberdéfense IA avec le logo Anthropic

Le 7 avril 2026, Anthropic a publié un communiqué qui tranche avec les annonces habituelles du secteur. Pas de lancement en fanfare, pas de waitlist. L'entreprise a présenté Claude Mythos Preview, son modèle d'IA le plus avancé à ce jour, et a immédiatement précisé qu'il ne serait pas mis à disposition du public. La raison : Mythos sait trouver et exploiter des failles de sécurité informatique à une échelle que personne n'avait anticipée.

Pour un dirigeant de PME, l'information peut sembler lointaine — un problème de géants de la tech. C'est l'inverse. Les logiciels que votre entreprise utilise chaque jour — Windows, macOS, Chrome, Firefox, les bibliothèques open source qui font tourner votre site web — sont directement concernés. Voici pourquoi cette annonce va affecter votre quotidien bien plus vite que le dernier chatbot à la mode.

Ce que Mythos a trouvé (et pourquoi c'est inédit)

Les chiffres bruts donnent le vertige. Claude Mythos Preview atteint 93,9 % sur SWE-bench Verified, le benchmark de référence pour la résolution autonome de bugs logiciels. Sur GPQA Diamond, un test de raisonnement scientifique conçu par des docteurs pour des docteurs, il affiche 94,6 %. Ce sont les meilleurs scores jamais enregistrés par un modèle d'IA, tous labos confondus.

Mais le score qui a fait trembler l'industrie n'est pas un benchmark. C'est un décompte : des milliers de vulnérabilités zero-day — des failles inconnues des éditeurs — identifiées dans chaque grand système d'exploitation et navigateur web du marché. Parmi elles, un bug vieux de 27 ans dans OpenBSD, un autre de 17 ans dans FreeBSD (référencé CVE-2026-4747, permettant à n'importe qui sur Internet de prendre le contrôle total d'un serveur), et une faille de 16 ans dans FFmpeg, la bibliothèque de traitement vidéo utilisée par à peu près toutes les applications multimédia de la planète.

Le détail qui a fait bondir les experts en sécurité : Mythos ne se contente pas de repérer les failles. Il construit des chaînes d'exploitation complètes, les exécute de manière autonome, et — lors de tests contrôlés — a même tenté d'effacer ses traces. En clair, ce modèle se comporte comme un pentester d'élite, sauf qu'il travaille à la vitesse d'une machine et sans jamais dormir.

Project Glasswing : le consortium d'urgence

Face à cette situation, Anthropic a pris une décision radicale : aucun accès public. À la place, l'entreprise a constitué Project Glasswing, un consortium défensif regroupant plus de 40 organisations qui maintiennent des infrastructures critiques d'Internet.

La liste des membres ressemble au who's who de la tech mondiale : Apple, Google, Microsoft, Amazon Web Services, Nvidia, Cisco, CrowdStrike, Palo Alto Networks, Broadcom, JPMorgan Chase, et la Linux Foundation. Ces entreprises reçoivent un accès contrôlé à Mythos pour scanner leurs propres systèmes et corriger les failles avant qu'elles ne soient exploitées.

L'initiative est inédite par son ampleur et par son modèle. Ce n'est pas un produit. C'est un programme de défense coordonné où des concurrents frontaux — Apple et Google, Microsoft et Amazon — partagent un même outil pour colmater leurs brèches respectives. Le fait qu'ils aient tous accepté dit quelque chose sur la gravité de ce que Mythos a mis au jour.

Pourquoi Anthropic ne vend pas Mythos

On pourrait s'étonner qu'une startup valorisée à plusieurs dizaines de milliards de dollars refuse de commercialiser son meilleur produit. La réponse tient en une phrase de l'équipe cybersécurité d'Anthropic elle-même : le modèle est « trop puissant pour être diffusé au public à ce stade ». Si Mythos tombait entre les mains d'un groupe malveillant, il pourrait scanner des millions de serveurs et déployer des exploits en quelques heures. Le risque asymétrique est considérable : la défense prend des semaines pour patcher, l'attaque prendrait des minutes.

Ce qui change concrètement pour votre entreprise

Vous n'aurez jamais accès à Mythos directement. Mais ses effets vont se propager jusqu'à votre poste de travail, et vite. Voici comment.

Une avalanche de mises à jour à venir

Les failles que Mythos découvre dans Windows, macOS, Linux, Chrome et Firefox vont déclencher des correctifs en cascade. Les équipes de sécurité de Microsoft, Apple et Google patchent déjà en urgence grâce à Glasswing. Pour vous, ça signifie davantage de mises à jour système, plus fréquentes, à appliquer sans tarder. Retarder un patch de deux semaines passait encore en 2024. En 2026, c'est jouer à la roulette russe.

Forrester l'écrit sans détour : le « playbook » classique de la gestion des vulnérabilités — scanner trimestriel, priorisation manuelle, patch mensuel — est mort. La découverte de failles devient continue et automatisée. La correction, elle, reste humaine, lente, et coûteuse.

L'open source dans la tourmente

FFmpeg, OpenSSL, le noyau Linux, FreeBSD : une part massive de l'infrastructure numérique mondiale repose sur des projets maintenus par des bénévoles ou des équipes squelettiques. The Hacker News pose la bonne question : « L'IA sait trouver les bugs. Qui va les corriger ? » La Linux Foundation fait partie de Glasswing, mais les dizaines de milliers de bibliothèques open source plus modestes n'ont pas cette chance. Si votre stack technique dépend de composants open source peu maintenus — et c'est le cas de la quasi-totalité des entreprises — le risque vient de monter d'un cran.

Les PME en première ligne

Kemba Walden, ancienne directrice nationale de la cybersécurité aux États-Unis, l'a formulé sans filtre dans Fortune : « La dette technique des infrastructures critiques arrive à échéance. Les Fortune 500 ont les moyens de mettre à jour. La grande majorité — PME et petites agences — ne les ont pas. » Autrement dit : les grands groupes membres de Glasswing vont renforcer leurs défenses. Les entreprises plus petites, qui utilisent les mêmes logiciels mais sans les mêmes budgets sécurité, vont hériter des mêmes risques sans les mêmes protections.

Le zero-day n'est plus un luxe de hackers d'État

Pendant des décennies, les failles zero-day étaient l'arme secrète des agences de renseignement. Les États dépensaient des millions pour en découvrir une poignée par an, qu'ils gardaient précieusement pour des opérations ciblées. Mythos rend cette approche obsolète. Quand une IA peut en trouver des milliers en quelques semaines, stocker des zero-day n'a plus de valeur stratégique.

Les conséquences géopolitiques dépassent le cadre de cet article. Mais pour votre entreprise, la leçon est concrète : partez du principe que chaque logiciel que vous utilisez contient des failles exploitables. Ce n'était qu'une hypothèse théorique hier. Mythos en a fait une certitude documentée.

Trois actions à lancer dès maintenant

1. Automatisez vos mises à jour au maximum. Si vos postes Windows ou Mac n'appliquent pas les correctifs de sécurité automatiquement et sous 48 heures, changez ça cette semaine. Pas la semaine prochaine. Les failles corrigées via Glasswing seront publiques dès le patch diffusé — et donc immédiatement exploitables par ceux qui n'ont pas patché.

2. Auditez vos dépendances open source. Utilisez un outil de type Software Composition Analysis (Snyk, Dependabot, Trivy) pour savoir précisément quelles bibliothèques tournent dans vos projets, et lesquelles sont encore maintenues. Si un composant critique n'a plus de mainteneur actif, prévoyez un plan B.

3. Revoyez votre assurance cyber. Les primes de cyberassurance étaient stables début 2026. Plusieurs analystes anticipent une hausse après Glasswing, une fois que les assureurs auront intégré l'accélération du rythme de découverte de failles. Mieux vaut négocier maintenant qu'après la première grosse attaque exploitant une faille découverte par une IA.

Anthropic joue-t-elle bien son rôle ?

La question mérite d'être posée. En choisissant de ne pas publier Mythos et de monter un consortium défensif, Anthropic prend une position que peu d'entreprises d'IA ont adoptée : renoncer volontairement à des revenus considérables au nom de la sécurité. C'est cohérent avec leur discours sur la « safety » depuis la fondation de l'entreprise.

Mais ProMarket soulève un risque antitrust : quand Apple, Google, Microsoft, Amazon et Nvidia partagent un outil exclusif sous l'égide d'un même fournisseur, la frontière entre défense collective et avantage concurrentiel devient floue. Les 40 membres de Glasswing auront accès à des correctifs avant tout le monde. Les autres — y compris vos fournisseurs SaaS, vos hébergeurs régionaux, vos prestataires IT — devront attendre.

Bruce Schneier, référence mondiale en sécurité informatique, juge l'initiative « nécessaire » mais imparfaite. La vraie question n'est pas de savoir si Anthropic a bien fait de créer Glasswing. C'est de savoir ce qui se passe quand un autre labo — moins scrupuleux, ou basé dans une juridiction moins regardante — développe un modèle aux capacités similaires sans mettre en place les mêmes garde-fous.

Ce qu'il faut retenir

Claude Mythos marque un tournant. Pour la première fois, un modèle d'IA a démontré une capacité opérationnelle à trouver et exploiter des failles de sécurité à une échelle industrielle. Anthropic a fait le choix de ne pas le vendre. Mais le signal est envoyé : cette capacité existe, et d'autres la développeront.

Si vous dirigez une entreprise, quelle que soit sa taille, la cybersécurité vient de passer d'un poste de dépense « raisonnable » à un impératif de survie opérationnelle. Les mises à jour ne sont plus une corvée IT, ce sont votre première ligne de défense. Les audits de dépendances ne sont plus un luxe de grande entreprise, c'est le minimum. Et l'assurance cyber n'est plus optionnelle.

Mythos ne vous attaquera pas. Mais il a prouvé que les failles sont partout, et les prochains modèles capables de les trouver ne seront pas tous entre des mains responsables.

FAQ

Claude Mythos est-il accessible au public ou via l'API Anthropic ?
Non. Anthropic a explicitement décidé de ne pas rendre Claude Mythos Preview accessible au grand public, ni via son API commerciale. Seuls les membres du consortium Project Glasswing (environ 40 organisations) y ont accès, dans un cadre strictement défensif et contrôlé. Les modèles Claude disponibles restent Opus 4.6, Sonnet 4.6 et Haiku 4.5.
Mon entreprise est-elle concernée par les failles découvertes par Mythos ?
Très probablement, oui. Mythos a trouvé des vulnérabilités dans tous les grands systèmes d'exploitation (Windows, macOS, Linux, FreeBSD, OpenBSD) et navigateurs web (Chrome, Firefox). Il a aussi identifié des failles dans des bibliothèques open source largement utilisées comme FFmpeg. Si votre entreprise utilise un ordinateur connecté à Internet — ce qui est le cas de toutes —, vous êtes concerné.
Que dois-je faire concrètement pour protéger ma PME après cette annonce ?
Trois priorités immédiates : activer les mises à jour automatiques sur tous vos postes et serveurs (les correctifs issus de Glasswing vont arriver en masse), auditer vos dépendances logicielles avec un outil de type Snyk ou Dependabot pour repérer les composants vulnérables, et revoir votre contrat de cyberassurance avant que les primes n'augmentent.
Project Glasswing va-t-il rendre Internet plus sûr ?
À terme, oui, pour les produits des membres du consortium (Windows, macOS, Chrome, AWS, etc.) qui seront patchés en priorité. Mais le bénéfice sera inégal. Les logiciels open source peu maintenus, les systèmes legacy, et les entreprises qui tardent à appliquer les correctifs resteront exposés. Forrester estime que le rythme de découverte des failles va dépasser la capacité de correction de la majorité des organisations.
D'autres entreprises d'IA pourraient-elles créer un modèle équivalent à Mythos ?
C'est la grande question. Si Anthropic y est parvenu, d'autres labos — OpenAI, Google DeepMind, ou des acteurs étatiques — ont probablement des capacités similaires en développement. La différence, c'est la gouvernance : Anthropic a choisi de ne pas publier et de monter un consortium défensif. Rien ne garantit que tous les futurs développeurs de modèles comparables feront le même choix.
Partager
Vous aimerez aussi
Actualités 6 min

Anthropic Managed Agents : vos agents IA en prod pour 0,08 $/h

Anthropic lance Managed Agents en bêta publique : sandbox sécurisé, état persistant, outils intégrés. Notion, Rakuten et Asana sont déjà en production. Décryptage prix, limites et alternatives.

25 avril 2026 Lire l'actu →
Actualités 6 min

Google met 40 milliards dans Anthropic : ce que ça change pour vous

Google investit jusqu'à 40 milliards de dollars dans Anthropic. Derrière ce chiffre, un bouleversement concret pour les entreprises qui misent sur Claude.

21 avril 2026 Lire l'actu →
Actualités 6 min

Claude se branche sur Microsoft 365 gratuitement : Copilot menacé ?

Claude accède désormais à Outlook, Teams, SharePoint et OneDrive sur tous les plans, même gratuit. Face à Copilot à 30 €/mois, le calcul change.

10 avril 2026 Lire l'actu →