Claude Mythos : l’IA d’Anthropic qui met la cybersécurité mondiale en alerte
Le 26 mars 2026, une simple erreur de configuration sur le blog d’Anthropic a révélé l’existence de Claude Mythos Preview, un modèle d’intelligence artificielle si puissant qu’il a provoqué une vague d’inquiétude dans tout l’écosystème de la cybersécurité. Le document exposé décrivait un outil capable de surpasser presque tous les experts humains dans la recherche et l’exploitation de vulnérabilités logicielles. Une semaine plus tard, la confirmation officielle n’a fait qu’amplifier les craintes.
Une fuite qui a tout changé
Rien ne prévenait le drame. Anthropic utilisait un système de gestion de contenu pour son blog où les fichiers créés sont mis en accès public par défaut, avec une URL automatiquement attribuée. Personne n’a pensé à modifier ce paramètre. Résultat : des brouillons de billets, des documents internes, et surtout un brouillon d’annonce décrivant Claude Mythos — surnommé Capybara dans le texte — sont devenus accessibles à quiconque savait où chercher.
La fuite a été découverte par deux chercheurs en sécurité avant d’être confirmée par Fortune le jeudi 26 mars. Anthropic a reconnu une erreur humaine et coupé l’accès dans la foulée, mais les dégâts étaient faits.
Le marché a réagi avec brutalité. Sur trois séances de bourse, Palo Alto Networks perd environ 12 %, Akamai Technologies 20 %, Fortinet 8 % et CrowdStrike 11 %. Les investisseurs craignent que l’accélération des capacités offensives de l’IA ne fragilise une partie des outils de cybersécurité traditionnels. La situation est devenue si sensible que Jerome Powell et Scott Bessent ont réuni en urgence les dirigeants des principales banques américaines pour les alerter, selon Reuters.
Ce que Claude Mythos Preview peut faire
Ce qui distingue Mythos des générations précédentes ne tient pas uniquement à ses performances générales en raisonnement. C’est sur le terrain de la cybersécurité offensive que les chiffres deviennent inquiétants.
Sur le benchmark CyberGym, spécialisé dans la reproduction de vulnérabilités, Claude Mythos Preview atteint 83,1 % de réussite contre 66,6 % pour Claude Opus 4.6, le meilleur modèle d’Anthropic jusqu’alors. Un écart de 16,5 points qui illustre un saut générationnel.
Mais les chiffres de benchmark ne racontent pas tout. En quelques semaines de tests internes, le modèle a identifié des milliers de failles zero-day dans chaque système d’exploitation majeur et chaque navigateur web grand public. Parmi les découvertes concrètes :
- Une vulnérabilité critique dans OpenBSD vieille de 27 ans, permettant de faire planter à distance n’importe quelle machine.
- Une faille dans FFmpeg (16 ans d’ancienneté) non détectée après cinq millions d’itérations de tests automatisés.
- La capacité d’enchaîner plusieurs vulnérabilités Linux de manière autonome, obtenant un contrôle total du système via une escalade de privilèges dans le noyau.
Comme le résume Elia Zaitsev, directeur technique de CrowdStrike : « Le délai entre la découverte d’une vulnérabilité et son exploitation s’est effondré. Ce qui prenait des mois se fait désormais en quelques minutes avec l’IA. »
Project Glasswing : la riposte
Pour encadrer le déploiement de ce modèle jugé trop dangereux, Anthropic a lancé le 7 avril 2026 Project Glasswing. Une initiative qui réunit onze partenaires stratégiques : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks.
L’usage est strictement défensif : détection de vulnérabilités, tests d’intrusion, sécurisation de systèmes critiques. Anthropic s’engage à hauteur de 100 millions de dollars en crédits d’utilisation pour l’ensemble de ces partenaires, auxquels s’ajoutent plus de 40 organisations supplémentaires — dont des mainteneurs de logiciels open source historiquement laissés sans moyens face aux enjeux de sécurité.
L’entreprise a également annoncé 4 millions de dollars de dons directs à des organisations de sécurité open source, portant le total de l’engagement à 104 millions de dollars. Jim Zemlin, PDG de la Linux Foundation, résumait : « Cette initiative démocratise l’expertise de sécurité. Enfin les mainteneurs open source qui historiquement n’avaient pas de ressources pourront avoir des outils avancés à disposition. »
Anthropic précise ne pas prévoir de rendre Claude Mythos Preview accessible au grand public. L’objectif est à terme de déployer des modèles de classe Mythos à grande échelle, une fois de nouveaux garde-fous en place. Les résultats concrets de l’initiative seront rendus publics d’ici 90 jours.
Un basculement dans la cybersécurité
Le rapport CSA/SANS Institute publié le 13 avril 2026, en collaboration avec l’OWASP Gen AI Security Project, identifie une rupture structurelle. Le document de stratégie (version 0.4) qualifie Claude Mythos Preview d’« événement déclencheur » dans la découverte automatisée de vulnérabilités.
Le taux de succès d’exploitation atteint 72 %. Sur Firefox uniquement, le modèle a généré 181 exploits fonctionnels — contre 2 pour Claude Opus 4.6 dans les mêmes conditions. La fenêtre entre la découverte d’une faille et son exploitation weaponisée est désormais réduite à quelques heures.
La menace n’est pas seulement théorique. En novembre 2025, un groupe étatique chinois non nommé a utilisé Claude Code pour orchestrer des chaînes d’attaque complètes contre environ 30 cibles mondiales. En février 2026, AISLE a trouvé 12 zero-days OpenSSL dont un CVSS 9.8 datant de 1998. En mars, les rapports de bugs du noyau Linux sont passés de 2 à 10 par semaine, tous vérifiés comme réels.
Pour la première fois, l’équilibre entre attaquants et défenseurs semble pencher du côté des premiers. L’IA réduit le coût et le niveau de compétence requis pour découvrir et exploiter des vulnérabilités plus vite que les organisations ne peuvent patcher. Le Projet Glasswing tente d’inverser la tendance, mais sa réussite dépendra de l’ampleur de son adoption.
Questions fréquentes
Qu’est-ce que Claude Mythos Preview ?
C’est le modèle d’intelligence artificielle le plus puissant jamais développé par Anthropic. Il est décrit comme un système frontier capable de surpasser presque tous les experts humains en cybersécurité offensive.
Pourquoi Claude Mythos n’est-il pas rendu public ?
Ses capacités offensives en matière de découverte et d’exploitation de vulnérabilités sont jugées trop dangereuses pour une diffusion large. Anthropic a décidé de le restreindre à un cercle de partenaires vérifiés.
Qu’est-ce que Project Glasswing ?
Une initiative de cybersécurité défensive réunissant 12 géants de la tech et plus de 40 organisations supplémentaires. Anthropic y investit 104 millions de dollars.
Quel impact sur les marchés financiers ?
Les valeurs de cybersécurité ont chuté lourdement : Palo Alto Networks -12 %, Akamai -20 %, Fortinet -8 %, CrowdStrike -11 % en trois séances seulement.
Quand les résultats de Glasswing seront-ils connus ?
Anthropic annonce que les résultats concrets de l’initiative seront rendus publics d’ici 90 jours à compter du 7 avril 2026.
Sources
- Numerama — Fuite de Claude Mythos, 27 mars 2026
- TradingSat — Claude Mythos fait plonger la cybersécurité, 10 avril 2026
- Le Monde — Anthropic restreint le lancement de Mythos, 7 avril 2026
- Solutions Numériques — Anthropic ne publiera pas Mythos, 9 avril 2026
- CyberVeille — Rapport CSA/SANS, 14 avril 2026
- HardwareCooking — Project Glasswing, 8 avril 2026
- Pasquale Pillitteri — Claude Mythos officiel, 10 avril 2026
- Anthropic — Project Glasswing (page officielle)
