Anthropic vient de franchir un seuil capacitaire en cybersécurité, avec Claude Mythos Preview, un modèle frontière de détection non commercialisé. Il a détecté des milliers de vulnérabilités zero-day critiques dans chaque grand système d’exploitation et chaque navigateur majeur, dont certaines résistaient depuis deux à trois décennies à l’ensemble des outils automatisés. Pour l'occasion, Anthropic fédère un consortium industriel inédit et engage 100 millions de dollars pour mettre ces capacités en service.
Les capacités d’analyse et d’exploitation du code par les grands modèles de langage progressaient depuis plusieurs trimestres sur les benchmarks. Elles avaient jusqu’ici produit des résultats utiles en complément des outils de sécurité existants, sans remettre en cause les équilibres fondamentaux entre attaquants et défenseurs. Mythos Preview marque une rupture de nature différente, le modèle opère désormais de façon entièrement autonome, sans guidage humain, et produit des résultats que les meilleurs experts en sécurité offensive n’auraient pas obtenus plus rapidement.
La démonstration de capacité qu’Anthropic publie ce jour est sans précédent dans sa forme. En quelques semaines de tests, Mythos Preview a identifié une faille vieille de 27 ans dans OpenBSD, système réputé pour son niveau de durcissement et déployé dans des infrastructures critiques, permettant à un attaquant distant de provoquer l’arrêt de n’importe quelle machine exposée par simple connexion. Il a également détecté une vulnérabilité de 16 ans dans FFmpeg, bibliothèque de traitement vidéo embarquée dans d’innombrables applications, que 5 millions de tests automatisés n’avaient jamais réussi à isoler. Sur le noyau Linux, le modèle a enchaîné de façon autonome plusieurs failles pour permettre une escalade de privilèges jusqu’au contrôle complet du système. Toutes ces vulnérabilités ont été signalées aux mainteneurs concernés et corrigées avant l’annonce publique.
Un consortium inédit pour supporter le lancement
La réponse d’Anthropic à cette percée est stratégiquement collective. AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks rejoignent le Project Glasswing comme partenaires fondateurs. Plus de 40 organisations gérant des infrastructures critiques ou des composants open source majeurs bénéficient également d’un accès anticipé à Mythos Preview pour auditer leurs propres bases de code. L’engagement financier d’Anthropic couvre 100 millions de dollars en crédits d’usage, auxquels s’ajoutent 2,5 millions de dollars versés à Alpha-Omega et à l’OpenSSF via la Linux Foundation, et 1,5 million de dollars à l’Apache Software Foundation, organisations dont le rôle est de sécuriser les composants open source qui constituent l’essentiel du substrat logiciel des systèmes modernes.
La logique est de donner le maximum d’élan et de couverture à Mythos Preview en mobilisant des acteurs mondiaux, et en investissant un capital d’amorce de 100 millions de dollars. La demande en cybersécurité fera le reste, comme le souligne Lee Klarich, directeur technique de Palo Alto Networks : « Il y aura davantage d’attaques, des attaques plus rapides, et des attaques plus sophistiquées », prévient.
Réduire le délai entre découverte et exploitation
Les capacités en cybersécurité de Mythos Preview découlent de son niveau général en ingénierie logicielle. Sur SWE-bench Verified, benchmark de résolution autonome de tickets GitHub, le modèle obtient 93,9 % contre 80,8 % pour Claude Opus 4.6. Sur CyberGym, benchmark dédié à la reproduction de vulnérabilités, il atteint 83,1 % contre 66,6 % pour Opus 4.6. Sur GPQA Diamond, modèle de raisonnement expert, le score s’établit à 94,6 %. Ces écarts sont assez importants pour interpeller : ils signalent une progression qualitative dans la capacité à raisonner sur du code en contexte réel, pas seulement à en produire.
Microsoft rapporte que Mythos Preview affiche une amélioration substantielle sur CTI-REALM, son benchmark de sécurité open source, par rapport aux générations précédentes. AWS indique l’avoir déjà appliqué à des bases de code critiques internes. CrowdStrike souligne que le délai entre découverte et exploitation d’une vulnérabilité, qui s’étalait autrefois sur des mois, peut désormais se réduire à quelques minutes avec l’assistance de l’IA.
Un accès restreint, une tarification anticipée
Anthropic n’a pas l’intention de rendre Mythos Preview disponible au grand public. La priorité est d’abord de développer des garde-fous capables de détecter et de bloquer les sorties les plus dangereuses du modèle, travail qui sera conduit en parallèle avec un prochain modèle Claude Opus, moins exposé en termes de risque résiduel. À l’issue de la phase de recherche couverte par les crédits engagés, l’accès à Mythos Preview sera facturé 25 dollars par million de tokens en entrée et 125 dollars en sortie, via l’API Claude, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry.
Pour les organisations européennes soumises à NIS2 ou DORA, une question demeure ouverte : les canaux d’accès à Mythos Preview, API Claude, Amazon Bedrock, Google Cloud Vertex AI, Microsoft Foundry, sont tous opérés par des entités exposées au Cloud Act américain. Soumettre le code de ses infrastructures critiques à un audit par ce modèle revient à le faire transiter par des environnements sans garantie de confidentialité opposable en droit européen. Anthropic n’a pas annoncé de modalité d’accès qualifiée par l’ANSSI ou conforme aux exigences SecNumCloud. C’est une limite que les directions juridiques et sécurité devront instruire avant tout déploiement.
