Le 7 avril 2026, Anthropic a levé le voile sur Claude Mythos, un modèle d’IA taillé pour la cybersécurité et volontairement gardé hors du public. Derrière l’annonce se cache une question qui dépasse largement le cercle des spécialistes : si une machine peut désormais trouver en quelques minutes des failles qui ont échappé à vingt-sept ans d’audits humains, qui doit avoir accès à cette capacité ?

Des bugs vieux de plusieurs décennies exhumés en quelques minutes

Dans la documentation publiée par Anthropic, les chiffres donnent le vertige. Mythos aurait découvert, de manière autonome, des vulnérabilités zero-day dans l’ensemble des systèmes d’exploitation majeurs et des navigateurs web modernes. Le plus vieux bug débusqué par le modèle dormait depuis vingt-sept ans dans OpenBSD — un système pourtant réputé pour sa solidité. Une faille de seize ans a également été trouvée dans FFmpeg, la bibliothèque multimédia qui fait tourner une grande partie d’internet.

Plus marquant encore : la vulnérabilité CVE-2026-4747 dans FreeBSD NFS permet, selon Anthropic, une prise de contrôle complète d’un serveur depuis n’importe quel utilisateur non authentifié sur le réseau. Le modèle ne s’est pas contenté de repérer les problèmes, il les a enchaînés, jusqu’à quatre failles combinées dans certains cas, pour construire des exploits fonctionnels sans intervention humaine.

La comparaison avec les générations précédentes est brutale. Sur un lot de vulnérabilités Firefox, Opus 4.6 arrivait à construire un exploit deux fois sur plusieurs centaines d’essais. Mythos y parvient 181 fois, et prend partiellement la main sur le processus 29 fois de plus.

Un modèle verrouillé, un club de partenaires triés sur le volet

Conscient du caractère sensible de l’outil, Anthropic a fait un choix qui tranche avec la logique de diffusion habituelle de l’industrie : Mythos ne sera pas disponible publiquement. L’accès est restreint à un cercle baptisé Project Glasswing, qui réunit quelques acteurs critiques de l’infrastructure numérique. Selon les informations rapportées par plusieurs médias spécialisés, on y trouve notamment Amazon Web Services, Apple, Cisco, Google, Microsoft, NVIDIA, la Linux Foundation, ainsi que JPMorgan Chase.

La liste a de quoi faire réfléchir. On y voit cohabiter les géants du cloud, deux constructeurs grand public, une banque américaine et une fondation de logiciel libre. La présence de la Linux Foundation est à noter : elle est probablement ce qui empêche de parler d’un club strictement réservé au privé et aux Big Tech. Mais la question demeure : pourquoi ces acteurs-là et pas d’autres ? Des chercheurs indépendants en sécurité, des CERT nationaux européens, des universitaires ? Les critères de sélection n’ont pas été rendus publics.

Trouver des failles, oui. Les corriger, c’est autre chose

C’est peut-être l’angle mort le plus intéressant de cette annonce. Une IA capable d’identifier massivement des vulnérabilités ne règle aucun problème si la chaîne de correction n’a pas suivi. Or, patcher un bug, le tester, le déployer sur des millions de machines prend des semaines, parfois des mois. Dans l’intervalle, la connaissance d’une faille vaut de l’or — pour celui qui défend, comme pour celui qui attaque.

Anthropic affirme que plus de 99 % des vulnérabilités détectées par Mythos restent pour le moment non divulguées, le temps de laisser les éditeurs concernés travailler. On veut bien le croire. Mais cette promesse dessine aussi un monde où l’équilibre ancien de la cybersécurité — des chercheurs indépendants qui trouvent, des éditeurs qui corrigent, une divulgation coordonnée — se retrouve court-circuité par un acteur privé qui concentre seul la capacité de détection à grande échelle.

Ce que cela dit d’une époque

Depuis Strasbourg, on observe un mouvement qui se répète : une technologie de rupture apparaît, un petit groupe d’acteurs décide qui peut l’utiliser, et la société civile découvre la réalité après coup. Mythos est sans doute une avancée de sécurité réelle pour ses partenaires. C’est aussi, de fait, un transfert de pouvoir. Celui de savoir avant les autres où sont les failles des logiciels sur lesquels reposent nos banques, nos hôpitaux, nos administrations.

Le choix de ne pas rendre le modèle public est défendable — personne ne souhaite voir un tel outil circuler en libre accès. Reste la question démocratique : à qui rend-on des comptes quand on arbitre, à la place du public, quelles organisations méritent d’avoir un temps d’avance sur les attaquants ? L’open source, dont les mainteneurs bénévoles tiennent à bout de bras une part immense de l’infrastructure numérique mondiale, aurait mérité une place plus visible dans ce dispositif que la seule Linux Foundation.

Mythos annonce peut-être la fin d’une époque où la cybersécurité reposait principalement sur la vigilance d’une communauté ouverte. Ce qui la remplace — un cercle fermé piloté par une entreprise privée californienne — mérite mieux qu’un communiqué de presse.

Sources