Claude Mythos : un modèle d’IA trop dangereux pour être rendu public
Ce mardi 7 avril 2026, Anthropic a présenté Claude Mythos Preview, un modèle d’intelligence artificielle généraliste qu’elle a décidé de ne pas rendre public. Parallèlement, l’entreprise a lancé Project Glasswing, une initiative de cyberdéfense réunissant une cinquantaine d’organisations partenaires. Selon Anthropic, Claude Mythos Preview a, en quelques semaines de tests internes, identifié des milliers de vulnérabilités critiques dans les principaux systèmes d’exploitation et navigateurs web.
Claude Mythos Preview : un modèle aux capacités cyber hors norme
Claude Mythos Preview n’a pas été spécifiquement conçu pour la cybersécurité. Ses performances dans ce domaine proviennent de progrès en raisonnement, en codage agentique et en autonomie. Sur le benchmark SWE-bench Verified, le modèle affiche un score de 93,9 %, contre 80,8 % pour Claude Opus 4.6, le modèle public le plus avancé d’Anthropic.
Anthropic souligne que les capacités cybernétiques de Claude Mythos Preview résultent de solides compétences en programmation et en raisonnement automatisé. Par exemple, le modèle se distingue par ses résultats sur diverses tâches de programmation logicielle.
En cybersécurité, l’écart est particulièrement marqué. Sur CyberGym, qui évalue la reproduction de vulnérabilités, Mythos Preview obtient 83,1 %, tandis qu’Opus 4.6 atteint 66,6 %. Sur Cybench, un ensemble de 35 défis de type Capture The Flag, le modèle atteint un score parfait de 100 %, entraînant la conclusion qu’Anthropic considère ce test obsolète pour cette génération de modèles.
Une arme potentielle pour les cyberattaquants ?
Fin mars 2026, une fuite de données internes a révélé le projet Mythos, anciennement nommé « Capybara », suscitant des inquiétudes dans le secteur de la cybersécurité. Ce document décrivait un modèle capable de détecter des vulnérabilités, alimentant des craintes qu’il puisse être utilisé par des acteurs malveillants.
Anthropic a précisé que même des utilisateurs non-experts peuvent exploiter Mythos Preview pour identifier des vulnérabilités sophistiquées. Des ingénieurs sans formation en sécurité ont ainsi demandé au modèle de détecter des failles d’exécution de code à distance et ont découvert une faille exploitable le lendemain.
Le modèle a notamment identifié un bug vieux de 27 ans dans OpenBSD, permettant à un attaquant de faire planter à distance n’importe quelle machine. Il a également repéré une faille de 16 ans dans FFmpeg, ainsi que plusieurs vulnérabilités du noyau Linux permettant d’escalader les privilèges jusqu’au contrôle total d’une machine.
Début mars, Anthropic avait annoncé avoir identifié 112 bugs dans Firefox, dont 14 critiques. Cette réduction du temps et des coûts pour découvrir des vulnérabilités est décrite par Sylvestre Ledru, directeur de l’ingénierie chez Mozilla, comme un « tournant dans la sécurité informatique ».
Project Glasswing : un accès restreint aux défenseurs
En parallèle, Anthropic a lancé Project Glasswing, visant à déployer Mythos Preview à des fins défensives. L’accès au modèle sera réservé à un groupe d’organisations sélectionnées, chargées de sécuriser des infrastructures logicielles critiques. Parmi les partenaires figurent AWS, Apple, Microsoft, Google, et d’autres organisations de sécurité.
Anthropic a engagé 100 millions de dollars en crédits d’utilisation et 4 millions de dollars en dons à des organisations de sécurité open source. L’entreprise ne prévoit pas de rendre Mythos Preview accessible au grand public, mais vise à permettre un déploiement de modèles similaires une fois des garde-fous suffisants en place.
Enfin, Anthropic continue de discuter avec le gouvernement américain concernant les capacités offensives et défensives de Claude Mythos Preview.
Source : Anthropic
