Claude Mythos : Anthropic lâche son IA « trop dangereuse » sur les failles de Microsoft et Apple
L'ironie est un plat qui se mange froid, et chez Anthropic, on semble le servir avec une dose généreuse de cynisme technologique. Il y a deux semaines, une fuite révélait l'existence de Claude Mythos, un modèle d'intelligence artificielle gardé secret, simplement parce que des données non publiées traînaient dans une base de données accessible à tous. Aujourd'hui, la start-up change de fusil d'épaule et annonce le lancement du Projet Glasswing (Project Glasswing). L'idée ? Permettre aux plus grandes entreprises de la planète d'utiliser ce même modèle pour débusquer les vulnérabilités de leurs propres systèmes.
Un casting de géants pour un test grandeur nature
Pour cette phase de test limitée, Anthropic n'a pas fait dans la dentelle. Une quarantaine d'organisations ont reçu un accès en avant-première à Mythos. Parmi les partenaires de lancement, on retrouve les suspects habituels : Amazon Web Services (AWS), Apple, Google, Microsoft, NVIDIA et même JPMorganChase. Selon les dires de l'entreprise, ce modèle serait capable de surpasser « presque tous les humains, même les plus qualifiés » lorsqu'il s'agit d'identifier des failles logicielles critiques.
Les premiers retours, s'ils ne sont pas gonflés par le département marketing, sont pour le moins inquiétants. Anthropic affirme avoir déjà identifié des milliers de vulnérabilités de haute gravité. Ces failles toucheraient tous les systèmes d'exploitation majeurs et les navigateurs web les plus utilisés. Dans ce contexte, la firme estime que son modèle pourrait redéfinir la cybersécurité, une promesse que l'on entend à chaque nouvelle itération d'un grand modèle de langage.
Des failles historiques déterrées par la machine
Pour prouver la supériorité de Mythos, Anthropic met en avant des faits d'armes assez spectaculaires. Le modèle aurait ainsi découvert un bug dans le système d'exploitation open-source OpenBSD qui était présent depuis 27 ans sans que personne ne le remarque. Plus impressionnant encore, il aurait repéré une chaîne de vulnérabilités dans le noyau Linux permettant de prendre le contrôle total d'une machine.
Sur le papier, les tests de référence confirment cette montée en puissance. Mythos Preview bat systématiquement Claude Opus 4.6, notamment sur le test CyberGym, qui évalue la capacité des agents IA à détecter et reproduire des vulnérabilités logicielles réelles. Pourtant, on ne peut s'empêcher de noter une certaine contradiction : comment un modèle censé être l'œil absolu de la sécurité a-t-il pu être découvert à cause d'une bête erreur de configuration de base de données chez son propre créateur ?
Le marketing de la peur et le recyclage des promesses
La stratégie d'Anthropic rappelle étrangement celle d'OpenAI en 2019. À l'époque, la société d'Elon Musk affirmait qu'un outil de génération de texte était « trop dangereux » pour être rendu public, avant de le sortir quelques mois plus tard. Anthropic joue la même partition : Mythos ne sera pas accessible au grand public car il présenterait des risques sans précédent s'il tombait entre de mauvaises mains. Mais le déployer sur les infrastructures critiques mondiales semble être un saut de foi que la firme est prête à faire.
Il est difficile de ne pas voir dans ce discours une énième phase du cycle de la « hype ». On nous présente ces outils comme des entités capables de changer le monde (ou de le détruire), alors qu'ils peinent parfois encore à répondre à des questions logiques élémentaires. En fin de compte, ces modèles joueront certainement un rôle majeur dans la cybersécurité future, à la fois comme bouclier et comme épée. Et avec des modèles comme Claude qui continuent de produire des résultats parfois truffés d'erreurs, Mythos a l'assurance de ne jamais manquer de travail. C'est aussi ça, la sécurité de l'emploi version IA.
En parlant de sécurité, Apple continue de renforcer ses propres remparts contre les menaces externes. Alors qu'Anthropic scrute les noyaux système, la firme de Cupertino a récemment pris des mesures pour que le kit de piratage DarkSword ne puisse plus exploiter de failles dans iOS 18.
