7 min. de lecture

Anthropic a créé le modèle d’IA Claude Mythos, capable de détecter des failles dans les infrastructures critiques – des bugs présents depuis 27 ans dans le code et ignorés par des millions de tests automatisés. Ce modèle n’a pas été formé comme un outil de sécurité. Il s’agit d’un modèle de codage dont les capacités sont apparues comme un effet secondaire. Plutôt que de le publier, Anthropic donne un avantage aux défenseurs. Ce que cela signifie pour le secteur du cloud.

TL;DR

• Claude Mythos atteint 93,9 % sur le benchmark SWE-bench Verified – contre 80,8 % pour Opus 4.6 (Anthropic, avril 2026).
• Sur le benchmark CyberGym pour la détection de vulnérabilités, Mythos obtient 83,1 %. Les capacités de sécurité sont un sous-produit d’une compétence en codage supérieure.
• Le modèle a découvert un bug de 27 ans dans OpenBSD et un bug de 16 ans dans FFmpeg, que 5 millions de tests automatisés avaient manqués.
• Le projet Glasswing donne accès contrôlé à plus de 40 organisations (AWS, Google, Microsoft, Apple, NVIDIA, CrowdStrike) – une approche Defender-First.
• 100 millions de dollars américains en crédits d’utilisation et 4 millions de dollars américains pour la sécurité open source ont été promis. Toutes les découvertes seront publiées dans un délai de 90 jours.

Un modèle de codage devient le scanner de sécurité le plus puissant

Claude Mythos n’a pas été formé comme un hacker. Anthropic a optimisé le modèle pour qu’il comprenne et écrive du code mieux que tout autre système disponible. Sur SWE-bench Verified – le benchmark industriel pour les capacités de correction de bugs – Mythos atteint 93,9 pour cent. Opus 4.6, le modèle public le plus puissant jusqu’à présent, obtient 80,8 pour cent.

Le bond de 80 à 94 pour cent semble être une simple optimisation. En pratique, il s’agit d’un changement de catégorie. À ces niveaux, le modèle résout presque toutes les tâches logicielles réelles qui lui sont confiées.

La véritable nouvelle réside dans l’effet secondaire : celui qui comprend le code à ce niveau sait aussi où le code peut échouer. Sur le benchmark CyberGym pour la détection de vulnérabilités, Mythos atteint 83,1 pour cent, contre 66,6 pour cent pour Opus. Anthropic compare cela à un serrurier si compétent qu’il peut ouvrir n’importe quelle serrure sans avoir jamais été cambrioleur.

Ce que Mythos a trouvé en pratique

Trois découvertes montrent l’ampleur du problème.

Dans OpenBSD, Mythos a découvert une faille dans l’implémentation SACK (Selective Acknowledgment – un mécanisme pour gérer les pertes de paquets) du TCP-Stack. Elle a 27 ans. Cette faille permet un déni de service à distance contre tout serveur OpenBSD. OpenBSD est considéré comme l’un des systèmes d’exploitation les plus sûrs. Son code est régulièrement audité par des chercheurs en sécurité expérimentés. Malgré cela, le bug est resté non détecté.

Dans FFmpeg – la bibliothèque multimédia qui fournit le traitement vidéo et audio pour pratiquement toutes les plateformes – Mythos a trouvé un bug dans le codec H.264. Il a 16 ans. Cinq millions de tests automatisés ont parcouru le point affecté sans déclencher la faille. FFmpeg traite la majeure partie du trafic vidéo sur Internet. FFmpeg a confirmé le bug après la notification et l’a corrigé.

En outre, Mythos a identifié plusieurs failles d’élévation de privilèges dans le noyau Linux, dont une dans le DRR-Scheduler (Deficit Round Robin – un algorithme pour la distribution de la bande passante réseau). Un utilisateur sans autorisation pouvait obtenir des droits root complets via ce chemin.

Le changement de marché : la compétence en codage devient compétence en sécurité

C’est à ce moment que ce communiqué cesse d’être une simple déclaration d’Anthropic et commence à affecter l’industrie du cloud.

Si la compétence en codage génère automatiquement une compétence en sécurité, alors chaque nouvelle génération de modèles de codage – qu’ils proviennent d’Anthropic, d’OpenAI, de Google ou de sources open source – développera des capacités similaires. Ce n’est pas une fonctionnalité qui s’active. Il s’agit d’une propriété émergente qui croît avec la qualité du code.

Pour l’infrastructure cloud, cela signifie trois choses.

Tout d’abord, les grands fournisseurs renforceront leurs scans de sécurité avec cette technologie. AWS, Azure et GCP sont des partenaires de Glasswing. Des correctifs pour des bogues d’infrastructure jusqu’alors inconnus arriveront dans les prochains mois. Les équipes cloud en bénéficieront automatiquement.

Ensuite, la barre est relevée pour le code interne. Si un modèle d’intelligence artificielle trouve des bogues de 27 ans que les audits manuels ont manqués, alors « nous avons effectué un test de pénétration » ne suffit plus comme preuve de sécurité. Les pipelines CI/CD devront intégrer des scans de sécurité assistés par l’IA comme porte standard.

Enfin, une nouvelle catégorie d’outils de sécurité émergera. Le marché de la détection de vulnérabilités assistée par l’IA se transformera radicalement dans les 12 à 24 prochains mois. Non pas parce que Mythos est un outil de sécurité spécialisé, mais parce qu’il montre que tout bon modèle de codage devient automatiquement un bon modèle de sécurité.

« Mythos est très puissant et devrait inspirer la crainte. Je suis fier de notre approche en matière de déploiement responsable. »
– Boris Cherny, chef de l’équipe Claude Code chez Anthropic (avril 2026)

Project Glasswing : Distribution contrôlée aux défenseurs

Anthropic a décidé de ne pas publier Mythos au grand public. À la place, le projet évolue sous le nom de Project Glasswing dans un environnement contrôlé. La liste des partenaires inclut AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Palo Alto Networks, Broadcom, la Linux Foundation et plus de 30 autres organisations.

La logique est la suivante : si un modèle détecte des vulnérabilités dans l’infrastructure sur laquelle repose Internet, les opérateurs de cette infrastructure doivent en être informés en premier. Trois engagements concrets ont été pris : toutes les découvertes seront partagées publiquement dans un délai de 90 jours. 100 millions de dollars américains en crédits d’utilisation sont mis à disposition des partenaires. 4 millions de dollars américains seront directement versés aux groupes de sécurité open source.

Les correctifs sont déjà en cours de déploiement. FFmpeg a confirmé et corrigé un bug vieux de 16 ans. Les correctifs pour les noyaux OpenBSD et Linux sont en cours de distribution.

Ce que les équipes Cloud devraient faire maintenant

À court terme, il y a peu à faire. Ceux qui ont activé les mises à jour automatiques sont en grande partie protégés. Les correctifs Glasswing passent par les canaux de mise à jour normaux des fournisseurs de cloud et des distributions de systèmes d’exploitation.

À moyen terme, les équipes d’ingénierie devraient évaluer l’analyse de code assistée par l’intelligence artificielle dans leur pile d’outils. Non pas parce que Mythos sera disponible demain, mais parce que la prochaine génération d’assistants de codage apportera des capacités similaires. Ceux qui préparent aujourd’hui leur pipeline CI/CD pour des scans de sécurité assistés par l’IA auront une longueur d’avance.

À long terme, l’équilibre des forces se déplace. Les défenseurs obtiennent des outils qui étaient jusqu’à présent réservés aux attaquants d’élite. Mais la même technologie sera également accessible aux attaquants dès que des modèles open-source comparables apparaîtront. La sécurité reste une course aux armements. La différence : cette fois-ci, les défenseurs ont une avance.

Questions fréquentes

Qu’est-ce que Claude Mythos et en quoi diffère-t-il de Claude Opus ?

Claude Mythos est la prochaine génération de modèles d’Anthropic, qui atteint 93,9 % sur SWE-bench Verified – contre 80,8 % pour Opus. Les capacités de sécurité ne sont pas un élément entraîné, mais un effet secondaire d’une compétence en code supérieure.

Pourquoi Anthropic ne publie-t-il pas le modèle ?

Un modèle capable de détecter des vulnérabilités dans les infrastructures critiques et de les combiner en chaînes d’exploitation deviendrait une arme entre de mauvaises mains. Grâce à Project Glasswing, les défenseurs obtiennent un accès prioritaire afin que les bugs soient corrigés avant d’être rendus publics.

Les petites entreprises bénéficient-elles également de Project Glasswing ?

Indirectement, oui. Les correctifs sont déployés via les mises à jour régulières des grandes plateformes. Toute entreprise utilisant AWS, Azure ou GCP en bénéficie automatiquement. L’accès direct est actuellement réservé aux plus de 40 organisations partenaires.

D’autres laboratoires d’intelligence artificielle développeront-ils des modèles similaires ?

Les résultats de Mythos montrent que les capacités de sécurité sont un sous-produit d’une compétence en code supérieure. Chaque nouveau modèle de codage de pointe développera des capacités similaires. Il reste à voir si OpenAI, Google et Meta adopteront la même approche contrôlée.

Que doivent faire concrètement les équipes DevOps maintenant ?

Maintenir tous les systèmes à jour – les correctifs Glasswing sont déployés via les mises à jour régulières. Évaluer les scans de sécurité assistés par l’intelligence artificielle dans la pipeline CI/CD. Adapter la propre norme de sécurité : si l’IA trouve des bugs de 27 ans, un pentest annuel ne suffit plus.

Source de l’image : générée par IA (mai 2026), certificat C2PA intégré à l’image