Anthropic a présenté Claude Mythos : l'IA pour la découverte de zero-day change l'équilibre des pouvoirs sur internet

Anthropic a présenté Claude Mythos comme un modèle capable de trouver de manière autonome des vulnérabilités inconnues et de les transformer instantanément en scénarios d'attaque fonctionnels. C'est pourquoi l'entreprise a choisi de ne pas lancer le système en accès public : selon sa propre description, une telle IA ne peut pas seulement pointer une faille, mais l'exploiter méthodiquement, obtenir des privilèges élevés et utiliser une chaîne d'erreurs pour compromettre des logiciels critiques. Nous parlons des vulnérabilités dites zero-day — des défauts que les développeurs ne connaissent pas encore et pour lesquels aucune correction prête n'existe.

Si un outil peut trouver de telles brèches plus rapidement que les humains, le coût de l'échec augmente considérablement. Dans un modèle de défense typique, les entreprises ont du temps entre la découverte d'un problème et son exploitation massive. Avec une telle IA, cette fenêtre pourrait pratiquement disparaître : la découverte, l'écriture de code, la recherche de moyens de contourner la protection et l'escalade des privilèges se produisent dans un seul cycle sans long travail manuel.

Anthropic affirme que Mythos pourrait théoriquement lier plusieurs vulnérabilités ensemble pour atteindre le niveau des principaux systèmes d'exploitation et navigateurs populaires. Cela fait de l'histoire non pas un problème local d'un seul fournisseur, mais une question de résilience de l'ensemble de l'infrastructure numérique. Si cette approche fonctionne réellement, l'équilibre entre les attaquants et les défenseurs change : le piratage ne nécessite plus une équipe de spécialistes rares, mais peut compter sur une machine qui augmente l'expertise, la vitesse et la persistance.

Dans ce contexte, l'entreprise a lancé Project Glasswing — un programme d'accès limité pour les organisations qui doivent utiliser les capacités du modèle à des fins défensives. Déjà 40 partenaires ont été nommés, et tous sont américains. C'est un détail important : les outils capables de renforcer simultanément la sécurité et de créer un risque systémique se concentrent au centre de l'écosystème numérique américain.

Formellement, il s'agit de protection préventive, quand les vulnérabilités doivent être fermées avant que les acteurs malveillants ne les exploitent. Mais en pratique, cela signifie que plusieurs entités privées obtiennent un accès exclusif à une technologie dont l'impact s'étend bien au-delà de leurs propres réseaux. Le seul partenaire externe en dehors des États-Unis est le Royaume-Uni, où l'Institut de sécurité de l'IA a obtenu l'accès au système pour tester des modèles avancés.

Après s'être familiarisés avec ses capacités, les ministres britanniques ont averti les entreprises : l'IA rendra les cyberattaques considérablement plus faciles, plus rapides et moins coûteuses dans un avenir proche, et la plupart des entreprises n'y sont pas préparées. L'étape suivante, selon les informations disponibles, pourrait être des tests dans les banques européennes. C'est un choix logique : le secteur financier comprend mieux que d'autres le coût des vulnérabilités, mais il est particulièrement sensible aux conséquences des erreurs dans l'évaluation des risques.

La question principale ici n'est pas seulement technique, mais politique. Quand un système peut trouver des faiblesses universelles dans les logiciels largement utilisés, il devient un instrument de pouvoir infrastructurel. Alors ce qui importe n'est pas seulement sa capacité fonctionnelle, mais qui décide qui a accès, quels bugs fermer en premier, où est la ligne entre la recherche et les opérations cybernétiques offensives, et comment vérifier les propres affirmations de l'entreprise concernant le contrôle des risques.

Internet ouvert a été historiquement construit sur la décentralisation et des règles partagées, non sur le fait que quelques acteurs voient toutes les fissures avant tout le monde. Qu'est-ce que cela signifie. L'émergence de Claude Mythos montre que la prochaine phase de l'IA en cybersécurité sera déterminée non seulement par la qualité du modèle, mais par les régimes d'accès.

La technologie qui augmente à la fois la défense et l'attaque nécessite non seulement des correctifs, mais de nouvelles règles de responsabilité. Sinon, le contrôle de la sécurité numérique commencera à se déplacer des institutions publiques et de l'écosystème plus large vers un cercle restreint d'entreprises privées.