Anthropic Restreint l'Accès à Claude Mythos en Raison des Risques Mondiaux de Cybersécurité

Anthropic a effectivement suspendu le lancement public de Claude Mythos, reconnaissant un fait simple : un modèle capable de trouver systématiquement et de chaîner des vulnérabilités critiques peut être utile aux défenseurs, mais entre de mauvaises mains, il devient rapidement un outil d'attaque. La situation s'est aggravée par des rapports d'accès non autorisé à Mythos par un petit groupe d'utilisateurs. Si même un système fermé est difficile à maintenir sous contrôle, la question n'est plus si de telles capacités apparaîtront sur le marché, mais qui se préparera en premier.

Mythos est le nouveau modèle d'Anthropic, présenté le 7 avril 2026. L'entreprise affirme qu'il peut trouver et potentiellement exploiter des vulnérabilités zero-day dans des systèmes d'exploitation et des navigateurs clés. Ce sont des défauts que les développeurs ne connaissent pas encore et qu'ils n'ont par conséquent pas corrigés.

Selon Anthropic elle-même, certains des problèmes découverts sont restés inaperçus pendant dix, vingt et même vingt-sept ans. Dans son rapport technique, l'entreprise écrit que Mythos a pu construire automatiquement des exploits complexes, y compris en combinant plusieurs vulnérabilités dans une seule chaîne. C'est précisément pourquoi le modèle n'a pas été publié en accès libre : le risque est trop élevé que de telles capacités soient utilisées non seulement pour la défense mais aussi pour le piratage.

En même temps, Anthropic n'a pas complètement caché Mythos. Environ 40 entreprises et organisations des secteurs technologique, infrastructurel et financier ont obtenu un accès via le Project Glasswing pour trouver des faiblesses dans les systèmes critiques avant que des outils similaires ne deviennent généralisés. Les principaux acteurs se sont déjà rassemblés autour du projet, et les autorités et les régulateurs ont commencé à discuter non pas d'une menace abstraite mais de scénarios très concrets : que se passera-t-il si un tel outil se retrouve entre les mains d'attaquants.

L'intérêt des banques pour le sujet est compréhensible. Dans le pire des cas, les attaques contre les services critiques pourraient entraîner des pannes de la banque en ligne, des paiements, des guichets automatiques et des chaînes de règlement associées. Même sans scénario catastrophique, le simple fait de l'existence d'un tel outil modifie l'équilibre entre la vitesse de découverte d'une vulnérabilité et la vitesse de sa correction.

Les préoccupations se sont intensifiées après des rapports selon lesquels plusieurs personnes auraient pu obtenir un accès non autorisé à Mythos via l'environnement fermé. Anthropic a déclaré qu'elle enquêtait sur cet incident. Pour l'industrie, c'est un signal alarmant à deux niveaux.

D'abord, même une version limitée ne garantit pas un isolement complet du modèle. Deuxièmement, plus de tels systèmes sont précieux et dangereux, plus l'incitation à contourner les barrières organisationnelles et techniques est forte. Dans ce contexte, la question clé se déplace de « à quel point le modèle est-il puissant en lui-même » à « à quel point l'environnement autour de lui est-il structuré de manière fiable » — du contrôle d'accès et de l'audit des actions aux règles de divulgation des vulnérabilités découvertes.

Cependant, il y a une mise en garde importante autour de Mythos. Les évaluations indépendantes confirment un bond notable dans les capacités cyber du modèle, mais ne fournissent pas matière à une panique injustifiée. Le British AI Security Institute a rapporté que Mythos a été le premier modèle à passer complètement sa simulation d'attaque corporative en 32 étapes, bien que seulement dans 3 cas sur 10.

Sur des tâches de niveau expert comme capture-the-flag, le modèle a montré un taux de réussite de 73%. Mais l'institut lui-même souligne séparément : ces tests ont été menés dans des environnements vulnérables et mal protégés, sans défenseurs actifs et sans un ensemble complet d'outils de surveillance. En d'autres termes, il ne s'agit pas de la capacité avérée de pirater n'importe quel banc ou cloud bien protégé d'une simple pression sur un bouton, mais que le seuil des attaques complexes baisse rapidement.

De plus, certains chercheurs pensent que Mythos n'est pas une rupture magique avec la génération précédente, mais une accélération d'une tendance déjà en cours : d'autres modèles moins chers apprennent également à trouver des bugs individuels dangereux, bien que de manière moins stable et pire dans les longs scénarios multiples. La conclusion principale est simple : Claude Mythos est important non pas comme une sensation singulière, mais comme un signal d'une nouvelle phase de la cybersécurité. Si de tels modèles peuvent réellement trouver des faiblesses plus rapidement que les humains et de mieux en mieux les transformer en chaînes d'attaque fonctionnelles, les entreprises devront accélérer la gestion des correctifs, renforcer le contrôle d'accès, la journalisation et les processus internes de réponse.

Et pour les régulateurs et les entreprises d'IA elles-mêmes, c'est aussi une question de gouvernance : qui a accès à des systèmes de ce niveau, selon quelles règles, et que se passera-t-il lorsque des capacités similaires apparaîtront chez les concurrents ou dans les modèles ouverts.