Anthropic a présenté Mythos : l'IA pour la détection de vulnérabilités change déjà la cybersécurité et la guerre

Mythos pour Anthropic n'est pas simplement une autre version d'un chatbot, mais un signal que l'IA a franchi un seuil où elle peut changer significativement à la fois la cybersécurité et la planification militaire. Le modèle peut non seulement trouver des erreurs dans le code, mais aussi les transformer en exploits fonctionnels avec une participation humaine minimale. C'est précisément pourquoi l'entreprise ne lui a pas donné accès public de masse, et Gregory Allen, conseiller senior du centre Wadhwani AI du CSIS, affirme directement : de tels systèmes renforcent simultanément les défenses et rendent le monde plus dangereux dans la période de transition, tandis que les logiciels vulnérables n'ont pas encore été réécrits et corrigés.

Anthropic a annoncé Claude Mythos Preview le 7 avril 2026. L'entreprise décrit le modèle comme un système d'usage général de niveau avancé avec de fortes capacités d'agent en codage et raisonnement, mais la distinction clé de Mythos est son niveau de capacités cyber. Selon Anthropic, le modèle a déjà trouvé des milliers de vulnérabilités de haute criticité, incluant des problèmes dans chaque système d'exploitation majeur et chaque navigateur web majeur.

Dans les matériels officiels, l'entreprise affirme que Mythos est capable de détecter et d'exploiter de manière autonome les vulnérabilités zero-day. Dans les tests internes et externes, cela ressemble à un saut qualitatif : sur le benchmark CyberGym, le modèle a montré 83,1% versus 66,6% pour le modèle précédent le plus proche d'Anthropic. Parmi les exemples déjà divulgués figurent une erreur de 27 ans dans OpenBSD, une vulnérabilité de 16 ans dans FFmpeg et une chaîne de bugs dans le noyau Linux.

En raison de préoccupations d'usage double, Mythos n'a pas été lancé publiquement. À la place, Anthropic a lancé Project Glasswing—un programme limité par lequel le modèle est fourni aux entreprises et organisations responsables des logiciels et infrastructures critiques. Parmi les partenaires initiaux, l'entreprise énumère AWS, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft, NVIDIA, Palo Alto Networks et Linux Foundation.

De plus, l'accès a été donné à plus de 40 autres organisations qui maintiennent ou construisent des logiciels critiques. Anthropic alloue jusqu'à 100 millions de dollars en crédits d'utilisation Mythos pour ce programme et 4 millions de dollars supplémentaires en dons directs à l'écosystème open source. La logique est directe : si de tels modèles deviennent bientôt plus largement disponibles, les défenseurs ont besoin d'au moins une petite fenêtre de temps pour réussir à fermer les trous les plus dangereux.

Allen estime que cette fenêtre de temps est précisément l'histoire clé. Selon lui, la cybersécurité a vécu pendant de nombreuses années sous une pénurie de spécialistes, et les bons attaquants et chercheurs en vulnérabilités sont trop chers et rares. Si l'IA commence à effectuer une part importante de ce travail elle-même, toute l'économie de l'industrie change.

Dans un scénario idéal, presque tous les nouveaux produits logiciels subiront quelque chose comme un test Mythos avant la publication : le modèle tentera de le casser avant que les acteurs malveillants ne le fassent. Mais entre l'état actuel d'internet et ce scénario se trouve une vaste couche de code hérité, incluant les projets open source qui dépendent de petites équipes et de bénévoles. Allen estime les 12 prochains mois comme une période de restructuration à grande échelle et douloureuse, particulièrement pour les banques, les entreprises énergétiques et les autres propriétaires d'infrastructures critiques.

Il affirme également que le gouvernement fédéral américain est loin de créer un modèle avancé comparable et dépend donc d'entreprises privées ; dans le cas d'Anthropic, selon son évaluation, l'écart par rapport aux concurrents pourrait être de six à 18 mois. Le côté militaire de la conversation ne semble pas moins brutal. Allen dit que les modèles Anthropic sont utiles non seulement dans la défense cyber, mais aussi dans les opérations de renseignement et de combat, et affirme que de telles capacités d'IA sont déjà utilisées par les États-Unis dans la guerre contre l'Iran.

Comme cadre, il se souvient de Project Maven : au départ, c'était une tentative d'automatiser l'analyse primaire des flux vidéo des drones et satellites pour soulager les analystes. Maintenant, selon lui, la combinaison de la vision par ordinateur et des grands modèles de langage permet non seulement de marquer un objet à l'écran, mais de comparer les changements au fil du temps, d'identifier les anomalies, de formuler une première version d'un résumé de renseignement et d'accélérer tout le cycle de prise de décision. Allen fournit un chiffre frappant : alors qu'auparavant le repère pour le système américain était des dizaines de frappes par jour, dans les premières 24 heures de la campagne iranienne, dit-il, il s'agissait d'environ 1.

000 cibles touchées par 24 heures. Et derrière chaque tel chiffre se trouvent non seulement les frappes elles-mêmes, mais des milliers de décisions sur le traitement des renseignements, l'identification et la hiérarchisation des cibles mobiles et déguisées. La conclusion principale ici est que Mythos est important non pas comme un rare modèle fermé en soi, mais comme un signe d'une nouvelle phase.

L'IA commence à remplacer la main-d'œuvre spécialisée rare dans les domaines les plus sensibles—des audits de code à l'analyse de renseignement. Pour le marché, cela signifie une demande accrue de remédiation accélérée des vulnérabilités, de nouveaux standards de développement sécurisé par défaut et de liens plus étroits entre laboratoires d'IA, clouds, banques et État. Pour les États—une dépendance inconfortable envers les développeurs privés qui se déplacent plus vite que la bureaucratie.

Et pour tous les autres—une courte fenêtre quand les mêmes outils peuvent encore être utilisés principalement pour la défense, plutôt que pour l'attaque.