Anthropic a Présenté Mythos : Nouveau Modèle d'IA Amplifiant Considérablement la Détection et l'Exploitation de Vulnérabilités

Anthropic semble avoir présenté l'un des premiers outils d'IA qui change non seulement la vitesse, mais la mécanique même de la cybersécurité : les premiers testeurs appellent Mythos un système notablement plus puissant que les modèles précédents de l'entreprise, et l'accès à celui-ci est intentionnellement limité pour l'instant afin de donner aux défenseurs une longueur d'avance avant que des capacités similaires ne parviennent aux menaces. Mythos est le nouveau modèle d'Anthropic pour la programmation et les tâches basées sur les agents, mais c'est précisément en cybersécurité que le bond s'est avéré le plus significatif. L'entreprise a décidé de ne pas le diffuser largement et a lancé le programme fermé Project Glasswing.

Y participent Amazon Web Services, Apple, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia et Palo Alto Networks. La logique est simple : d'abord donner le modèle à ceux qui maintiennent l'infrastructure critique et les grandes bases de code pour qu'ils aient le temps de trouver et de fermer les vulnérabilités. Un détail important est que Mythos ne ressemble pas à un modèle étroit de "hacker".

Anthropic le décrit comme le système à usage général le plus puissant pour le code et les tâches d'agents, et appelle les capacités de cybersécurité un effet secondaire de cette croissance. Plus un modèle comprend les grands projets, réécrit le code et exécute autonomement de longues chaînes d'actions, mieux il trouve et exploite les faiblesses. C'est précisément pourquoi l'entreprise parle non d'une mise à jour locale, mais de franchir un seuil au-delà duquel les mesures de sécurité précédentes ne suffisent plus.

Selon les commentaires des partenaires initiaux, Mythos gère non seulement la découverte de vulnérabilités mieux que les générations précédentes, mais aussi des tâches qui nécessitent généralement des ingénieurs expérimentés en sécurité offensive : reproduire le problème, comprendre le chemin d'attaque et enchaîner plusieurs vulnérabilités dans une chaîne d'exploitation fonctionnelle. Anthropic déclare explicitement que son Opus 4.6 précédent était presque incapable de mener autonomement des erreurs découvertes à une exploitation fonctionnelle.

Dans un benchmark interne basé sur Firefox, l'ancien modèle n'a obtenu qu'une poignée d'exécutions réussies, alors que Mythos a pu à plusieurs reprises développer des attaques vers un état fonctionnel. Une évaluation indépendante du British AI Security Institute ajoute des chiffres à ces évaluations. Sur les tâches de niveau expert, le modèle a montré un taux de réussite de 73%, et dans une simulation d'attaque d'entreprise de 32 étapes, il est devenu le premier système à exécuter avec succès le scénario de la reconnaissance au compromis complet du réseau.

Il a réussi à compléter la chaîne complète en 3 sur 10 tentatives, et en moyenne, il a progressé à travers 22 des 32 étapes. Cela importe non pas parce que l'IA a soudainement "inventé" un nouveau type de brèche, mais parce qu'elle a commencé à automatiser les étapes longues et coûteuses pour les humains. Pour l'instant, Anthropic souligne l'utilisation à des fins défensives.

L'entreprise déclare que Mythos a déjà aidé à identifier des milliers de vulnérabilités zéro-jour dans les logiciels critiques, et a alloué 100 millions de dollars en crédits de calcul au programme d'accès anticipé. Mais l'autre côté de la médaille est évident : ce qui aide aujourd'hui au patching et à l'audit pourrait accélérer les opérations des attaquants demain. Les partenaires du projet avertissent explicitement que la fenêtre entre la découverte d'une vulnérabilité et son exploitation pratique se rétrécit de mois à minutes, surtout si le modèle peut agir comme un agent et ne perd pas le contexte sur de grandes bases de code.

Pour le marché, c'est un signal pointant dans deux directions. Premièrement, la défense contre les cybermenaces cesse d'être un processus qui peut être fermé par des audits peu fréquents et des correctifs programmés : si les modèles du niveau de Mythos deviennent une réalité, la défense aussi doit devenir quasi continue. Deuxièmement, le risque principal se déplace des "super-modèles" eux-mêmes vers la qualité de l'infrastructure autour d'eux.

Les grandes entreprises disposant d'équipes de sécurité solides intègreront probablement plus rapidement de tels outils dans leur défense. Les plus mal loties sont les petites et moyennes organisations ayant accumulé des systèmes hérités, des cycles de mise à jour longs et une pénurie de spécialistes. Pour elles, l'arrivée de Mythos pourrait être non pas une nouvelle abstraite du monde de l'IA, mais un avertissement direct.