La Banque d'Angleterre convoque les banques britanniques pour une séance d'information sur les risques cybernétiques du modèle Mythos d'Anthropic

Le 16 avril, la Banque d'Angleterre a élevé Claude Mythos Preview au niveau de risque systémique pour tout le secteur financier. Les régulateurs préparent un briefing séparé pour les plus grandes banques, assurances et bourses suite à des déclarations selon lesquelles le nouveau modèle d'Anthropic est capable de trouver et d'exploiter de manière autonome les vulnérabilités dans les logiciels critiques — des systèmes d'exploitation aux navigateurs. Il s'agit de réunions dans le cadre du Cross Market Operational Resilience Group (CMORG) — une plateforme qui coordonne la résilience de l'infrastructure financière britannique.

Ses participants incluent des dirigeants de huit des plus grandes banques du pays, des représentants de quatre opérateurs d'infrastructure, deux groupes d'assurance, ainsi que des autorités du Trésor, de la Banque d'Angleterre, de la FCA et du Centre national de cybersécurité. Le simple fait que la question soit portée à ce niveau montre que le problème est traité non pas comme une autre actualité informatique, mais comme une question de stabilité des paiements, des plateformes de négociation et des services critiques. Le catalyseur est Claude Mythos Preview — un modèle d'Anthropic pas encore lancé publiquement, dont l'accès est accordé par l'entreprise seulement à un cercle limité de partenaires.

Selon Anthropic, le modèle a déjà aidé à identifier des milliers de vulnérabilités de haute sévérité précédemment inconnues, y compris des bogues dans chaque système d'exploitation majeur et chaque navigateur majeur. L'entreprise affirme également que le modèle non seulement trouve les points faibles, mais peut aussi construire des chaînes d'exploitation avec une implication humaine minimale. Un exemple est la découverte d'une méthode par laquelle un site web malveillant pourrait accéder aux données d'un autre site, y compris les données bancaires.

Les régulateurs sont particulièrement préoccupés du fait qu'il ne s'agit pas d'une démonstration en laboratoire. Anthropic a directement expliqué qu'elle ne lance pas Mythos Preview en accès large précisément en raison de ses capacités cyber. Parmi les exemples divulgués se trouve une vulnérabilité vieille de 27 ans dans OpenBSD, ainsi que d'autres bogues que les experts et les tests automatisés n'ont pas détectés pendant des années.

Pour les banques, c'est particulièrement sensible : une grande partie de l'industrie s'appuie toujours sur une pile héritée complexe et hétérogène, où même une seule nouvelle technique de recherche d'exploits pourrait réduire considérablement le délai entre la découverte d'une vulnérabilité et une attaque réelle. La gravité de la situation est soulignée par la réaction internationale. Avant ces réunions britanniques, des discussions d'urgence avaient déjà eu lieu aux États-Unis et au Canada.

À Washington, la question a été soulevée par le Trésor américain et le Système de réserve fédérale avec les dirigeants des plus grandes banques d'importance systémique. Pour les régulateurs, c'est un signal que les modèles frontier commencent à affecter non seulement la productivité des développeurs, mais aussi le profil des risques systémiques : si de tels outils tombent entre les mains d'acteurs malveillants ou dépassent simplement la préparation des équipes défensives, ce sont précisément les nœuds les plus critiques — paiements, compensation, infrastructure de négociation et services web bancaires — qui deviendraient plus vulnérables. En parallèle, Anthropic a lancé Project Glasswing — un programme d'accès contrôlé précoce pour les équipes défensives.

Les partenaires nommés incluent AWS, Apple, Google, Microsoft, Nvidia, Cisco et JPMorgan Chase. L'entreprise promet jusqu'à 100 millions de dollars en crédits pour l'utilisation de Mythos et 4 millions de dollars supplémentaires en donations aux organisations œuvrant pour la sécurité de l'open source. La logique est simple : donner aux défenseurs une longueur d'avance pour qu'ils puissent trouver et corriger les vulnérabilités avant que des capacités similaires ne deviennent généralisées chez les concurrents ou ne fuient vers l'écosystème attaquant.

Le principal enseignement pour le secteur financier est que le risque d'IA a cessé d'être un sujet abstrait sur l'avenir. Si les déclarations d'Anthropic se confirment, même partiellement, dans la pratique réelle, les banques devront accélérer l'inventaire des vulnérabilités, revoir les processus de correction et apprendre à utiliser des modèles similaires pour la défense. Sinon, pour la première fois, l'avantage en vitesse et en échelle pourrait passer non pas aux équipes de sécurité, mais à ceux qui automatisent les attaques.