Anthropic Estime Mythos Trop Dangereuse : le Modèle Peut Compromettre les Systèmes Critiques

Anthropic a effectivement mis en pause le scénario standard de lancement d'un nouveau modèle d'IA : après un examen interne, l'entreprise a déterminé que Mythos était trop dangereuse pour un lancement général. Selon les évaluations des propres spécialistes d'Anthropic, le modèle est capable non seulement d'aider avec le code, mais de découvrir indépendamment et d'exploiter des vulnérabilités critiques dans l'infrastructure logicielle dont dépend une portion significative de l'économie numérique moderne. Pour cette raison, Mythos n'a pas été lancée en accès public, mais a été transférée à un régime d'utilisation strictement limité.

Un signal alarmant a émergé dès la phase des tests internes. L'un des chercheurs en sécurité d'Anthropic, Nicholas Carlini, a obtenu un accès anticipé à Mythos et a commencé à tester jusqu'à quel point le modèle pouvait aller dans les scénarios d'attaque. Les résultats se sont avérés si puissants que l'entreprise a rapidement changé de l'évaluation standard de la qualité du modèle aux discussions sur les dommages potentiels en cas de fuite ou d'accès massif.

Dans les matériaux techniques ultérieurs, Anthropic a précisé que Mythos est capable de découvrir puis d'exploiter les vulnérabilités de jour zéro dans tous les principaux systèmes d'exploitation et dans tous les principaux navigateurs web, si l'utilisateur définit une telle tâche. Il ne s'agit pas de petits bugs, mais de couches fondamentales de l'infrastructure informatique. Anthropic affirme que le modèle a déjà trouvé des milliers de vulnérabilités graves, y compris des problèmes dans le noyau Linux, FFmpeg, OpenBSD, FreeBSD et autres composants dont dépendent les serveurs, les clouds, les réseaux d'entreprise et les appareils des utilisateurs.

Certaines des faiblesses découvertes existent depuis des décennies : par exemple, l'entreprise a mentionné séparément une erreur vieille de 27 ans déjà corrigée dans OpenBSD et une ancienne vulnérabilité dans FFmpeg que les outils automatisés n'avaient pas remarquée. Un autre point important : Mythos est capable non seulement d'identifier un problème, mais d'assembler une chaîne d'exploitation fonctionnelle, combinant plusieurs faiblesses dans un scénario d'attaque complet. Les propres spécialistes d'Anthropic soulignent que le modèle n'a pas été spécialement entraîné pour être un « pirate informatique ».

Ces capacités, selon l'entreprise, ont émergé comme un effet secondaire de l'amélioration générale de la qualité de la programmation, du raisonnement et du travail autonome. C'est précisément ce qui semble le plus préoccupant pour le marché : les capacités cybernétiques dangereuses émergent non pas dans un système étroitement spécialisé militaire, mais dans un modèle universel de pointe. De plus, Anthropic a décrit des cas où des employés sans expérience formelle en sécurité offensive ont lancé Mythos la nuit et le matin avaient un exploit fonctionnel prêt.

Cela réduit considérablement la barrière à l'entrée : ce qui auparavant nécessitait une expertise rare devient maintenant de plus en plus une question de prompt correct et de ressources informatiques. Au lieu d'un lancement public, l'entreprise a ouvert Project Glasswing—un programme fermé par lequel l'accès à Mythos a été accordé aux principaux acteurs de la technologie et de la cybersécurité, ainsi qu'à plus de 40 organisations soutenant les logiciels critiques. Parmi les partenaires nommés figuraient Amazon, Apple, Google, Microsoft, Cisco, CrowdStrike, Palo Alto Networks, Linux Foundation et JPMorgan Chase.

Anthropic s'est engagée à allouer jusqu'à 100 millions de dollars en crédits informatiques pour ce travail et 4 millions de dollars supplémentaires en soutien direct aux organisations de sécurité des logiciels libres. La logique est simple : d'abord donner aux défenseurs le temps de fermer autant de trous que possible dans la base numérique générale, et ensuite seulement penser à une distribution plus large de tels modèles. Cette histoire s'est rapidement étendue au-delà d'une seule entreprise.

Le 7 avril 2026, le Secrétaire du Trésor américain, Scott Bessent, et le président de la Réserve fédérale, Jerome Powell, ont convoqué une réunion fermée avec les dirigeants des plus grandes banques pour discuter des risques associés à Mythos et aux modèles de cette classe. La Banque centrale européenne a commencé à collecter des informations sur la préparation des banques face à ce nouveau type de menace, et la Banque d'Angleterre a publiquement appelé à une clarification plus rapide sur les implications de tels systèmes pour la stabilité financière. La raison est claire : les banques, les agences gouvernementales et les opérateurs d'infrastructures critiques continuent de dépendre de piles complexes, souvent obsolètes, où une chaîne de vulnérabilités réussie pourrait affecter plusieurs services simultanément.

La conclusion clé ici n'est pas qu'Anthropic a créé un modèle « trop intelligent », mais que l'industrie semble être entrée dans une nouvelle phase de risque cybernétique. Mythos est devenue un rare exemple de moment où un développeur s'est auto-limité un lancement en raison des capacités offensives de son propre produit. Mais encore plus important : même si ce modèle particulier reste sous contrôle, sa classe de capacités cessera probablement bientôt d'être unique.

Cela signifie que le débat n'est plus sur la question de lancer Mythos en accès public, mais sur la question de savoir si les entreprises, les banques et les gouvernements parviendront à reconstruire leurs défenses avant que tels outils ne tombent entre de mauvaises mains.