Anthropic a dévoilé Claude Mythos Preview — un modèle capable d'identifier et d'orchestrer des chaînes d'exploitation inédites. Plutôt que de l'ouvrir au public, l'entreprise a lancé Project Glasswing, un consortium de défense destiné à tester et corriger ces découvertes en conditions réelles.
Claude Mythos : Un bond prodigieux en "compétences cyber"
Contrairement aux modèles précédents, Mythos ne se contente pas de suggérer du code ; il l'analyse en profondeur et corrèle des informations pour identifier des vulnérabilités critiques que l'humain et les tests automatisés ont pu manquer pendant des années.
Faille OpenBSD (27 ans)
Mythos a identifié une vulnérabilité historique permettant de faire planter à distance une machine, découverte autonome et reproductible.
Exploitation du noyau Linux
Le modèle a enchaîné plusieurs failles pour passer d'un accès utilisateur standard à un contrôle total du système (root).
Des milliers de zero-days
Anthropic affirme que Mythos a identifié des milliers de vulnérabilités inédites dans des navigateurs et OS majeurs.
Ces démonstrations montrent que la fenêtre d'exploitation se réduit : des moyens automatisés peuvent transformer une découverte en exploit opérationnel en quelques minutes.
Project Glasswing — le "bouclier" collaboratif
Face au risque que ces capacités tombent entre de mauvaises mains, Anthropic a choisi de restreindre l'accès à Claude Mythos à un groupe de partenaires stratégiques sous le nom de Project Glasswing. L'idée : tester le modèle en conditions réelles, corriger les failles détectées et partager les remédiations.
- Géants de l'infrastructure : AWS, Google, Microsoft, Apple
- Experts en sécurité : CrowdStrike, Palo Alto Networks
- Matériel & open source : Nvidia, Broadcom, Cisco, Linux Foundation
- Secteur financier : JPMorgan Chase
Anthropic soutient le projet par des crédits d'utilisation (100 millions de dollars) et des dons (4 millions) aux projets de sécurité open-source pour accélérer la remédiation à l'échelle industrielle.
Project Glasswing réunit des acteurs clés pour transformer une menace potentielle en avantage défensif.
Pourquoi c'est une urgence
Le consensus au sein du consortium est clair : la fenêtre entre la découverte d'une faille et son exploitation par des adversaires est passée de plusieurs mois à quelques minutes grâce à l'IA. Comme l'a souligné Elia Zaitsev, CTO de CrowdStrike, « Si vous voulez déployer l'IA, vous avez besoin de sécurité ».
En conséquence, les entreprises doivent repenser leurs cycles de patching, prioriser l'automatisation défensive, et renforcer les échanges de renseignement technique entre équipes et fournisseurs.
Doutes, limites et perspectives critiques
Certains chercheurs notent que des modèles open-weights plus petits parviennent déjà à reproduire une partie des analyses de vulnérabilités, ce qui suggère que la véritable "moat" réside peut-être dans l'expertise humaine et les processus qui entourent ces outils — gouvernance, pipelines de validation, et ingénierie de sécurité.
Ce que cela signifie pour l'avenir
Pour l'instant, Claude Mythos Preview reste une technologie « sous clé », accessible uniquement via des accès sécurisés (Vertex AI, AWS Bedrock, Microsoft Foundry) aux membres du projet. Anthropic espère qu'en testant le modèle avec ses partenaires, un déploiement public sécurisé pourra être envisagé plus tard.
- Accélérer le déploiement des correctifs et l'automatisation défensive.
- Renforcer le partage d'informations et contribuer aux projets de sécurité open-source.
- Mettre en place des contrôles d'accès et cadres de gouvernance pour les outils d'IA.
- Former les équipes aux nouvelles tactiques adverses automatisées.
Conclusion
Claude Mythos et Project Glasswing posent un dilemme stratégique : l'IA accélère à la fois la découverte des risques et la capacité défensive. La réponse la plus pragmatique est une combinaison de technologie, gouvernance et coopération sectorielle pour transformer cette puissance en avantage défensif.
Besoin d'aide pour vous préparer ?
Nous accompagnons les organisations dans l'évaluation des risques IA et l'automatisation de la réponse.