Un modèle d'IA capable de trouver et d'exploiter des vulnérabilités logicielles de manière autonome, y compris une faille non détectée pendant 27 ans, est exactement le genre de chose qui empêche les professionnels de la cybersécurité de dormir. Il existe désormais, et le Financial Times alerte sur ses implications pour la sécurité mondiale.
La préversion Claude Mythos d'Anthropic, annoncée le 7 avril 2026, a découvert de manière autonome des milliers de vulnérabilités zero-day. Pour les débutants, une vulnérabilité zero-day est une faille logicielle encore inconnue, ce qui signifie qu'aucun correctif n'a encore été appliqué, et donc que quiconque la découvre en premier détient les clés du royaume. Mythos en a trouvées des milliers.
Ce que fait réellement Mythos, et pourquoi c'est un problème
Parmi ses découvertes, une faille dans OpenBSD, le système d'exploitation largement considéré comme l'un des plus sécurisés qui existent, qui était cachée en pleine vue pendant 27 ans. Ce n'est pas une erreur de frappe. Une vulnérabilité plus ancienne que la plupart des utilisateurs de TikTok se trouvait là, jamais détectée par des chercheurs humains, jusqu'à ce qu'un modèle d'IA la signale de manière informelle.
L'Institut britannique pour la sécurité de l'IA a mené des évaluations le 13 avril 2026 et a confirmé que Mythos s'est distingué en exploitant automatiquement des vulnérabilités dans des environnements contrôlés. En anglais : lorsqu'il a été placé dans un défi de piratage simulé, le modèle a performé de manière exceptionnelle sans guidance humaine.
La phrase clé là-bas est « environnements contrôlés ». La façon dont le modèle se comporte face à des systèmes réels et renforcés reste une question ouverte.
Projet Glasswing et le déploiement contrôlé
Anthropic n'a pas publié Mythos au grand public. Au lieu de cela, l'entreprise a lancé Project Glasswing, un programme qui accorde un accès limité à des organisations sélectionnées axées sur le renforcement de la sécurité logicielle.
Les partenaires initiaux incluaient AWS, Microsoft et Google, avec des engagements pouvant atteindre 100 millions de dollars réservés à un usage défensif.
Dès début juin 2026, l'empreinte d'accès s'était considérablement étendue. Plus de 150 organisations dans plus de 15 pays ont désormais un certain niveau d'accès à Mythos. Cette expansion s'est produite parallèlement à des interventions du gouvernement américain qui ont déterminé la manière et les destinataires auxquels le modèle a été rendu disponible.
Des rapports ont également fait état de la participation de l'Agence de sécurité nationale aux capacités offensives du modèle.
Ce que cela signifie pour les marchés et les investisseurs
Le monde financier a remarqué. Les analystes du marché ont signalé la volatilité des actions technologiques, certains experts reliant l'anxiété des investisseurs concernant les capacités de l'IA, comme Mythos, à des impacts potentiels de plusieurs milliers de milliards de dollars à travers plusieurs secteurs.