Claude Mythos : un modèle d’IA trop dangereux pour être rendu public

Ce mardi 7 avril 2026, Anthropic a dévoilé Claude Mythos Preview, un modèle frontier généraliste qu’elle refuse de rendre public, et lancé Project Glasswing, une initiative de cyberdéfense réunissant une cinquantaine d’organisations partenaires. En quelques semaines de tests internes, le modèle a identifié des milliers de vulnérabilités critiques dans chaque grand système d’exploitation et navigateur web, selon Anthropic.

Claude Mythos Preview : un modèle aux capacités cyber hors norme

Claude Mythos Preview n’a pas été spécifiquement entraîné pour la cybersécurité. Ses performances dans ce domaine découlent, selon Anthropic, de progrès généraux en raisonnement, en codage agentique et en autonomie. Sur SWE-bench Verified, un benchmark de référence en ingénierie logicielle, le modèle obtient 93,9 % contre 80,8 % pour Claude Opus 4.6, le modèle public le plus avancé d’Anthropic.

Anthropic souligne :

Les puissantes capacités cybernétiques de Claude Mythos Preview résultent de ses solides compétences en programmation et en raisonnement automatisés. Par exemple, le modèle obtient les meilleurs scores parmi tous les modèles développés à ce jour sur diverses tâches de programmation logicielle.

C’est en cybersécurité que l’écart est le plus marqué. Sur CyberGym, qui évalue la reproduction de vulnérabilités, Mythos Preview atteint 83,1 % contre 66,6 % pour Opus 4.6. Sur Cybench, un ensemble de 35 challenges de type Capture The Flag, le modèle obtient un score de 100 %, au point qu’Anthropic considère le test comme désormais obsolète pour cette génération de modèles.

Une arme potentielle pour les cyberattaquants ?

Fin mars 2026, une fuite de données interne avait révélé l’existence du projet Mythos, alors encore baptisé « Capybara », semant l’inquiétude dans le monde de la cybersécurité. Le document décrivait un modèle capable de prouesses en détection de vulnérabilités et avait alors suscité la crainte qu’il puisse devenir une arme au profit d’acteurs malveillants.

Anthropic explique :

Même les non-experts peuvent utiliser Mythos Preview pour identifier et exploiter des vulnérabilités sophistiquées. Chez Anthropic, des ingénieurs sans formation formelle en sécurité ont demandé à Mythos Preview de détecter des failles d’exécution de code à distance pendant la nuit et ont découvert le lendemain matin une faille exploitable.

Le modèle a notamment identifié, de façon entièrement autonome et sans guidage humain, un bug vieux de 27 ans dans OpenBSD, système d’exploitation réputé pour sa robustesse, qui permettait à un attaquant de faire planter à distance n’importe quelle machine l’exécutant. Il a également repéré une faille de 16 ans dans FFmpeg, bibliothèque multimédia utilisée par d’innombrables logiciels, dans une ligne de code traversée cinq millions de fois par des outils automatisés sans que le problème ne soit détecté. Le modèle a par ailleurs enchaîné plusieurs vulnérabilités du noyau Linux pour escalader des privilèges jusqu’au contrôle total d’une machine.

Début mars, Anthropic avait annoncé avoir identifié 112 bugs dans Firefox grâce à ses outils, dont 14 critiques. Selon Sylvestre Ledru, directeur de l’ingénierie chez Mozilla, la réduction du temps, du niveau technique et du coût nécessaires à la découverte de vulnérabilités constitue « un tournant dans la sécurité informatique comme on n’en a jamais vu ».

Compte tenu du rythme des progrès de l’IA, ces capacités se généraliseront rapidement, potentiellement au-delà des acteurs qui s’engagent à les déployer de manière sécurisée. Les conséquences pour l’économie, la sécurité publique et la sécurité nationale pourraient être graves, concède la firme.

Project Glasswing : un accès restreint aux défenseurs

En parallèle, Anthropic a dévoilé Project Glasswing, une initiative visant à déployer Mythos Preview à des fins exclusivement défensives. Le principe : réserver l’accès au modèle à un groupe sélectionné d’organisations chargées de sécuriser les infrastructures logicielles les plus critiques, avant que des modèles aux capacités comparables ne se répandent plus largement. Parmi les partenaires de lancement figurent AWS, Apple, Microsoft, Google, CrowdStrike, NVIDIA ou encore la Linux Foundation, auxquels s’ajoutent une quarantaine d’organisations qui construisent ou maintiennent des infrastructures logicielles critiques. Anthropic s’engage à hauteur de 100 millions de dollars en crédits d’utilisation, ainsi que 4 millions de dollars de dons directs à des organisations de sécurité open source.

Nous devons progresser dans le développement de mesures de cybersécurité (et autres) capables de détecter et de bloquer les sorties les plus dangereuses du modèle. Nous prévoyons de lancer de nouvelles mesures de protection avec un prochain modèle Claude Opus, ce qui nous permettra de les améliorer et de les affiner avec un modèle présentant un niveau de risque moindre que Mythos Preview.

Anthropic indique ne pas envisager de rendre Mythos Preview accessible au grand public. L’entreprise précise toutefois que son objectif à terme est de permettre un déploiement de modèles aux capacités comparables, une fois des garde-fous suffisants développés.

Enfin, Anthropic indique poursuivre ses discussions avec le gouvernement américain « au sujet de Claude Mythos Preview et de ses capacités cybernétiques offensives et défensives ».