Tu codes avec l’IA ?
Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Anthropic et Claude Mythos Preview : une avancée fulgurante
Anthropic, en collaboration avec environ 50 partenaires, a récemment mis en lumière les capacités impressionnantes de son modèle d'IA, Claude Mythos Preview. En seulement un mois, ce modèle a permis d'identifier plus de 10 000 vulnérabilités de sécurité critiques dans des logiciels essentiels au système. Cette découverte rapide dépasse largement la capacité des développeurs à vérifier et corriger ces défauts, ce qui, selon Anthropic, crée un écart de sécurité préoccupant.
L'entreprise a lancé le Project Glasswing pour tester et évaluer les capacités de Claude Mythos Preview. Les résultats préliminaires sont frappants : le modèle a détecté des failles de sécurité à un rythme tel que les équipes ne peuvent pas suivre le rythme pour les vérifier, les divulguer et les corriger. Anthropic a choisi de retenir certains détails techniques, car le délai standard de l'industrie pour divulguer de nouvelles vulnérabilités est de 90 jours, et la plupart des découvertes ne peuvent pas encore être décrites sans mettre en danger les utilisateurs finaux.
Les partenaires de Glasswing et l'augmentation des découvertes de bugs
Les partenaires du projet Glasswing, qui incluent des entreprises clés dans le développement de logiciels au cœur de l'Internet et d'autres infrastructures critiques, ont rapporté une augmentation exponentielle de la découverte de bugs. Chacun de ces partenaires a trouvé des centaines de vulnérabilités critiques. Par exemple, Cloudflare a signalé 2 000 bugs, dont 400 de gravité élevée ou critique, et a noté que son taux de faux positifs a surpassé celui des testeurs humains.
De son côté, Mozilla a trouvé et corrigé 271 vulnérabilités dans Firefox 150, un chiffre qui dépasse de plus de dix fois ce que son prédécesseur, Claude Opus 4.6, avait détecté dans Firefox 148. Ces chiffres sont confirmés par des évaluations externes, comme celle de l'AI Security Institute du Royaume-Uni, qui affirme que le dernier point de contrôle de Mythos Preview est le premier modèle à résoudre complètement ses cyber-ranges internes, des cyberattaques simulées à plusieurs étapes.
Des progrès confirmés par des évaluations externes
La plateforme de sécurité indépendante XBOW a qualifié le modèle de progrès majeur par rapport à tous les modèles précédents, citant une précision sans précédent. Anthropic indique que Mythos Preview surpasse également les benchmarks académiques ExploitBench et ExploitGym, avec GPT-5.5 étant proche dans la plupart de ces benchmarks et déjà disponible publiquement.
L'impact de ces découvertes se manifeste également dans les volumes de correctifs, selon Anthropic. Par exemple, Palo Alto Networks a expédié cinq fois plus de correctifs que d'habitude dans sa dernière version. Microsoft a déclaré que le nombre de nouveaux correctifs continuera à "tendre vers des chiffres plus élevés pendant un certain temps." Oracle affirme qu'il trouve et corrige les défauts plusieurs fois plus rapidement qu'auparavant.
Mythos Preview au-delà de la simple détection de bugs
Mythos Preview s'est également révélé utile au-delà de la simple détection de bugs. Dans une banque partenaire, le modèle a aidé à détecter et bloquer un transfert d'argent frauduleux d'une valeur de plus de 1,5 million de dollars, selon Anthropic.
Vulnérabilités dans les projets open-source
En parallèle du travail avec ses partenaires, Anthropic a scanné plus de 1 000 projets open-source avec Mythos Preview. Le modèle estime avoir trouvé 6 202 vulnérabilités de gravité élevée ou critique, avec 23 019 découvertes au total à tous les niveaux de gravité. Des entreprises de sécurité indépendantes—et en partie Anthropic elle-même—ont examiné 1 752 des découvertes de gravité élevée ou critique jusqu'à présent. 90,6 % se sont révélées être des vrais positifs, et 62,4 % ont été confirmées comme étant réellement de gravité élevée ou critique.
Sur la base de ces taux de triage, Anthropic estime que Mythos Preview a découvert près de 3 900 vulnérabilités confirmées de gravité élevée ou critique dans le code open-source. L'entreprise prévoit de continuer à scanner. Parmi les 23 019 vulnérabilités trouvées dans des projets open-source, seulement 97 ont réellement été corrigées. Le diagramme montre la forte chute entre la découverte, le triage, la divulgation et le patching.
Plusieurs mainteneurs de projets open-source ont demandé à Anthropic de ralentir les divulgations car "ils ont besoin de plus de temps pour concevoir des correctifs", indique l'article de blog. En moyenne, corriger un bug de gravité élevée ou critique prend deux semaines. Jusqu'à présent, 530 de ces bugs ont été signalés aux mainteneurs. Parmi ceux-ci, 75 ont été corrigés et 65 ont reçu des avis publics. 827 vulnérabilités confirmées attendent encore d'être divulguées. Pour aggraver les choses, les mainteneurs sont déjà submergés par des rapports de bugs de faible qualité générés par l'IA.
Une période de transition à haut risque
Anthropic affirme que des modèles avec des compétences en cybersécurité similaires seront bientôt largement disponibles. Certains le sont probablement déjà. GPT-5.5 d'OpenAI correspond à ce profil, et il existe également une variante plus spécialisée appelée GPT-5.5 Cyber, bien qu'il ne soit pas clair ce qui distingue exactement les deux.
Quoi qu'il en soit, ces nouvelles capacités créent une période de transition où les vulnérabilités sont trouvées rapidement mais corrigées lentement. Cet écart entraîne de nouveaux risques, selon Anthropic. Les modèles de type Mythos réduisent le temps et le coût de la découverte et de l'exploitation des défauts. Aucune entreprise, y compris Anthropic, n'a construit de protections suffisamment solides pour empêcher l'utilisation abusive de ces modèles et prévenir des dommages graves.
Au fil du temps, ces modèles devraient aider les développeurs à créer des logiciels beaucoup plus sécurisés en détectant les bugs avant que le code ne soit déployé. Actuellement, Anthropic conseille aux équipes de développement de raccourcir leurs cycles de correction et de rendre les mises à jour aussi simples que possible pour les utilisateurs. Les défenseurs des réseaux devraient s'en tenir aux bases : authentification multi-facteurs, configurations renforcées, et journalisation approfondie.



