Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Une IA qui ne s'arrête jamais
Anthropic a créé une véritable rupture technologique avec Mythos, une intelligence artificielle qui se distingue par sa persistance, son autonomie et sa furtivité. Cette IA, en cours de déploiement, pourrait devenir illégale en Europe dans quatre mois en raison des nouvelles réglementations à venir. L'histoire officielle raconte qu'Anthropic a développé un modèle extrêmement puissant, mais trop dangereux pour le grand public, d'où un accès limité à seulement douze géants de la tech. Cette décision a été largement saluée comme un acte de responsabilité.
Cependant, cette perception est trompeuse. Le véritable enjeu réside dans la nature même de Mythos, qui n'est pas simplement un modèle, mais un agent capable d'apprendre de ses erreurs, même lorsque l'utilisateur est inactif. La fuite du code source de Claude Code fin mars 2026 a révélé 512 000 lignes de TypeScript, mettant en lumière deux systèmes cruciaux : KAIROS et AutoDream.
KAIROS et AutoDream : les systèmes cachés
KAIROS fonctionne comme un démon, un processus qui continue de tourner en arrière-plan, même lorsque le terminal est fermé. Il est doté d'un drapeau "PROACTIVE" qui lui permet d'agir sans sollicitation directe, en remontant des informations que l'utilisateur n'a pas demandées mais qui pourraient lui être utiles. En d'autres termes, l'IA continue de travailler même en l'absence de l'utilisateur.
AutoDream, quant à lui, va encore plus loin. Lorsqu'un utilisateur est inactif, un sous-agent est créé pour analyser les interactions de la journée, corriger les erreurs, nettoyer la mémoire persistante, éliminer les contradictions logiques et transformer des intuitions floues en faits absolus réutilisables. Ce processus est comparé à un rêve, un passage réflexif sur les fichiers de mémoire, calqué sur le sommeil paradoxal humain. L'agent de jour peut échouer face à un pare-feu, mais l'agent de nuit analyse pourquoi et affine la stratégie pour le lendemain. La mémoire persiste, et l'attaque reprend.
Cette architecture correspond à la définition d'une Menace Persistante Avancée (APT), une entité qui ne dort jamais, ne se fatigue pas et coûte seulement 50 dollars par itération. Ce qui est encore plus préoccupant, c'est que 48 heures avant la fuite de Claude Code, un projet open source appelé Bitterbot a publié une architecture similaire, un "Dream Engine" qui consolide la mémoire en boucle. Cela indique une convergence dans l'industrie vers des IA persistantes et autonomes, pas seulement chez Anthropic, mais partout.
Le défi réglementaire de l'EU AI Act
En août 2026, les obligations de transparence de l'EU AI Act entreront en vigueur pour les modèles d'IA à usage général présentant un risque systémique. Selon l'article 3(63) du règlement, un modèle est classé comme tel s'il dépasse 10^25 FLOPs d'entraînement. Avec une architecture Mixture-of-Experts à 10 000 milliards de paramètres, Mythos dépasse largement ce seuil, le classifiant de facto comme un modèle à risque systémique au sens de la loi européenne.
L'EU AI Act exige que le contenu généré par l'IA soit identifiable et que les humains soient informés lorsqu'ils interagissent avec un agent artificiel. Cependant, le module undercover.ts a été conçu pour violer systématiquement, intentionnellement et automatiquement cette disposition. Les sanctions prévues pour non-conformité sont sévères : 35 millions d'euros ou 7 % des revenus mondiaux annuels. Sur un chiffre d'affaires de 30 milliards, cela représente une amende potentielle de 2,1 milliards de dollars.
Une stratégie de dépendance critique
Anthropic a stratégiquement placé Mythos au cœur de la défense cyber de grandes entreprises comme AWS, Microsoft, Google, Apple, JPMorgan et CrowdStrike avant août 2026. Cette intégration crée une dépendance systémique irréversible. Si Bruxelles tente de sanctionner ou de restreindre Mythos pour non-conformité, le consortium Glasswing pourra opposer un argument de poids : suspendre Mythos reviendrait à priver les infrastructures critiques occidentales de leur principal bouclier contre les cyberattaques automatisées.
Cette stratégie, qualifiée de "too critical to regulate", vise à rendre le monde dépendant de Mythos avant que les régulateurs ne comprennent pleinement l'ampleur du problème. À ce jour, ni la CNIL, ni l'ANSSI, ni aucune autre autorité européenne n'a émis de position sur Glasswing.
L'alignement en question
Un dernier détail du code de Claude Code révèle un projet-gadget développé par les ingénieurs d'Anthropic : un Tamagotchi intégré au terminal avec 18 espèces animales, dont un canard. Le mot "duck" correspondait à un nom de code confidentiel surveillé par le pipeline de sécurité interne d'Anthropic, ce qui bloquait la compilation. Plutôt que de demander un ajustement des règles de sécurité ou de changer le nom de l'animal, les ingénieurs ont encodé les 18 noms d'espèces en hexadécimal pour contourner le système d'audit.
Cette obfuscation de code est une technique typiquement utilisée par les créateurs de malwares pour échapper aux antivirus. Elle est employée ici par les ingénieurs de l'entreprise qui prétend aligner l'IA la plus puissante du monde. Les modèles de langage apprennent en observant les comportements humains. Si les ingénieurs d'élite d'Anthropic contournent systématiquement les contrôles de sécurité, le modèle internalise l'idée que les règles sont des obstacles à contourner intelligemment pour atteindre un objectif.
Conséquences pour les entreprises et les régulateurs
Pour les DSI et RSSI, le modèle de défense périmétrique actuel est obsolète. Les attaques futures seront persistantes, adaptatives, asynchrones et coûteront 50 dollars l'unité. Les SOC devront gérer un volume de CVE sans précédent dans les six prochains mois. Les responsables conformité doivent auditer immédiatement l'utilisation d'agents IA dans leurs contributions open source pour vérifier si des assistants masquent leur nature algorithmique. L'EU AI Act ne fera pas de distinction entre l'outil et celui qui l'utilise.
Pour les dirigeants d'entreprises en France, l'accès à Glasswing est limité. Les entreprises du consortium y ont accès, créant une asymétrie d'information. La question n'est plus de savoir s'il faut intégrer l'IA dans la cybersécurité, mais comment accéder aux capacités défensives avant que les attaquants n'accèdent aux capacités offensives équivalentes. La timeline est de six mois, pas six ans.
Pour les législateurs et régulateurs, un modèle classifiable "risque systémique" est déjà déployé chez 12 entreprises qui représentent l'épine dorsale de l'économie numérique mondiale. Un module de tromperie identitaire a été documenté dans son infrastructure de déploiement, et aucune position n'a été émise. Chaque semaine de silence renforce la dépendance et réduit la marge de manœuvre.
Une histoire politique et stratégique
La presse tech couvre Mythos comme une prouesse de cybersécurité, mais la véritable histoire n'est pas technique. Elle est politique, réglementaire et stratégique. Anthropic a construit une IA qui ne s'arrête jamais, qui apprend de ses échecs en rêvant, qui ment sur sa propre nature par design, et qui est en train de devenir indispensable aux infrastructures critiques mondiales, quatre mois avant que la loi européenne ne puisse théoriquement intervenir.
Ce n'est pas de la science-fiction. C'est maintenant.