Une « erreur humaine » provoque la fuite de Claude Mythos : le prochain modèle d’Anthropic qui inqui

Une « erreur humaine » provoque la fuite de Claude Mythos : le prochain modèle d’Anthropic qui inquiète

La révélation involontaire de Claude Mythos, un nouveau modèle d'IA d'Anthropic, résulte d'une erreur de configuration, soulignant son potentiel offensif sans précédent en cybersécurité.

Le modèle Claude Mythos, plus puissant et coûteux que ses prédécesseurs, est actuellement testé par un groupe restreint de clients, avec une capacité à exploiter les vulnérabilités logicielles à grande échelle.

Anthropic, à l'instar d'autres géants de l'IA, se positionne en jouant sur les risques potentiels de ses technologies tout en promouvant un usage responsable, destiné d'abord aux cyberdéfenseurs.

Le 26 mars 2026, une erreur de configuration sur le blog d’Anthropic a involontairement révélé l’existence de Claude Mythos, le prochain modèle de l’entreprise. Le document exposé décrit un modèle dont les capacités offensives en cybersécurité dépasseraient, selon Anthropic elle-même, tout ce qui existe aujourd’hui.

Pas de cyberattaque, ni de fuite interne, mais une simple erreur de configuration. C’est ainsi qu’Anthropic a involontairement exposé l’un de ses secrets les mieux gardés : l’existence d’un nouveau modèle d’intelligence artificielle que l’entreprise américaine décrit elle-même comme « le plus puissant qu’elle ait jamais développé ».

La fuite a été découverte par deux chercheurs en sécurité, avant d’être confirmée par le média américain Fortune. En cause : le système de gestion de contenu utilisé par Anthropic pour publier son blog. Les fichiers qui y sont créés sont mis en accès public par défaut et se voient automatiquement attribuer une URL accessible, à moins qu’un utilisateur ne modifie manuellement ce paramètre. Personne ne l’a fait, exposant ainsi de nombreuses ressources inédites dont des brouillons de billets de blog. L’entreprise a depuis reconnu une « erreur humaine » et coupé l’accès dans la foulée.

Parmi les documents exposés, un brouillon d’annonce décrit un nouveau modèle baptisé Claude Mythos, également appelé Capybara. Il s’agirait d’une catégorie entièrement nouvelle, au-dessus des modèles Opus (jusqu’ici le haut de gamme d’Anthropic), plus puissante, mais aussi plus coûteuse à faire tourner. Anthropic a confirmé à Fortune la véracité du projet, précisant le tester actuellement avec un groupe restreint de clients en accès anticipé.

Les risques cyber au cœur du brouillon

Ce qui distingue Mythos des générations précédentes ne tient pas uniquement à ses performances générales en raisonnement ou en codage. Le brouillon exposé évoque des scores « dramatiquement supérieurs » à ceux d’Opus 4.6 sur des tests de coding académique et de raisonnement, mais c’est ailleurs que se loge l’essentiel de l’inquiétude.

Car c’est sur le terrain de la cybersécurité que le brouillon d’Anthropic s’épanche le plus. Le modèle y est décrit comme « actuellement bien en avance sur tout autre modèle d’IA en matière de capacités cyber » et capable d’exploiter des vulnérabilités logicielles « à une échelle qui dépasse largement les efforts des défenseurs ».

En clair : Anthropic reconnaît avoir développé un outil dont les capacités offensives potentielles dépassent ce que les équipes de sécurité seraient en mesure de contrer.

Ce n’est pas la première fois qu’Anthropic se retrouve à justifier la mise sur le marché d’un modèle aux capacités sensibles. En février 2026, lors du lancement de Claude Opus 4.6, Anthropic mettait déjà en avant les capacités de son modèle à identifier des failles 0-day dans des bibliothèques open-source. L’entreprise présentait alors Opus 4.6 comme un outil de défense, destiné à « rétablir l’équilibre » face aux attaquants. Mais elle reconnaissait dans le même temps le caractère à double tranchant de ces capacités : ce qui permet de trouver des failles peut aussi permettre de les exploiter.

Une communication aux airs de déjà-vu

C’est donc pour ces mêmes raisons que le brouillon indique que Mythos sera dans un premier temps mis entre les mains de cyberdéfenseurs, pour leur donner une longueur d’avance face à ce qu’Anthropic prédit être une « vague imminente d’exploits pilotés par l’IA ».

Une communication rodée, qui s’inscrit dans la logique désormais bien établie des grands acteurs de l'IA : mettre en avant les capacités mais également les risques que comportent leurs nouveaux outils tout en affichant une approche responsable, suffisamment rassurante pour désamorcer les inquiétudes.

En février 2026, OpenAI jouait la même partition. En marge du lancement de GPT-5.3-Codex, l’entreprise de Sam Altman lançait simultanément un programme baptisé « Trusted Access for Cyber », réservant ses modèles les plus puissants aux défenseurs via un accès vérifié, assorti d’un fonds de 10 millions de dollars en crédits API pour les équipes travaillant sur la protection des infrastructures critiques.