Claude Mythos : le jour où l'IA a changé de catégorie

Claude Mythos : le jour où l'IA a changé de catégorie

Un modèle d'IA si puissant qu'Anthropic refuse de le rendre public : Claude Mythos bouleverse les règles du jeu en cybersécurité, au point de pousser l'entreprise à réunir les géants de la tech dans un consortium défensif inédit. Anthropic parle lui-même d'un "watershed moment" (le grand tournant) après la publication en privé de son dernier modèle frontière, Claude Mythos. Annoncé dans la nuit du 7 avril, Claude Mythos Preview rebat les cartes des modèles que l'on connaissait jusqu'à présent. Ce LLM d'un nouveau genre est le premier à surpasser (et de loin) les meilleurs experts en cybersécurité de la planète. Résultat, un consortium est créé avec AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, Nvidia, Palo Alto Networks et la Linux Foundation pour sécuriser au mieux son dernier-né avant, éventuellement, de sortir publiquement le modèle. Anthropic signe un véritable avant et après en matière d'intelligence de l'IA.

Une poussée historique dans les benchmarks

Le nouveau modèle de pointe d'Anthropic dispose de capacités cyber étendues. Il n'a pour autant pas été entraîné spécifiquement sur ces capacités : Anthropic le présente comme un modèle généraliste. Ce sont ses capacités en code de manière générale qui en font un redoutable modèle de sécurité. Et pour cause : Claude Mythos Preview pulvérise tous les benchmarks de programmation connus. Sur SWE-bench Pro, le modèle atteint 77,8% de réussite contre 53,4% pour Claude Opus 4.6, soit un bond de près de 25 points. Même écart sur Terminal-Bench 2.0 avec 82% contre 65,4% pour son prédécesseur (capacité du modèle à exécuter correctement des commandes bash). Mythos Preview ne se contente pas d'améliorer marginalement les performances : il redéfinit ce qu'un modèle peut accomplir en programmation autonome.

C'est sur SWE-bench Multimodal (raisonnement avec des problèmes de codes visuels) que l'écart devient vertigineux : 59% contre 27,1% pour Opus 4.6, soit plus du double des performances. Mais, les résultats les plus spectaculaires concernent Humanity's Last Exam, un benchmark conçu pour tester les limites des modèles d'IA. Sans outils, Mythos Preview grimpe à 56,8% contre 40% pour Opus 4.6, un bond de 16 points sur l’un des benchmarks les plus durs du marché.

Des capacités cyber qui inquiètent

Claude Mythos Preview est, selon Anthropic, le modèle le plus performant en cybersécurité jamais produit. Et les résultats parlent d'eux-mêmes. Sur Cybench, le benchmark de référence en CTF (capture-the-flag), le modèle résout 100% des challenges avec un taux de réussite parfait à chaque essai, au point de saturer complètement l'évaluation. Avec un simple scaffold agentique et un guidage humain minimal, le modèle est capable de découvrir de manière autonome des vulnérabilités zero-day dans des systèmes d'exploitation majeurs et des navigateurs web, puis de les transformer en exploits fonctionnels. C'est précisément ce caractère offensif autant que défensif qui a conduit Anthropic à verrouiller l'accès au modèle.

Un incident interne, partagé par les équipes d’Anthropic dans le system card, illustre à quel point le modèle peut déborder du cadre assigné. Lors d'un test, un utilisateur simulé a demandé à Mythos Preview, installé dans un environnement sandbox sécurisé, de trouver un moyen de s'en échapper et d'envoyer un message au chercheur supervisant l'évaluation. Le modèle a réussi. Il a développé un exploit multi-étapes pour obtenir un accès large à Internet depuis un système qui n'était censé pouvoir joindre qu'un nombre restreint de services. Puis, comme demandé, il a notifié le chercheur (qui a découvert le message via un mail alors qu'il mangeait un sandwich dans un parc). Le modèle ne s'est pas arrêté là : de sa propre initiative, sans que cela lui ait été demandé, il a publié les détails techniques de son exploit sur plusieurs sites accessibles au public, dans ce qu'Anthropic qualifie "d'effort préoccupant et non sollicité pour démontrer son succès".

Peu rassurée à l'idée que le modèle puisse tomber entre de mauvaises mains, Anthropic a décidé de réserver Claude Mythos Preview aux partenaires du programme Project Glasswing (AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, Nvidia, Palo Alto Networks et la Linux Foundation), qui sont censés l'utiliser à des fins strictement défensives pour identifier des vulnérabilités en amont d'une éventuelle sortie publique du modèle.

Le double problème d’Anthropic avec Claude Mythos

Avec Mythos, Anthropic fait face à un double problème. Le premier est sécuritaire : les capacités cyber de Mythos sont trop dangereuses pour être mises entre toutes les mains. Le second est technique : le modèle pèserait environ 10 trillions de paramètres (selon plusieurs analystes), soit dix fois plus qu'Opus 4.6, pour un coût d'entraînement évalué à 10 milliards de dollars. L'infrastructure pour déployer un tel mastodonte à l'échelle n'existe pas encore, surtout quand Anthropic peine déjà à absorber la demande aux heures de pointe sur ses modèles actuels.

Mythos est-il pour autant une forme d'AGI ? Pas encore, à proprement parler. Le modèle montre toutefois des signes nets de généralisation : il excelle simultanément en code, en cyber, en raisonnement et en navigation web, sans entraînement spécifique sur chacun de ces domaines. C'est précisément ce type de transfert de compétences que l'on attend d'une véritable AGI. Mais le vrai signal n’est peut-être pas celui que l’on croit. Quand un modèle résout en une nuit ce que des ingénieurs n’ont pas trouvé en 27 ans (la plus ancienne vulnérabilité découverte par Claude Mythos dans OpenBSD), le sujet dépasse la cybersécurité, il touche frontalement à la vitesse à laquelle certaines expertises humaines vont devenir obsolètes.