Une fuite de documents internes, un modèle d'IA jugé trop dangereux pour être rendu public, des failles vieilles de vingt-sept ans soudainement mises au jour : l'affaire Claude Mythos est l'une des plus révélatrices de ce que l'intelligence artificielle peut désormais faire - en bien comme en mal - dans le domaine de la cybersécurité. Voici ce que vous devez savoir.
Claude Mythos, l'IA d'Anthropic qui redéfinit la cybersécurité
Une révélation par accident : la fuite qui a tout déclenché
Tout commence fin mars 2026, non pas par une conférence de presse soigneusement orchestrée, mais par une erreur humaine. Un serveur mal configuré expose des documents internes d'Anthropic sur internet. En quelques heures, les spécialistes de la cybersécurité et les journalistes tech s'emparent des fichiers. On y découvre l'existence d'un modèle au nom de code Capybara, aussi désigné sous la forme "Claude Opus 4.6 Capyraba", et qui sera officiellement présenté quelques semaines plus tard sous le nom de Claude Mythos.
Les marchés financiers réagissent immédiatement. Les actions d'Anthropic et de plusieurs partenaires technologiques connaissent des mouvements inhabituels, signe que le secteur perçoit dans cette révélation bien plus qu'une simple annonce produit. Ce qui filtre dans les documents est, pour le dire simplement, inquiétant autant qu'impressionnant.
Le Parisien et L'Express, qui couvrent la fuite dès les premières heures, relèvent qu'Anthropic qualifie lui-même ce modèle de "changement radical" et de "l'IA la plus performante que nous ayons jamais créée". Des mots rarement employés à la légère par une entreprise qui a bâti sa réputation sur la prudence et la sécurité des systèmes d'IA.
Qu'est-ce que Claude Mythos ? Portrait d'un modèle hors normes
Claude Mythos n'est pas un assistant généraliste de plus. Il s'agit d'un modèle spécialisé, conçu pour exceller dans trois domaines précis : le codage avancé, le raisonnement académique et surtout la cybersécurité. Dans ces trois catégories, il affiche des scores "nettement supérieurs" à tous les autres modèles d'IA connus au moment de sa découverte, d'après les documents internes d'Anthropic relayés par L'Express.
L'aspect le plus frappant reste sa capacité à identifier et à exploiter des vulnérabilités logicielles à une échelle et à une vitesse inédites. Les documents fuités indiquent sans détour que le modèle est "bien en avance sur tout autre modèle d'IA en matière de capacités cyber", et qu'il est capable d'exploiter des failles "à une échelle dépassant les capacités des défenseurs". Ce dernier point est central : il ne s'agit plus d'un outil qui aide un expert humain à travailler plus vite, mais d'un système qui dépasse structurellement ce qu'un être humain peut faire seul.
Comment Claude Mythos détecte ce que les humains ne voient pas
Des failles vieilles de plusieurs décennies mises au jour
Pour comprendre concrètement ce dont il est question, il suffit de regarder les exemples documentés par JustGeek, qui a couvert l'annonce officielle de Project Glasswing le 8 avril 2026. Claude Mythos a notamment identifié une vulnérabilité vieille de 27 ans dans OpenBSD, l'un des systèmes d'exploitation réputés pour sa rigueur en matière de sécurité. Pendant presque trois décennies, cette faille est passée sous le radar de milliers d'auditeurs humains et d'outils automatisés.
Le cas de FFmpeg est tout aussi saisissant. Cette bibliothèque open source, utilisée par des centaines de millions d'applications et de sites web pour gérer la vidéo et l'audio, contenait une faille active depuis 16 ans. Claude Mythos l'a détectée après avoir soumis le code à des millions de tests automatisés, là où les méthodes classiques de pentest n'avaient rien trouvé. Le modèle a également mis en évidence des chaînes de vulnérabilités dans le noyau Linux, c'est-à-dire des combinaisons de failles individuellement bénignes qui, enchaînées dans le bon ordre, permettent une compromission complète du système.
Ces exemples illustrent une réalité inconfortable : des logiciels que vous utilisez probablement chaque jour - navigateurs, systèmes d'exploitation, outils de traitement multimédia - contiennent peut-être des failles que seule une IA de ce niveau est aujourd'hui capable de trouver.
Une capacité qui dépasse les experts humains et les outils automatisés
Les méthodes traditionnelles de recherche de vulnérabilités reposent sur deux piliers : les experts humains, qui font du pentest (test d'intrusion) manuel, et les outils automatisés comme les scanners de vulnérabilités ou les fuzzing engines. Claude Mythos, lui, combine les deux approches tout en les dépassant. Il raisonne sur le code comme le ferait un expert, mais à la vitesse et à l'échelle d'une machine.
Le concept de vulnérabilité zero-day désigne une faille inconnue du fabricant du logiciel, donc non corrigée. Ces failles sont les plus précieuses pour les hackers : tant qu'elles ne sont pas connues, il n'existe aucune protection contre elles. Claude Mythos est capable d'en identifier des milliers en quelques semaines dans les grands systèmes d'exploitation et les navigateurs web. C'est un changement d'échelle sans précédent.
Le paradoxe Mythos : une arme défensive au potentiel offensif redoutable
Ce qu'Anthropic reconnaît dans ses propres documents
Ce qui rend l'affaire Claude Mythos particulièrement notable, c'est qu'Anthropic lui-même ne minimise pas les risques. Au contraire : les documents internes exposés lors de la fuite reconnaissent explicitement que le modèle a "un caractère offensif potentiel". L'entreprise écrit noir sur blanc que Claude Mythos préfigure "une vague à venir de modèles capables d'exploiter les vulnérabilités à un rythme qui dépasse les efforts des cyberdéfenseurs".
Cette lucidité est à double tranchant. Elle témoigne d'une honnêteté rare dans le secteur de l'IA, où les annonces ont tendance à mettre en avant les bénéfices tout en minimisant les risques. Mais elle pose aussi une question difficile : si une entreprise reconnaît avoir créé un outil potentiellement dangereux, quelle est sa responsabilité dans la façon dont elle le déploie ?
L'IA au service des hackers : une réalité déjà documentée
Il serait tentant de traiter Claude Mythos comme un cas isolé, une curiosité technologique sans conséquence immédiate pour le grand public. Ce serait une erreur. L'usage offensif de l'IA par des acteurs malveillants n'est pas une hypothèse future : c'est une réalité documentée depuis plusieurs années. Des groupes de hackers utilisent déjà des modèles de langage pour automatiser la rédaction de mails de phishing plus convaincants, générer du code malveillant ou identifier des cibles vulnérables à grande échelle.
Ce que Claude Mythos représente, c'est un saut qualitatif. Jusqu'ici, les outils d'IA offensifs restaient dans une logique d'assistance : ils aidaient des hackers humains à travailler plus vite. Avec un modèle capable d'identifier des zero-days de façon autonome et à grande échelle, on entre dans une logique différente, où la machine peut mener des recherches de vulnérabilités sans supervision humaine significative.
Project Glasswing : la réponse d'Anthropic face au risque
Une coalition de défenseurs triés sur le volet
Le 8 avril 2026, Anthropic officialise Project Glasswing. L'initiative structure l'accès à Claude Mythos Preview autour d'une coalition d'entreprises technologiques de premier plan : AWS, Google, Microsoft, Apple, Cisco, et quelques autres acteurs dont les noms sont apparus dans les documents de présentation. L'accès est conditionné à un usage exclusivement défensif : détecter des failles pour les corriger, pas pour les exploiter.
Le modèle n'est pas accessible au grand public, ni même aux développeurs indépendants ou aux petites entreprises de cybersécurité. Anthropic a fait le choix délibéré de limiter la diffusion à un cercle restreint de partenaires dont elle peut contrôler et auditer les usages. C'est une approche inhabituelle dans un secteur qui valorise généralement l'ouverture et l'accessibilité.
Pourquoi restreindre l'accès plutôt que d'annuler le projet ?
La logique d'Anthropic est celle du moindre mal raisonné. Si Claude Mythos est capable de trouver des zero-days que personne n'a vus pendant des décennies, alors il vaut mieux que ce soit des défenseurs qui les trouvent en premier - et qui alertent les éditeurs de logiciels pour qu'ils publient des correctifs - plutôt que des attaquants qui les exploitent discrètement. C'est le principe du "full disclosure responsable" poussé à une échelle industrielle.
Anthropic annonce par ailleurs un investissement de 100 millions de dollars dans le cadre de Project Glasswing, destiné à financer les recherches, les audits et les partenariats avec les équipes de sécurité des grandes plateformes. Un engagement financier qui donne une idée de l'importance stratégique que l'entreprise accorde à ce programme.
Ce que Claude Mythos change pour votre cybersécurité
Les logiciels que vous utilisez au quotidien sont-ils mieux protégés ?
La réponse honnête est : potentiellement oui, mais pas immédiatement. Lorsque Claude Mythos identifie une faille dans un système d'exploitation ou un navigateur, les partenaires de Project Glasswing alertent l'éditeur concerné via un processus de divulgation coordonnée. L'éditeur dispose alors d'un délai pour développer et publier un correctif avant que la faille soit rendue publique.
Ce processus peut prendre des semaines, parfois des mois. Pendant ce temps, votre logiciel reste vulnérable. La meilleure chose que vous puissiez faire en tant qu'utilisateur reste d'appliquer les mises à jour de sécurité dès qu'elles sont disponibles : c'est souvent le correctif d'une faille identifiée de cette façon qui se cache derrière une mise à jour anodine.
La course entre attaquants et défenseurs s'accélère
Claude Mythos marque probablement une inflexion durable dans la dynamique entre hackers et défenseurs. Pendant longtemps, les attaquants avaient l'avantage de la surprise et de l'asymétrie : il suffit de trouver une seule faille pour compromettre un système, tandis que les défenseurs doivent tout protéger en permanence. L'IA généralise cette capacité de recherche des deux côtés.
Les questions de gouvernance qui entourent Claude Mythos - qui peut y accéder, dans quelles conditions, avec quelles garanties - préfigurent des débats qui occuperont le monde de la tech et des régulateurs pour les années à venir. Comment encadrer un outil capable de déséquilibrer à lui seul la sécurité de l'internet mondial ? La réponse d'Anthropic avec Project Glasswing est une première tentative. Elle ne sera certainement pas la dernière.
