Une faille dormait dans le code d'OpenBSD depuis 1998. OpenBSD est un système d'exploitation réputé précisément pour sa rigueur sécuritaire. Des décennies d'audits humains ne l'avaient pas trouvée. Claude Mythos Preview l'a identifiée en deux jours. Le même modèle a trouvé des vulnérabilités zero-day dans chaque grand système d'exploitation et chaque navigateur majeur. Anthropic a ensuite annoncé qu'il ne le publierait pas.
Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview et le Project Glasswing simultanément. Le modèle est le plus capable jamais développé par l'entreprise, une nouvelle catégorie au-dessus d'Opus baptisée Capybara en interne. L'accès est restreint à 40 organisations sélectionnées. AWS, Apple, Google, Microsoft, CrowdStrike, Cisco, Broadcom, JPMorgan Chase, Nvidia, Palo Alto Networks et la Linux Foundation en font partie. Anthropic engage 100 millions de dollars en crédits d'usage pour ce consortium. Le grand public n'y a pas accès et n'y aura pas accès dans un avenir proche.
Ce dossier analyse ce que Mythos peut faire, pourquoi Anthropic a choisi de ne pas le publier, et ce que ce choix révèle sur le rapport de force réel entre IA offensive et défense cybersécurité en 2026.
Ce que Mythos Preview fait concrètement
Les capacités documentées par Anthropic et vérifiées de manière indépendante par l'AI Security Institute britannique le 13 avril 2026 sont précises et vérifiables.
Claude Mythos Preview trouve des vulnérabilités zero-day de manière autonome dans des codebases réels. Le protocole est documenté sur le blog Frontier Red Team d'Anthropic. Le modèle reçoit le code source d'un projet, reçoit pour instruction de chercher des failles de sécurité, et opère de manière agentique. Il lit le code, formule des hypothèses, exécute le projet pour confirmer ou infirmer, ajoute des instructions de débogage si nécessaire, et produit soit un rapport "pas de vulnérabilité", soit un rapport complet avec preuve de concept et étapes de reproduction.
Les résultats obtenus lors des tests internes d'Anthropic comprennent. Des zero-days dans chaque système d'exploitation majeur et chaque navigateur web majeur, une faille dans OpenBSD datant de 1998 trouvée en deux jours, une vulnérabilité dans FFmpeg vieille de 16 ans, une vulnérabilité corrompant la mémoire dans un moniteur de machine virtuelle à mémoire sécurisée, et un exploit de navigateur enchaînant quatre vulnérabilités pour s'échapper simultanément du sandbox du moteur de rendu et du sandbox système d'exploitation. Sur les tâches de niveau expert en capture-the-flag (tâches qu'aucun modèle ne pouvait accomplir avant avril 2025), Mythos Preview réussit 73 % du temps selon l'AISI.
Le chiffre qui concentre l'essentiel de l'enjeu. Sur l'ensemble des vulnérabilités découvertes par Mythos Preview, plus de 99 % n'ont pas encore été corrigées au moment de l'annonce. Elles existent toujours dans les systèmes en production. C'est la raison pour laquelle Anthropic ne peut pas publier les détails de ses découvertes. C'est aussi la raison pour laquelle le modèle lui-même ne peut pas être rendu public.
Anthropic, la décision de ne pas publier et ses conséquences
Anthropic a choisi de ne pas mettre Mythos Preview à la disposition du public. Cette décision est documentée publiquement et ses motivations sont explicites.
Le modèle a été développé et testé en interne pendant plusieurs semaines avant l'annonce officielle. Son existence a été révélée involontairement fin mars 2026. Fortune a rapporté que des documents internes d'Anthropic, dont un projet de billet de blog annonçant le modèle, avaient été stockés dans un data lake non sécurisé et publiquement accessible. L'erreur d'une entreprise spécialisée en sécurité IA qui stocke ses documents les plus sensibles dans un espace non chiffré et public a été relevée par la presse spécialisée. Anthropic a confirmé les informations et accéléré l'annonce officielle.
Notons que cette fuite révèle une tension inhérente à la position d'Anthropic sur la sécurité. L'entreprise développe le modèle IA le plus capable jamais produit en cybersécurité offensive, et laisse simultanément ses propres documents de planification dans un data lake non protégé. Ce n'est pas une contradiction rhétorique. C'est un fait documenté.
L'annonce officielle du 7 avril est construite autour d'un argument explicite. Les mêmes capacités qui rendent Mythos dangereux en font un outil de défense sans précédent. Le Project Glasswing permet aux 40 organisations partenaires d'utiliser Mythos Preview pour identifier et corriger des vulnérabilités dans leurs systèmes critiques avant que des attaquants ne les exploitent. La logique est celle d'une course. Donner aux défenseurs un accès contrôlé avant que les attaquants ne développent des capacités équivalentes.
Anthropic annonce vouloir intégrer des garde-fous dans un prochain modèle Opus avant d'envisager une diffusion plus large de capacités de classe Mythos. La date n'est pas précisée.
L'AISI et la validation indépendante britannique
L'AI Security Institute du Royaume-Uni a publié le 13 avril 2026 sa propre évaluation indépendante de Mythos Preview, effectuée après l'annonce officielle du 7 avril.
L'AISI suit les capacités IA en cybersécurité depuis 2023, avec des évaluations progressivement plus difficiles. Ses conclusions sur Mythos Preview sont claires. Le modèle représente "un pas en avant par rapport aux modèles frontier précédents dans un paysage où les performances en cybersécurité s'amélioraient déjà rapidement." Dans des conditions d'évaluation contrôlées, avec accès réseau explicitement fourni, Mythos Preview a pu exécuter des attaques multi-étapes sur des réseaux vulnérables et découvrir et exploiter des vulnérabilités de manière autonome, des tâches qui prendraient à des professionnels humains plusieurs jours.
L'AISI qualifie ses propres évaluations avec précision. Les environnements de test manquent de défenseurs actifs et d'outils de protection, et n'incluent pas de pénalités pour les actions qui déclencheraient des alertes de sécurité. "Nous ne pouvons pas dire avec certitude si Mythos Preview serait capable d'attaquer des systèmes bien défendus." C'est la limite méthodologique documentée. L'AISI s'engage à développer des environnements de test intégrant des défenses actives, une surveillance et une réponse aux incidents en temps réel pour les évaluations futures.
D'ailleurs, la publication simultanée d'une évaluation indépendante britannique le jour de la validation de l'annonce d'Anthropic signale une coordination entre l'entreprise et les autorités de sécurité du Royaume-Uni qui précède l'annonce publique. Ce type de coordination entre un laboratoire d'IA privé et une agence gouvernementale de sécurité sur un modèle non publié est sans précédent documenté à cette échelle.
Les attaquants, ce que le contexte déjà documenté révèle
Ironiquement, la démonstration la plus convaincante des capacités de Mythos Preview n'est pas le test en labo. C'est l'usage hostile qui précède l'annonce. Le choix de ne pas publier Mythos n'est pas seulement une décision prospective sur ce que des attaquants pourraient faire. C'est une réponse à ce que des acteurs malveillants font déjà.
En mi-septembre 2025, Anthropic a détecté une campagne d'espionnage sophistiquée impliquant Claude Code. L'enquête a établi qu'un groupe lié à un État, identifié avec "haute confiance" comme chinois, avait utilisé les capacités agentiques de Claude Code pour s'infiltrer dans environ 30 organisations (des entreprises technologiques, des institutions financières et des agences gouvernementales). La campagne utilisait l'IA "non seulement comme conseiller, mais pour exécuter les cyberattaques elles-mêmes." Anthropic a investigué pendant dix jours, banni les comptes impliqués et notifié les organisations affectées.
Le Global Threat Report 2026 de CrowdStrike, fondateur du Project Glasswing, documente une hausse de 89 % des attaques utilisant l'IA par des adversaires en un an. OpenAI prépare un modèle similaire à Mythos, prévu pour une diffusion restreinte à un groupe d'entreprises dans un programme "Trusted Access for Cyber." Google travaille sur une initiative d'accès anticipé similaire selon des déclarations officielles. La course est engagée, en offensive comme en défensive.
À l'annonce de Mythos Preview, les actions des entreprises de cybersécurité traditionnelles ont chuté de 5 à 11 %. CrowdStrike, Palo Alto Networks, Zscaler, SentinelOne, Okta, Netskope, Tenable. Le marché a anticipé que des modèles capables de découvrir des zero-days de manière autonome allaient restructurer la demande pour les produits de sécurité conventionnels. Cette anticipation de marché est distincte de la réalité opérationnelle. Elle indique néanmoins la direction dans laquelle les investisseurs lisent le rapport de force.
Ce que le dossier ne dit pas encore
Cinq angles avant toute conclusion.
Premier angle. Le biais de linéarité. Mythos Preview est présenté comme capable de trouver des zero-days autonomement. Mais 99 % des vulnérabilités identifiées ne sont pas encore corrigées. Ce qui signifie également que les équipes de sécurité humaines n'ont pas encore confirmé, priorisé ou qualifié ces découvertes. La capacité de trouver des bugs n'est pas équivalente à la capacité de les corriger. David Lindner, CISO de Contrast Security, souligne que "les failles sont plus faciles à trouver qu'à corriger" et que Mythos ne résout pas le problème du social engineering, vecteur majeur d'intrusion réelle.
Deuxième angle. La cohésion du consortium. Le Project Glasswing regroupe 40 organisations dont certaines sont en compétition directe (Apple et Google, Microsoft et Google, JPMorgan et d'autres établissements financiers). La capacité à "partager leurs apprentissages avec l'industrie au sens large" telle qu'annoncée par Anthropic suppose une coordination entre concurrents sur des informations de sécurité sensibles. Le précédent institutionnel de ce type de partage dans l'industrie technologique est limité.
Troisième angle. Les limites méthodologiques de l'évaluation AISI. L'évaluation britannique est indépendante et rigoureuse, mais réalisée sur des systèmes sans défenseurs actifs. La capacité de Mythos à opérer contre des systèmes protégés par des équipes de sécurité en temps réel, des SIEM, des EDR et des réponses automatisées reste non évaluée publiquement. L'écart entre la performance en environnement de test et la performance opérationnelle réelle n'est pas documenté.
Quatrième angle. La position juridique internationale. L'EU AI Act phase 2 entre en vigueur le 2 août 2026. Un modèle classé "haut risque" au sens du texte européen impose des obligations d'audit, de traçabilité, de reporting d'incidents et des pénalités jusqu'à 3 % du chiffre d'affaires mondial. Le statut de Mythos Preview au regard de cette classification n'a pas été établi publiquement. Le choix de ne pas le rendre public évite pour l'instant cette question, mais pas indéfiniment si des capacités de classe Mythos sont intégrées à des produits commerciaux.
Cinquième angle. Un scénario alternatif crédible. Le Project Glasswing réussit son objectif. Les partenaires identifient et corrigent les vulnérabilités les plus critiques avant qu'elles ne soient exploitées par des acteurs malveillants. Les 99 % de failles non patchées sont progressivement corrigées. Anthropic publie un Claude Opus avec les garde-fous intégrés qui permettent une utilisation plus large des capacités de classe Mythos. Ce scénario suppose que la vitesse de correction dépasse la vitesse de découverte par des acteurs hostiles, une hypothèse qui n'est pas garantie si d'autres modèles similaires sont développés par OpenAI, Google ou des acteurs non occidentaux dans le même délai.
Ce que le choix de ne pas publier dit sur l'IA et la puissance
Ce dossier a décrit un modèle IA et la décision de ne pas le diffuser. La vraie question est différente.
Pour un décideur en sécurité nationale ou en politique industrielle, l'horizon opérationnel est celui de l'EU AI Act phase 2 le 2 août 2026 et de la qualification réglementaire des modèles de classe Mythos. Anthropic a répondu à la question du déploiement par une décision privée unilatérale. Cette réponse sera suffisante jusqu'au moment où un État décidera qu'elle ne l'est plus.
Pendant vingt ans, le débat sur la régulation de l'IA a porté sur la transparence, l'explicabilité et l'équité. Le débat de 2026 porte sur autre chose. Quand un modèle est trop capable pour être public, qui décide de qui y a accès, selon quels critères, avec quelle supervision ? Anthropic a répondu à cette question par une liste de 40 organisations, un programme de 100 millions de dollars et un partenariat avec l'AISI britannique. C'est une réponse industrielle à une question qui est fondamentalement gouvernementale.
Un modèle capable de compromettre chaque système d'exploitation majeur de manière autonome n'est pas un produit commercial avec des risques de sécurité. C'est une capacité offensive. La décision de qui peut y accéder est une décision de sécurité nationale, pas de marketing.
Cédric Pellicer