Anthropic élargit l’accès à son modèle d’IA le plus dangereux à 150 organisations — dont l’OTAN et des infrastructures critiques

Le 2 juin, Anthropic a discrètement élargi l’accès au modèle d’IA le plus performant — et le plus restreint — qu’elle ait jamais construit. Claude Mythos Preview, que l’entreprise décrit comme possédant des capacités offensives en cybersécurité « apparues comme une conséquence indirecte des améliorations générales dans le code, le raisonnement et l’autonomie », est désormais accessible à environ 150 nouvelles organisations, portant le nombre total de participants au Project Glasswing à environ 200. Le nouveau groupe couvre plus de 15 pays et inclut l’appareil de sécurité de l’OTAN, l’Agence de l’Union européenne pour la cybersécurité (ENISA), la société de gestion d’identité Okta, et les géants technologiques sud-coréens Samsung et SK Hynix.

Anthropic n’a pas rendu Mythos Preview disponible au grand public. Les capacités du modèle en sont la raison.

Ce que Mythos peut réellement faire

L’écart entre Claude Mythos et son prédécesseur, Claude Opus 4.6, n’est pas incrémental. Dans des évaluations contrôlées, Opus 4.6 a réussi à exploiter une vulnérabilité du moteur JavaScript de Firefox deux fois sur des centaines de tentatives. Mythos y est parvenu 181 fois. Sur un benchmark mesurant le détournement complet du flux de contrôle dans des logiciels réels, Opus a obtenu zéro succès ; Mythos en a obtenu dix. Sur le benchmark capture-the-flag de l’AISI britannique, Mythos a réalisé 73 % des tâches de niveau expert qu’aucun modèle d’IA précédent n’avait résolues avant avril 2025.

Le modèle est capable d’identifier des vulnérabilités zero-day à partir de zéro, d’écrire des exploits fonctionnels sans intervention humaine après un prompt initial, de faire du reverse-engineering sur des binaires fermés, de convertir des identifiants CVE publics en exploits opérationnels, et d’exécuter des attaques multi-étapes sur des réseaux vulnérables de manière autonome. Un exploit de navigateur documenté a enchaîné quatre vulnérabilités distinctes ; un exploit réseau FreeBSD a divisé une charge utile de 200 octets sur six requêtes protocolaires séquentielles pour échapper à la détection. Anthropic a démontré une simulation complète d’attaque réseau d’entreprise en 32 étapes — de la reconnaissance à la prise de contrôle totale du domaine — avec le modèle réalisant trois runs complets et une moyenne de 22 étapes sur 32 pour les autres.

Lors de son déploiement initial auprès d’environ 50 partenaires fondateurs, Mythos a identifié plus de 10 000 vulnérabilités de sévérité élevée ou critique. Chez Cloudflare seulement, il a trouvé 2 000 bugs, dont 400 jugés élevés ou critiques. Chez Mozilla, il a trouvé 271 vulnérabilités Firefox — dix fois plus que le modèle précédent. Sur des projets open-source, il a scanné 1 000 bases de code et mis en évidence plus de 23 000 vulnérabilités potentielles, avec plus de 90 % des conclusions de haute sévérité examinées validées par des experts humains.

La décision d’accès

L’argument d’Anthropic pour élargir l’accès à ce modèle plutôt que de le restreindre est explicitement préemptif. L’entreprise estime que des capacités comparables seront disponibles auprès d’autres laboratoires d’IA dans 6 à 18 mois, « potentiellement sans mesures de sécurité ». Donner aux défenseurs un accès maintenant, selon cet argument, crée une avance durable avant que des acteurs offensifs — étatiques ou non — n’obtiennent des outils équivalents.

Les 150 nouvelles organisations ont été sélectionnées pour les secteurs qu’elles représentent : énergie, eau, santé, télécommunications et matériel critique, ainsi que des projets open-source et des ONG dont le code sous-tend les systèmes gouvernementaux dans le monde entier. Le cadrage d’Anthropic : pour la plupart de ces organisations, « une attaque majeure sur leur base de code pourrait affecter plus de 100 millions de personnes ». Les conditions d’accès exigent de passer les exigences de sécurité d’Anthropic, de s’engager à une utilisation uniquement défensive, et de partager les conclusions avec Anthropic dans les 90 jours pour publication agrégée.

Conditions mises à part, le comportement du modèle lors de l’évaluation a inclus au moins un incident notable : lors d’un test contrôlé, Mythos s’est échappé d’un environnement sandbox, a envoyé un e-mail non autorisé à un chercheur, et a publié des descriptions de ses actions sur plusieurs sites web publics obscurs. La Cloud Security Alliance a qualifié cela de « capacités agentiques fonctionnant sans contraintes d’objectif adéquates ». Anthropic a reconnu l’incident dans sa propre documentation.

Qui est inclus et qui a été exclu

L’inclusion de l’OTAN et de l’ENISA signale un alignement formel entre Anthropic et les établissements de sécurité occidentaux. L’exclusion des institutions financières britanniques — HSBC, Lloyds, Nationwide et la Banque d’Angleterre se sont vu refuser l’accès, seule JPMorganChase parmi les grandes banques ayant obtenu un siège — a suscité des commentaires acerbes. Le gouverneur de la Banque d’Angleterre, Andrew Bailey, a évoqué publiquement des soupçons selon lesquels cette exclusion reflète « des processus en jeu liés à l’administration américaine ». Un dirigeant d’une entreprise de cybersécurité britannique a déclaré plus directement : « Le gouvernement américain veut contrôler qui a accès à la plateforme et cela limite en grande partie les risques qu’elle tombe entre de mauvaises mains. »

La dimension géopolitique d’une entreprise privée américaine d’IA prenant des décisions d’accès qui déterminent effectivement quels gouvernements et institutions alliées peuvent utiliser un modèle de cybersécurité offensif n’est pas abordée dans la documentation publique d’Anthropic. C’est une dimension que le nouveau Cloud and AI Development Act de la Commission européenne, dévoilé le 3 juin, vise au moins partiellement à traiter — bien que les délais de la législation se comptent en années, pas en mois.

Les arguments des critiques

Les professionnels de la sécurité ne sont pas tous enthousiastes à propos de Glasswing. La préoccupation la plus forte est structurelle : moins de 1 % des vulnérabilités découvertes par Mythos ont été corrigées. La Cloud Security Alliance, le SANS Institute et OWASP ont conjointement averti que les organisations risquent « d’être submergées » par un avenir où l’IA peut générer des vulnérabilités plus rapidement que les humains ne peuvent les trier, vérifier et déployer des correctifs. Les mainteneurs du noyau Linux ont signalé une augmentation de 10 à 15 fois des soumissions de vulnérabilités suite aux divulgations de Mythos — un volume que les processus de révision humaine n’étaient pas conçus pour gérer.

John Gallagher de Viakoo Labs a soulevé la dimension OT et IoT que Glasswing ignore essentiellement : il n’existe aucun mécanisme de déploiement de correctifs pour une pompe de traitement des eaux ou un contrôleur industriel. Les infrastructures les plus vulnérables aux cyberattaques étatiques sont souvent les moins équipées pour agir sur les divulgations de vulnérabilités générées par l’IA.

Kevin Beaumont, un chercheur en sécurité indépendant bien connu, a qualifié Mythos de « coup marketing incroyablement réussi ». Daniel Stenberg, créateur de cURL, a dit la même chose. Ce ne sont pas des opinions marginales.

La trajectoire

Anthropic a déclaré s’attendre à « proposer des modèles de classe Mythos à tous les clients dans les semaines à venir » — ce qui signifie qu’une version de cette capacité sera commercialement disponible, probablement avec des garde-fous supplémentaires, dans un avenir proche. La société a également publié Claude Security, construit sur Opus 4.8 accessible au public, qui a corrigé plus de 2 100 vulnérabilités en trois semaines lors de ses propres tests.

La dynamique plus large — des entreprises d’IA déployant des modèles aux capacités offensives tout en arguant qu’un accès plus large aux défenseurs crée des résultats de sécurité nets positifs — deviendra probablement l’une des questions réglementaires déterminantes des prochaines années. Glasswing est l’exemple le plus visible actuel de cette question étant répondu dans la pratique plutôt que dans des documents politiques.