Temps de lecture : 3 min
Ce qui compte vraiment
- Capacité : Claude Mythos Preview détecte des milliers de vulnérabilités zero-day en quelques heures, surpassant largement les modèles publics.
- Risque : Anthropic juge le modèle trop dangereux pour un accès public, craignant un usage offensif massif.
- Accès : Seulement une cinquantaine d’organisations via Project Glasswing peuvent y accéder, avec un budget de 100M$ en crédits.
Claude Mythos Preview : Quand l’IA réécrit le jeu de la cybersécurité
Passons au concret. En avril 2026, Anthropic dévoile Claude Mythos Preview. Pas un gadget. Une infrastructure d’exécution qui détecte des milliers de failles zero-day en quelques heures. Sur le terrain, ça change tout.
Le modèle n’a même pas été spécifiquement entraîné pour la cybersécurité. Ses performances découlent de progrès généraux en raisonnement et en codage agentique. En pratique, sur SWE-bench Verified, il obtient 93,9% contre 80,8% pour Claude Opus 4.6.
Mais c’est sur CyberGym que l’écart devient structurel. 83,1% contre 66,6%. Sur Cybench, un score de 100%. Anthropic considère même le test comme obsolète pour cette génération de modèles.
L’EV de cette décision : pourquoi Anthropic bloque l’accès public
Sans langue de bois. Fin mars 2026, une fuite interne révèle le projet, alors baptisé « Capybara ». Le document décrit un modèle capable de prouesses en détection de vulnérabilités. La crainte ? Une arme au profit d’acteurs malveillants.
Décortiquons la structure. Le modèle a identifié, de façon autonome :
- Un bug vieux de 27 ans dans OpenBSD
- Une faille de 16 ans dans FFmpeg, dans une ligne de code traversée cinq millions de fois
- Plusieurs vulnérabilités du noyau Linux pour escalader des privilèges
- 112 bugs dans Firefox, dont 14 critiques
Selon Sylvestre Ledru de Mozilla, c’est « un tournant dans la sécurité informatique comme on n’en a jamais vu ». La variance, ça se gère. Mais ici, le risque systémique est trop élevé.
Project Glasswing : La réponse défensive structurée
Chez ZoneMentale, on analyse toujours l’EV d’une décision. Anthropic fait de même. Résultat : Project Glasswing. Un accès restreint à une cinquantaine d’organisations chargées de sécuriser les infrastructures critiques.
Parmi les partenaires : AWS, Apple, Microsoft, Google, CrowdStrike, NVIDIA, la Linux Foundation. Anthropic s’engage à hauteur de 100 millions de dollars en crédits d’utilisation, plus 4 millions de dons directs à la sécurité open source.
La stratégie est claire : déployer d’abord chez les défenseurs, avant que des capacités comparables ne se répandent. Si c’est complexe, c’est que c’est mal réglé. Ici, la règle est simple : contrôle strict, impact maximal.
Ce qui vient après : garde-fous et déploiement contrôlé
Anthropic ne rendra pas Mythos Preview public. Pas avant des garde-fous robustes. L’entreprise travaille sur des mesures de cybersécurité capables de détecter et bloquer les sorties les plus dangereuses.
En pratique, ils prévoient de lancer ces protections avec un prochain modèle Claude Opus. Moins risqué. Permettant d’affiner les systèmes avant un déploiement plus large.
Les discussions avec le gouvernement américain continuent. Sur les capacités cybernétiques offensives et défensives. Sur le terrain, c’est la nouvelle frontière. Et comme toujours, les premiers à maîtriser l’infrastructure contrôlent le jeu.