Gouvernance
Mythos, un mois après : Anthropic fait un point d’étape
Par Laurent Delattre, publié le 27 mai 2026
En trente jours, Claude Mythos Preview a découvert plus de failles que certains écosystèmes n’en corrigent en un an. Le premier bilan d’Anthropic révèle une vérité brutale : l’IA a industrialisé la découverte de vulnérabilités, mais la chaîne cyber – mainteneurs, éditeurs, hyperscalers, DSI – reste calibrée pour un monde où les failles étaient rares. Le choc ne fait que commencer.
Il y a un mois, Anthropic lançait Project Glasswing. Cette initiative réunit notamment AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks autour d’un objectif défensif : utiliser son modèle frontière prototype « Claude Mythos Preview » pour sécuriser les logiciels les plus critiques avant que des modèles aussi puissants ne tombent entre de mauvaises mains.
Mythos Preview n’est pas un modèle public (même si l’éditeur planche sur une version « 1.0 » destinée à un public plus large). Anthropic le décrit comme un modèle frontière généraliste, non publié, capable de dépasser presque tous les humains dans la détection et l’exploitation de vulnérabilités logicielles. Avant même son annonce, le modèle avait déjà découvert des milliers de failles de sévérité élevée, y compris dans de grands systèmes d’exploitation, navigateurs et composants logiciels essentiels.
Avec Mythos et Project Glasswing, Anthropic n’a pas seulement démontré qu’un LLM pouvait découvrir des failles critiques à grande échelle et même dépasser les capacités des meilleurs experts cyber. L’éditeur a surtout révélé une faiblesse plus profonde qui préoccupe toute l’industrie logicielle tout en inquiétant les DSI : la chaîne cyber (éditeurs, hyperscalers, open source, RSSI, DSI) n’est pas dimensionnée pour absorber une découverte de vulnérabilités à la vitesse de l’IA.
Et le traumatisme a été immédiat. Car Mythos/Glasswing vient casser un dogme historique de la cybersécurité : trouver les failles de l’univers numérique est censé être un sport de haute volée, un travail d’experts. Et tout l’écosystème digital s’est construit sur cette difficulté qui engendrait mécaniquement une rareté : programmes de divulgation coordonnée, fenêtres de 90 jours, tri manuel, cycles de patchs mensuels, dépendance à quelques chercheurs très qualifiés. Tout notre univers numérique vit au rythme de failles rares car difficiles à trouver.
Or Mythos inverse cette logique. Quand la découverte s’industrialise, le goulet d’étranglement se déplace vers la validation, la priorisation, la correction et le déploiement.
De nouveaux chiffres qui font peur
Un mois après la naissance du projet Glasswing, Anthropic publie un premier point d’étape pour faire une sorte de premier bilan et donner quelques idées de l’impact réel de Mythos Preview sur l’écosystème informatique.
En un mois, cinquante partenaires « Glasswing » auraient utilisé Mythos Preview pour découvrir plus de 10 000 vulnérabilités élevées ou critiques. Cloudflare revendique 2 000 bugs, dont 400 élevés ou critiques, avec moins de faux positifs que des tests humains. Mozilla aurait corrigé 271 vulnérabilités dans Firefox 150, soit plus de dix fois le score obtenu avec Claude Opus 4.6 sur Firefox 148.
Le bloc le plus explosif de ce premier rapport d’étape concerne sans surprise l’open source :
Dans son update, l’entreprise indique avoir scanné plus de 1 000 projets open source avec Mythos Preview. Le modèle y a identifié 23 019 vulnérabilités potentielles, dont 6 202 classées initialement comme élevées ou critiques. Sur ces 6 202, 1 752 ont déjà été examinées par six sociétés indépendantes de recherche en sécurité ou, dans quelques cas, par Anthropic. Résultat : 90,6 % ont été confirmées comme de vrais positifs, et 62,4 % ont été confirmées comme réellement élevées ou critiques.
En appliquant aux résultats open source déjà obtenus le taux de confirmation observé après triage, Anthropic estime que Mythos Preview est en passe de faire émerger près de 3 900 vulnérabilités élevées ou critiques dans le seul domaine open source. Ce chiffre ne correspond pas à des CVE déjà toutes publiées ni à des failles déjà toutes corrigées : il s’agit d’une projection fondée sur 6 202 vulnérabilités initialement classées élevées ou critiques, dont un échantillon de 1 752 a été vérifié. Mais il est distinct du bilan des partenaires Glasswing et illustre l’ampleur du choc opérationnel à venir pour les mainteneurs.
L’écosystème ne suit plus
Un autre chiffre significatif bien mettre en lumière toute la transformation qui doit rapidement s’opérer : une remédiation capable de suivre le rythme des découvertes. Et force est de constater qu’on en est très loin.
Sur les 530 vulnérabilités élevées ou critiques déjà signalées aux mainteneurs open source, seules 75 étaient corrigées au moment du rapport, et 65 avaient donné lieu à un avis public. Plusieurs mainteneurs ont demandé à Anthropic de ralentir le rythme des divulgations, faute de capacité opérationnelle.
La faille Heartbleed avait révélé en 2014 qu’une bibliothèque critique pouvait avoir des conséquences mondiales majeures. Mythos nous promet déjà un stress test continu, automatisé, portant sur des milliers de projets simultanément.
« Désormais, le progrès est limité par la vitesse à laquelle nous pouvons vérifier, divulguer et corriger le grand nombre de vulnérabilités découvertes par l’IA » écrivent les rapporteurs d’Anthropic.
Reproduire une faille, confirmer son exploitabilité, identifier les versions affectées, écrire un correctif, le tester, éviter les régressions, publier un avis, déployer puis convaincre les clients d’installer la mise à jour : à chaque étape, l’humain reste le facteur lent, le goulot d’étranglement.
Ce que cela implique pour les DSI
Une réalité par ailleurs confirmée et amplifiée par les projets concurrents. OpenAI a structuré Daybreak autour de GPT-5.5, GPT-5.5-Cyber et Codex Security, avec un accès gradué réservé aux défenseurs vérifiés. En combinant GPT-5.5-Cyber et Claude Mythos Preview, Palo Alto Networks a trouvé 75 vulnérabilités légitimes sur plus de 130 produits en un mois, soit plus de 7 fois son rythme habituel, avec des exploits fonctionnels générés dans plus de 70 % des cas lors de tests internes et un taux moyen de faux positifs autour de 30 %.
Autre concurrent, Microsoft a présenté MDASH, son harnais agentique orchestrant plus de cent agents spécialisés Cyber. Utilisé pour préparer le Patch Tuesday de mai 2026, cet outil a identifié seize failles dans Windows dont quatre RCE critiques et obtient 88,45 % sur le benchmark CyberGym.
Pour les DSI, ces nouveaux modèles Cyber-spécialistes imposent de revoir toute la gouvernance du risque logiciel. L’inventaire applicatif, la cartographie des dépendances, les SBOM et les engagements contractuels des éditeurs deviennent des mécanismes de survie opérationnelle. Une entreprise ne pourra plus se satisfaire d’un engagement vague sur la sécurité. Elle devra exiger des délais de correction, des preuves de validation, des avis exploitables et une transparence sur l’usage de l’IA dans le cycle de développement.
Les équipes cyber devront également changer de focale. La priorité ne sera plus de détecter davantage mais de fermer plus vite, en reliant la gestion des vulnérabilités à l’exposition réelle, à l’identité, à la configuration et aux données métier. Une CVE critique sur un composant non exposé n’a pas la même priorité qu’une faille élevée sur un service Internet connecté à des données sensibles.
Mythos-Glasswing, Daybreak et MDASH racontent au final une même histoire : la cybersécurité entre dans l’âge du débit. Débit de découverte, de validation, de correction, de déploiement. Les gagnants ne seront pas ceux qui afficheront le plus grand nombre de vulnérabilités détectées, mais ceux qui sauront transformer rapidement une découverte IA en correctif vérifié, déployé et observé… avant que l’attaquant n’en fasse une arme.
À LIRE AUSSI :
À LIRE AUSSI :
À LIRE AUSSI :
