Depuis quelques jours, une IA parcourt les bases de code des plus grandes infrastructures critiques mondiales à la recherche de failles que les meilleurs ingénieurs en sécurité n'ont jamais vues. Elle s'appelle Claude Mythos, elle est développée par Anthropic, et ses premiers résultats font froid dans le dos : plus de 23 000 vulnérabilités potentielles découvertes, dont certaines dormaient dans des systèmes utilisés par des milliards de personnes depuis plus de 27 ans. ## Qu'est-ce que Claude Mythos et pourquoi son niveau de compétence inquiète-t-il les experts ? Claude Mythos Preview est un modèle frontier encore non commercialisé par Anthropic, spécifiquement conçu pour exceller dans des tâches à haute densité de raisonnement, et en particulier la détection, l'analyse et l'exploitation de failles logicielles. Il ne s'agit pas d'une amélioration incrémentale de Claude Opus, mais d'une rupture de génération dont les chiffres témoignent de manière saisissante : là où Claude Opus 4.6 réussissait 2 exploits JavaScript en plusieurs centaines de tentatives, Mythos Preview en réalise 181, soit un bond de performance supérieur à 9 000 %. Le modèle ne se contente pas de signaler des bugs dans un rapport statique, il est capable de développer des exploits fonctionnels de manière entièrement autonome, en enchaînant plusieurs vulnérabilités pour contourner des mécanismes de sécurité en couches, ce qui reproduit avec précision les méthodes des attaquants les plus sophistiqués, y compris ceux de niveau étatique. Anthropic a documenté sa capacité à écrire seul, en quelques heures, un exploit complet pour FreeBSD impliquant une chaîne ROP de 6 paquets réseau, une réalisation que peu d'ingénieurs en sécurité humains pourraient accomplir en moins d'une semaine. Dans un autre cas, le modèle a combiné quatre vulnérabilités distinctes pour s'échapper d'une sandbox JIT de navigateur et accéder au noyau du système d'exploitation hôte, une technique multi-étapes que les équipes red team humaines considèrent comme une prouesse rare. C'est précisément cette puissance qui a conduit Anthropic à ne pas le rendre accessible au grand public sans garde-fous renforcés. Dans le cadre de Project Glasswing, son programme de cybersécurité collaborative, l'entreprise a déployé Mythos auprès de 150 nouvelles organisations dans 15 pays, dont l'OTAN, l'agence européenne de cybersécurité ENISA, Samsung, SK Hynix, SK Telecom et Okta. Ces partenaires opèrent des infrastructures critiques dans les secteurs de l'énergie, de l'eau, de la santé et des télécommunications, secteurs dont la compromission pourrait impacter des centaines de millions de personnes. ## Quelles failles concrètes Mythos a-t-il trouvées, et pour quel investissement ? Les résultats de Project Glasswing dépassent ce que les experts de la sécurité anticipaient. Plus de 23 000 vulnérabilités potentielles ont été identifiées dans les bases de code des partenaires, dont Anthropic estime que plus de 6 000 seront confirmées comme critiques, une surface d'attaque considérable qui existait silencieusement avant l'intervention de l'IA. | Faille découverte | Système ciblé | Ancienneté | Gravité | |---|---|---|---| | Vulnérabilité TCP SACK | OpenBSD | 27 ans | Déni de service distant | | Codec H.264 out-of-bounds write | FFmpeg | 16 ans | Exécution de code arbitraire | | Remote code execution NFS | FreeBSD (CVE-2026-4747) | 17 ans | Prise de contrôle complète | | Guest-to-host memory corruption | VMM (machine virtuelle) | Récent | Évasion de sandbox | | Chaîne de 4 bugs combinés | Navigateurs (JIT sandbox) | Variable | Accès noyau OS | Ce qui rend ces découvertes particulièrement troublantes, c'est leur ancienneté. Le bug le plus vieux identifié dormait dans l'implémentation TCP SACK d'OpenBSD depuis 27 ans, présent dans un code stable qui avait passé des centaines d'audits humains sans être détecté. Sur le plan économique, l'argument est tout aussi frappant : il faut environ 10 000 à 20 000 dollars en coûts de calcul pour que Mythos effectue des centaines de tentatives et identifie plusieurs dizaines de vulnérabilités critiques dans un système complexe comme OpenBSD ou FFmpeg. Pour comparaison, une équipe de pentesters humains spécialisés facture généralement entre 50 000 et 150 000 euros pour une mission équivalente, avec des résultats nécessairement limités par le temps humain disponible. ## Pourquoi cette initiative redéfinit-elle les règles de la cybersécurité pour les entreprises ? L'enjeu dépasse largement la simple détection de bugs dans des projets open source. Ce que démontre Project Glasswing, c'est qu'une IA agentique peut désormais simuler le niveau de compétence d'un attaquant de niveau étatique, écrire des patches, reconvertir du code vers des langages memory-safe comme Rust, et mener des tests de pénétration continus à un coût marginal. Pour les 150 organisations partenaires, dont Anthropic estime que la compromission toucherait collectivement plus de 100 millions de personnes, ce n'est plus une expérimentation de laboratoire. > "Pour la plupart de nos partenaires, nous estimons qu'une attaque majeure pourrait affecter plus de 100 millions de personnes, avec d'importantes répercussions sur la sécurité nationale et internationale." > — Anthropic, blog Project Glasswing  Anthropic prévoit de mettre des capacités comparables à disposition de tous ses clients dans les prochaines semaines, avec des protocoles conçus pour prévenir les usages malveillants. Cela signifie concrètement que des équipes IT, des développeurs indépendants ou des PME pourront bientôt intégrer ce niveau d'analyse de sécurité dans leurs propres workflows automatisés. Pour les professionnels qui souhaitent comprendre comment des agents IA autonomes s'intègrent dans des pipelines opérationnels réels, qu'il s'agisse d'audit de code, de surveillance continue ou d'automatisation de processus métier, la formation [Automatiser ses workflows et créer des agents IA](https://www.travelearn.fr/formation/automatiser-ses-workflows-et-crer-des-agents-ia) offre un cadre pratique pour passer de la théorie à l'action. --- **Sources** - [Anthropic scales Claude Mythos to critical infrastructure in 15+ countries](https://techcrunch.com/2026/06/02/anthropic-scales-claude-mythos-to-critical-infrastructure-in-15-countries/) — TechCrunch, 2 juin 2026 - [Anthropic Expanding Mythos Access to 150 New Organizations](https://www.securityweek.com/anthropic-expanding-mythos-access-to-150-new-organizations/) — SecurityWeek, 2 juin 2026 - [Claude Mythos Preview](https://red.anthropic.com/2026/mythos-preview/) — red.anthropic.com - [Project Glasswing](https://www.anthropic.com/glasswing) — Anthropic