Le 7 avril 2026, Anthropic a présenté Claude Mythos Preview, son modèle le plus puissant à ce jour, et a pris une décision sans précédent dans l'industrie : ne pas le rendre accessible au grand public. Cette stratégie rompt radicalement avec la course aux lancements spectaculaires qui oppose habituellement OpenAI, Google et xAI à chaque nouvelle sortie. La raison est à la fois simple et vertigineuse : Mythos est capable d'identifier et d'exploiter des failles de sécurité critiques de façon entièrement autonome, sans aucune intervention humaine après la requête initiale. Pour la première fois dans l'histoire des grands modèles de langage, un système d'IA franchit une ligne que les experts en cybersécurité redoutaient depuis des années. Anthropic a préféré contrôler rigoureusement l'accès plutôt que de répéter le modèle de diffusion ouverte qui a prévalu jusqu'ici dans l'industrie. ## Pourquoi Anthropic refuse-t-il de publier Claude Mythos ? La décision repose sur une évaluation indépendante conduite par l'AI Security Institute britannique (AISI) et le Centre national de cybersécurité (NCSC), publiée simultanément à l'annonce d'Anthropic. Contrairement aux améliorations marginales observées entre les générations précédentes de Claude, Mythos représente ce que les chercheurs qualifient de "changement de palier" dans les capacités offensives d'un grand modèle de langage. Le modèle a identifié de façon entièrement autonome un bug vieux de 27 ans dans le système d'exploitation OpenBSD et une vulnérabilité de 16 ans dans la bibliothèque FFmpeg, deux failles qui avaient résisté à des années d'audit manuel intensif et à tous les outils d'analyse automatisée disponibles. Il a également généré 181 exploits fonctionnels ciblant Firefox lors de tests comparatifs contrôlés, là où son prédécesseur direct, Claude Opus 4.6, n'en avait produit que 2 dans des conditions identiques. Ces résultats ne traduisent pas une progression quantitative dans la continuité de l'existant, mais un saut qualitatif que les grilles d'évaluation habituelles de l'industrie n'avaient pas anticipé. Pour éviter que ces capacités ne tombent entre de mauvaises mains, Anthropic a lancé le projet Glasswing en parallèle de l'annonce, une initiative de cybersécurité défensive qui donne accès à Mythos Preview à un réseau restreint et sélectionné d'organisations triées sur le volet. Les partenaires fondateurs incluent AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. L'accès se fait sur invitation uniquement, sans aucune possibilité d'inscription libre, et s'accompagne d'une dotation de 100 millions de dollars en crédits d'utilisation et de 4 millions de dollars en dons à des projets de sécurité open source. Plus de 40 organisations supplémentaires ont rejoint le programme depuis son lancement, portant la communauté des défenseurs autorisés à plusieurs dizaines d'équipes de sécurité. L'objectif est de donner aux équipes défensives un temps d'avance suffisant pour patcher les systèmes critiques avant que des modèles aux capacités comparables ne deviennent accessibles à tous, légalement ou non. ## Que peut concrètement faire Mythos face à une infrastructure réelle ? Pour mesurer ce que représente Mythos en conditions réelles, les évaluations de l'AISI s'appuient sur plusieurs scénarios d'attaque reproduisant fidèlement les méthodes des groupes APT (Advanced Persistent Threat) les plus avancés. Le test le plus révélateur est "The Last Ones" (TLO), une simulation d'attaque en 32 étapes enchaînées sur un réseau d'entreprise complexe, conçue pour qu'aucun modèle ne puisse la terminer de bout en bout. Mythos est le premier modèle à l'avoir résolue intégralement, dans 3 des 10 tentatives effectuées, et à avoir parcouru en moyenne 22 des 32 étapes dans les autres essais. Un expert humain expérimenté aurait besoin d'environ 20 heures pour reproduire manuellement la même séquence d'actions. Sur les exercices de capture-the-flag (CTF) de niveau expert, test standard de la communauté cybersécurité, le taux de réussite passe de moins de 20% pour Opus 4.6 à 73% pour Mythos Preview. | Métrique | Claude Opus 4.6 | Claude Mythos Preview | |---|---|---| | Réussite CTF niveau expert | ~20% | 73% | | Scénario TLO terminé (10 essais) | 0/10 | 3/10 | | Étapes moyennes complétées (TLO) | 8/32 | 22/32 | | Exploits Firefox générés | 2 | 181 | | Score CyberGym (reproduction vulnérabilités) | 66,6% | 83,1% |  Ces performances ne signifient pas que Mythos rend obsolètes les équipes de sécurité humaines, mais qu'il peut désormais reproduire en quelques minutes des enchaînements d'actions que seuls des profils très spécialisés maîtrisaient jusqu'ici. L'autre dimension préoccupante est l'échelle : là où un expert humain est limité par son temps et son énergie, un modèle comme Mythos peut analyser des milliers de systèmes en parallèle, sans relâche. C'est précisément cette capacité de passage à l'échelle qui justifie la prudence d'Anthropic sur l'accès, et qui transforme la cybersécurité en course où les défenseurs doivent s'équiper en premier. La bonne nouvelle est que ce même passage à l'échelle profite autant à la défense qu'à l'attaque, ce que Project Glasswing cherche à démontrer concrètement. ## Project Glasswing : l'IA comme bouclier avant d'être une arme La question que posent naturellement les dirigeants et responsables IT en découvrant ces chiffres est celle-ci : si Mythos peut faire ça aujourd'hui dans un cadre contrôlé, que se passera-t-il lorsque des modèles aux capacités comparables seront accessibles en libre accès ou sur des marchés parallèles ? Cette interrogation n'est pas théorique, elle structure directement la stratégie de déploiement d'Anthropic depuis le début du projet Glasswing. L'entreprise reconnaît publiquement cette tension dans sa communication officielle, avec une clarté inhabituelle dans un secteur souvent plus porté sur l'enthousiasme que sur les mises en garde. La position adoptée est celle d'un acteur qui choisit la responsabilité sur la compétitivité, au risque d'offrir un avantage de notoriété à ses concurrents moins prudents. C'est un choix qui mérite d'être compris dans sa logique, indépendamment de ce que l'on pense de l'IA en général. > "Les mêmes capacités qui rendent les modèles d'IA dangereux entre de mauvaises mains les rendent inestimables pour trouver et corriger les failles des logiciels critiques." > — Anthropic, présentation Project Glasswing, avril 2026 La logique est celle de la fenêtre d'avance : utiliser Mythos dès maintenant pour patcher en priorité les vulnérabilités critiques, avant qu'un acteur malveillant ne dispose d'un outil équivalent. Le projet a déjà identifié des milliers de failles de sévérité critique ou élevée dans les principaux systèmes d'exploitation et navigateurs web, faisant l'objet de corrections coordonnées avec les équipes de sécurité concernées. Pour les professionnels qui cherchent à comprendre comment concevoir, déployer et superviser des agents IA autonomes dans des environnements sensibles ou métier, la formation [Automatiser ses workflows et créer des agents IA](https://www.travelearn.fr/formation/automatiser-ses-workflows-et-crer-des-agents-ia) donne les bases techniques et éthiques pour aborder cette réalité avec méthode. L'enjeu n'est plus de savoir si l'IA va transformer la cybersécurité et les pratiques professionnelles, mais de s'y préparer avant que la transformation ne devienne entièrement subie. --- **Sources** - [Claude Mythos Preview — red.anthropic.com](https://red.anthropic.com/2026/mythos-preview/) - [Project Glasswing — anthropic.com](https://www.anthropic.com/glasswing) - [Our evaluation of Claude Mythos Preview's cyber capabilities — AISI](https://www.aisi.gov.uk/blog/our-evaluation-of-claude-mythos-previews-cyber-capabilities) - [Too Dangerous to Deploy: Anthropic's Mythos and What Comes Next — Just Security](https://www.justsecurity.org/138011/too-dangerous-anthropic-mythos/) - [Anthropic's Mythos set off a cybersecurity 'hysteria' — CNBC](https://www.cnbc.com/2026/05/08/anthropic-mythos-ai-cybersecurity-banks.html)