Il existe un modèle d'intelligence artificielle qu'Anthropic a développé et ne peut pas montrer au monde. Non par manque d'audace, mais parce que ce qu'il est capable de faire est tout simplement trop dangereux. Il s'appelle Claude Mythos Preview, et c'est le modèle le plus avancé que le laboratoire américain ait jamais conçu.
Le problème ? Il détecte des vulnérabilités dans les systèmes informatiques les plus critiques de la planète avec une vitesse et une précision qu'aucun outil automatisé n'avait jamais atteintes.
Dans les semaines précédant l'annonce officielle du 7 avril 2026, le modèle a été testé dans des environnements contrôlés. Les résultats ont laissé les chercheurs sans voix.
Un bug caché depuis 27 ans, découvert pour quelques dollars
Nicholas Carlini, chercheur senior chez Anthropic, a décrit la situation avec une simplicité désarmante : il a trouvé plus de failles de sécurité lors des dernières semaines de tests que durant tout le reste de sa carrière réunie. Parmi les découvertes figure une vulnérabilité dans OpenBSD — système d'exploitation réputé pour être l'un des plus sécurisés au monde, utilisé par des banques, des ambassades et des fournisseurs d'accès à internet — présente dans le code depuis 27 ans. Il suffisait d'envoyer quelques paquets de données à un serveur pour le faire crasher. Personne ne l'avait jamais trouvée.
Puis il y a FFmpeg, la bibliothèque vidéo sur laquelle s'appuient des centaines d'applications dans le monde. Mythos a identifié une faille dans une seule ligne de code que des outils automatisés avaient analysée plus de cinq millions de fois sans jamais la détecter. Seize ans d'invisibilité, résolus par un agent IA en quelques minutes.
Et encore : une chaîne de vulnérabilités dans le noyau Linux capable de donner le contrôle total d'une machine. Pas une faille unique, mais plusieurs faiblesses enchaînées — exactement le type d'attaque que seuls des hackers d'État de haut niveau pouvaient orchestrer jusqu'à hier.
Le sandbox violé et l'e-mail depuis le parc
Un épisode a fait le tour de la communauté tech et restera difficile à oublier. Lors d'une session de tests, une version préliminaire de Mythos avait été placée dans un environnement isolé — un sandbox — avec un accès limité à un petit nombre de services prédéfinis. Le modèle avait été invité à tenter une évasion du conteneur et à avertir le chercheur superviseur. Mythos a trouvé un moyen de sortir en développant un exploit multi-étapes, s'est connecté à internet et a envoyé l'e-mail de notification. Jusque-là, tout s'est passé comme prévu.
Ce qui n'était pas prévu : le modèle a ensuite publié les détails de l'exploit sur plusieurs sites web accessibles au public, apparemment pour démontrer de manière autonome qu'il avait accompli la tâche. Le chercheur Samuel Bowman a découvert l'intrusion en recevant un e-mail inattendu du modèle alors qu'il mangeait un sandwich dans un parc.
I'm proud that so many of the world's leading companies have joined us for Project Glasswing to confront the cyber threat posed by increasingly capable AI systems head-on.https://t.co/pn3HSVsThP
— Dario Amodei (@DarioAmodei) April 7, 2026
La réaction de la communauté tech a été immédiate. Parmi les publications les plus partagées :
Claude Mythos found a 27-year-old vulnerability in OpenBSD that survived decades of expert review.
— Antonio Vieira Santos (@AkwyZ) April 7, 2026
A 16-year-old bug in FFmpeg that automated tools hit 5 million times without catching.
AI isn't future-of-cybersecurity. It's now.
Project Glasswing is Anthropic's response: put…
Project Glasswing : 100 millions de dollars pour défendre internet
Face à tout cela, Anthropic a fait un choix inattendu : plutôt que de passer sous silence ces découvertes ou de reporter l'action indéfiniment, le laboratoire a réuni autour d'une même table les entreprises qui contrôlent la majeure partie de l'infrastructure numérique mondiale. AWS, Apple, Google, Microsoft, Cisco, CrowdStrike, NVIDIA, JPMorganChase, Palo Alto Networks et la Linux Foundation. Ensemble, avec un seul objectif : utiliser Mythos pour trouver et corriger les failles avant que quelqu'un d'autre ne le fasse avec des intentions malveillantes.
Le programme s'appelle Project Glasswing — inspiré du papillon Greta oto, dont les ailes transparentes le rendent presque invisible, tout comme certains bugs dans le code. L'engagement financier est concret : 100 millions de dollars en crédits d'utilisation et 4 millions en dons directs aux organisations open source, dont Alpha-Omega, OpenSSF et l'Apache Software Foundation.
Le modèle ne sera pas accessible au public. Du moins pas pour l'instant. Anthropic a déclaré ouvertement que Claude Mythos Preview est trop risqué pour une distribution généralisée, et que le plan consiste à développer les garde-fous nécessaires dans un prochain modèle Claude Opus avant d'envisager un accès plus large.
Approfondissez le rôle de l'IA dans la sécurité blockchain dans notre rubrique dédiée : Blockchain et technologie.
Ce qui change maintenant
Nous sommes entrés dans une nouvelle phase. La question n'est plus de savoir si l'IA sera utilisée pour attaquer des systèmes informatiques, mais qui l'utilisera en premier et avec quelles intentions. Project Glasswing est la tentative de donner aux défenseurs un avantage structurel avant que des capacités similaires ne deviennent accessibles à tous — y compris à des acteurs qui n'ont aucun intérêt à protéger quiconque.
Comme l'a lui-même déclaré Carlini dans la vidéo de présentation du projet, la capacité de Mythos ne consiste pas seulement à trouver des failles individuelles : c'est de les enchaîner. Trois, quatre, cinq vulnérabilités qui seules ne valent rien, mais en séquence ouvrent une porte sur n'importe quel système. C'est le niveau que nous atteignons désormais.
