Claude Mythos, le modèle d'Anthropic dédié à la cybersécurité, redessine les rapports de force numériques. Architecture, enjeux et controverses expliqués.
Claude MythosProject GlasswingAnthropicAI Securityvulnérabilités zero-day IA
Claude Mythos : le modèle d'IA qui bouleverse la cybersécurité mondiale
Note de transparence éditoriale : Claude Mythos est un modèle d'accès restreint, encore en évolution rapide au moment de la rédaction (juin 2026). Une grande partie de ses détails techniques internes (poids, architecture exacte, paramètres d'entraînement) n'est pas publiée par Anthropic. Cet article s'appuie strictement sur les informations rendues publiques par Anthropic, la presse spécialisée et des organismes tiers (UK AI Security Institute, TechCrunch, Wikipedia, Pluralsight). Là où l'information manque, l'article le signale explicitement plutôt que de spéculer.
L'intelligence artificielle générative a quitté depuis longtemps le simple rôle d'assistant conversationnel. En quelques années, les grands modèles de langage (LLM) sont devenus des agents capables de lire du code, de raisonner sur plusieurs étapes et d'agir de façon quasi autonome dans des environnements informatiques réels. Anthropic, l'un des principaux laboratoires d'IA au monde, s'est construit une réputation singulière : celle d'un acteur qui revendique une approche « IA responsable », tout en repoussant agressivement la frontière des capacités.
C'est dans ce contexte qu'est apparu Claude Mythos, un modèle présenté par Anthropic comme exceptionnellement performant en cybersécurité au point d'avoir, selon l'entreprise, identifié plus de dix mille vulnérabilités à haute ou critique sévérité dans des logiciels parmi les plus systémiquement importants du monde. Mythos n'est pas un produit grand public classique : c'est un modèle gardé sous contrôle strict, distribué via un programme nommé Project Glasswing, et dont l'accès a même été suspendu à un moment donné pour des raisons de contrôle à l'exportation.
Cet article propose une explication complète : qui est Anthropic, ce qu'est Claude Mythos, comment il fonctionne dans les grandes lignes, et surtout, ce que son existence révèle sur les enjeux de sécurité informatique à l'échelle d'Internet.
Anthropic est un laboratoire de recherche en intelligence artificielle fondé en 2021 par d'anciens membres d'OpenAI, dont Dario Amodei et Daniela Amodei, autour d'une thèse centrale : les modèles d'IA les plus puissants doivent être développés avec une discipline de sécurité au moins aussi rigoureuse que leur ambition de capacité. L'entreprise développe la famille de modèles Claude, structurée historiquement en trois niveaux : Haiku (rapide et économique), Sonnet (l'équilibre performance/coût) et Opus (le plus capable de la gamme standard).
Anthropic a popularisé le concept de Constitutional AI : une méthode d'entraînement où le modèle est guidé par un ensemble explicite de principes (une « constitution ») plutôt que par le seul jugement humain ponctuel. Cette méthode s'ajoute à des techniques plus classiques comme le RLHF (apprentissage par renforcement à partir de retours humains) et à des campagnes de red teaming, des équipes internes et externes chargées de tester activement les limites et failles du modèle avant sa mise à disposition.
À retenir : Anthropic ne se positionne pas seulement comme un fournisseur de modèles, mais comme un acteur qui tente d'anticiper les risques géopolitiques et sociétaux liés à la diffusion de capacités d'IA de pointe.
Claude Mythos est un modèle de langage développé par Anthropic, présenté comme un modèle généraliste mais dont la caractéristique la plus marquante est une capacité exceptionnelle à effectuer des tâches de cybersécurité complexes et multi-étapes : analyse de code, identification de vulnérabilités, et dans certains cas, production de preuves de concept d'exploitation (proof-of-concept).
Anthropic a expliqué que ces compétences en cybersécurité seraient en grande partie une conséquence indirecte de l'amélioration des capacités de codage et de raisonnement du modèle, plutôt qu'un objectif d'entraînement isolé.
Contrairement aux générations précédentes organisées en Haiku / Sonnet / Opus, Mythos introduit un niveau supplémentaire, positionné au-dessus d'Opus, avec des contrôles d'accès et des conditions de déploiement spécifiques. Ce n'est donc pas un modèle commercial classique mis en concurrence immédiate avec ChatGPT ou Gemini sur le marché de masse, mais un système à diffusion contrôlée.
Avec la sortie de la génération « 5 », Anthropic a distingué deux variantes :
Claude Mythos 5 : le modèle « complet », réservé à un nombre restreint de partenaires de cyberdéfense via Project Glasswing, sans certaines limitations de sécurité.
Claude Fable 5 : le même modèle sous-jacent, mais avec des garde-fous additionnels qui bloquent ses performances dans les domaines les plus sensibles (cybersécurité offensive, biologie) ; les requêtes concernées sont automatiquement redirigées vers un modèle moins risqué.
Bon à savoir : Fable 5 et Mythos 5 ont été proposés à un tarif d'environ 10 $ par million de tokens en entrée et 50 $ par million de tokens en sortie, un prix inférieur à celui de la version Preview initiale, mais qui reste très supérieur à celui des modèles grand public, signe d'un positionnement résolument professionnel.
Point de vigilance : les chiffres de performance cybersécurité communiqués par Anthropic n'ont pas tous été confirmés de façon indépendante. Le UK AI Security Institute, par exemple, a obtenu des résultats plus nuancés que ceux annoncés par Anthropic sur certaines tâches unitaires, tout en confirmant la supériorité de Mythos sur des scénarios d'infiltration multi-étapes complexes.
Comme l'ensemble de la famille Claude, Mythos repose sur l'architecture Transformer, l'épine dorsale de la quasi-totalité des grands modèles de langage actuels. Anthropic ne publie pas le détail exact de l'architecture interne de Mythos (nombre de paramètres, structure précise des couches), mais les principes généraux des LLM modernes s'appliquent :
Transformers : des réseaux de neurones qui traitent le texte (et d'autres modalités) en parallèle plutôt que séquentiellement, ce qui permet de capturer des dépendances à longue distance dans un texte ou un code.
Mécanisme d'attention : chaque portion du texte « regarde » les autres portions pour pondérer leur importance relative, c'est ce qui permet à un modèle de comprendre qu'une variable définie en haut d'un fichier de code est utilisée 200 lignes plus bas.
Raisonnement étendu : les modèles de la génération Mythos/Fable sont conçus pour travailler de façon autonome sur des tâches longues, en formulant des hypothèses, en les testant, puis en révisant leur approche, un comportement dit « agentique ».
Mémoire contextuelle : la capacité à conserver et exploiter de grandes quantités d'information (code source complet, historique d'une investigation) tout au long d'une tâche complexe.
Sécurité intégrée : des mécanismes de filtrage et de classification sont appliqués aux requêtes et aux réponses, en particulier pour les variantes comme Fable 5, où certains types de requêtes sont automatiquement redirigés vers un modèle aux capacités plus limitées.
Exemple concret : selon Anthropic, la méthode de test consiste à lancer un conteneur isolé contenant un projet logiciel, à demander à un agent Mythos de formuler des hypothèses de vulnérabilités, puis de les vérifier en exécutant réellement le code. Un cycle répété fichier par fichier, avec un classement préalable de priorité (de 1 « aucun risque » à 5 « zone critique comme l'authentification »).
Génération de messages frauduleux plus crédibles et personnalisés
Deepfakes
Contenus audio/vidéo falsifiés pour l'usurpation d'identité
Désinformation
Production massive de contenus trompeurs à bas coût
Automatisation des attaques
Recherche et exploitation de failles à grande échelle sans intervention humaine constante
Ces risques ne sont pas propres à Mythos, mais concernent l'ensemble des modèles avancés capables de générer du code ou du texte convaincant. La spécificité de Mythos est que ses capacités de recherche de vulnérabilités, si elles étaient détournées, pourraient accélérer la découverte d'exploits par des acteurs malveillants, c'est précisément la raison pour laquelle Anthropic en a restreint l'accès.
Point de vigilance : Anthropic a elle-même reconnu que Mythos n'a pas toujours produit d'exploit fonctionnel à partir des vulnérabilités identifiées, ce qui nuance le narratif d'une IA « capable de tout pirater ». Les capacités réelles, bien que significatives, restent débattues entre Anthropic et certains évaluateurs indépendants.
Concentration du pouvoir technologique : un nombre très restreint d'acteurs (Anthropic, OpenAI, Google, Meta) contrôle des capacités d'IA susceptibles d'avoir un impact disproportionné sur la sécurité mondiale, ce qui pose une question de gouvernance démocratique du risque.
Fuites de données : l'utilisation de modèles tiers pour analyser du code sensible ou des infrastructures critiques pose un risque structurel si les données ne sont pas correctement cloisonnées.
Vulnérabilités propres aux modèles : un LLM peut lui-même être la cible d'attaques, indépendamment des systèmes qu'il analyse.
Prompt injection : insertion de instructions malveillantes dans un contenu traité par le modèle (page web, document, code) afin de détourner son comportement.
Jailbreak : techniques visant à contourner les garde-fous de sécurité d'un modèle pour lui faire produire un contenu normalement bloqué.
Empoisonnement des données : altération volontaire des données d'entraînement pour biaiser ou corrompre le comportement d'un modèle.
Supply chain AI : risques liés à la chaîne de dépendances logicielles et de modèles (bibliothèques, modèles pré-entraînés, plugins) intégrée dans les systèmes d'IA.
États : plusieurs gouvernements ont exprimé des inquiétudes ou cherché un accès privilégié à Mythos. Selon des informations de presse, le Trésor américain aurait sollicité un accès, une rencontre aurait eu lieu entre la Maison Blanche et Anthropic, et des élus américains ont interpellé l'organe fédéral chargé de la politique de cybersécurité sur le sujet. Plusieurs régulateurs financiers (Banque centrale européenne, autorité prudentielle australienne, agence financière japonaise) ont organisé des réunions de coordination en réaction à l'arrivée de ce type de modèle.
Entreprises : des institutions financières, des opérateurs télécoms et des fournisseurs d'infrastructures critiques (énergie, eau, santé) ont été intégrés au programme Glasswing, signe que le secteur privé considère ce risque comme stratégique.
Citoyens : l'impact pour le grand public reste indirect mais réel, la sécurisation accélérée de logiciels massivement utilisés (navigateurs, systèmes d'exploitation) profite à l'ensemble des utilisateurs finaux, à condition que les vulnérabilités découvertes soient corrigées avant d'être exploitées par des acteurs malveillants.
Exemple concret de tension géopolitique : un contrôle à l'exportation américain a conduit Anthropic à suspendre temporairement l'accès à Claude Mythos 5 et Claude Fable 5, y compris pour des partenaires déjà engagés dans Project Glasswing: illustrant à quel point ces modèles sont désormais traités comme des technologies à enjeu de sécurité nationale, au même titre que certains composants électroniques avancés.
Méthode développée par Anthropic consistant à entraîner un modèle à respecter un ensemble explicite de principes, plutôt qu'à se reposer uniquement sur l'évaluation humaine ponctuelle de chaque réponse.
Le Reinforcement Learning from Human Feedback consiste à affiner le comportement d'un modèle en utilisant des évaluations humaines de la qualité de ses réponses comme signal d'apprentissage.
Des équipes dédiées, internes et externes, tentent activement de faire dérailler le modèle (le faire produire du contenu dangereux, contourner ses garde-fous, etc.) avant tout déploiement élargi.
Anthropic publie des « system cards », documents techniques détaillant les résultats de tests de sécurité. Celui associé à Mythos Preview comptait plusieurs centaines de pages, signe de l'ampleur de l'effort d'évaluation revendiqué.
Le déploiement de Mythos passe par des programmes d'accès contrôlé (Project Glasswing), des politiques de rétention de données renforcées pour le suivi de sécurité, et une coordination directe avec des gouvernements et organismes internationaux (NATO, ENISA notamment cités par la presse).
Dépend des déploiements tiers, pas de garde-fous centralisés
Confidentialité
Politique de rétention de données renforcée pour Mythos (30 jours pour le suivi de sécurité)
Politiques standards selon offre
Politiques standards selon offre
Variable, dépend de l'hébergeur
Performance générale
État de l'art revendiqué sur de nombreux benchmarks pour Fable 5
Très compétitif
Très compétitif, fort en multimodalité
Compétitif sur les modèles ouverts
Raisonnement long terme / agentique
Conçu pour un travail autonome prolongé
Capacités agentiques en développement
Capacités agentiques en développement
Dépend du fine-tuning
Taille de contexte
Non précisée publiquement pour Mythos
Variable selon version
Variable selon version, historiquement très large
Variable selon version
Usage professionnel
Accès restreint, tarification premium
Large accès commercial
Large accès commercial, intégration Google Workspace
Open weights, déploiement on-premise possible
Bon à savoir : la comparaison reste partiellement asymétrique, car Mythos n'est pas un produit grand public benchmarké de façon indépendante et continue comme le sont ChatGPT, Gemini ou Llama. Les chiffres concernant Mythos proviennent en grande partie d'Anthropic elle-même ou de tests ponctuels (UK AISI, Mozilla).
Réglementation accrue : les contrôles à l'exportation appliqués à Mythos 5 et Fable 5 suggèrent que les modèles les plus capables en cybersécurité seront de plus en plus traités comme des technologies à double usage, comparables à certains équipements militaires ou de cryptographie avancée.
Généralisation des IA agentiques : la capacité à agir de façon autonome sur des tâches longues et complexes, déjà visible avec Mythos, devient un axe de compétition majeur entre laboratoires (Anthropic, OpenAI avec GPT-5.5-Cyber, Google, Meta).
Cyberdéfense automatisée : les cas d'usage démontrés (Mozilla, Project Glasswing) indiquent une bascule progressive vers des cycles de détection et correction de vulnérabilités assistés par IA à grande échelle, plutôt que purement manuels.
Sécurité des infrastructures critiques : l'extension de l'accès à des secteurs comme l'énergie, l'eau et la santé montre que ces outils sont désormais perçus comme stratégiques pour la résilience des infrastructures essentielles, et non plus comme de simples outils de productivité.
À retenir : l'histoire de Claude Mythos illustre une tension structurelle qui dépassera ce seul modèle : plus un système d'IA est capable de défendre, plus il est potentiellement capable d'attaquer. La gouvernance de cet équilibre - accès contrôlé, coopération internationale, transparence partielle - sera un enjeu central des prochaines années.
Claude Mythos n'est pas un produit comme les autres dans la gamme Anthropic. Il s'agit d'un modèle dont les capacités en matière de cybersécurité, qu'il s'agisse de découvrir des vulnérabilités critiques ou, potentiellement, de faciliter des attaques, ont conduit Anthropic à expérimenter une nouvelle forme de déploiement : restreint, surveillé, coordonné avec des partenaires institutionnels via Project Glasswing, et soumis à des contraintes géopolitiques bien réelles, comme l'a montré la suspension temporaire d'accès liée à un contrôle à l'exportation.
Pour les organisations, plusieurs recommandations se dégagent : surveiller activement l'évolution de ce type de modèles à double usage, intégrer une réflexion de gouvernance des risques liés à l'IA dans les stratégies de cybersécurité, et ne pas confondre les annonces commerciales avec des évaluations indépendantes - qui, dans le cas de Mythos, ont parfois nuancé certains chiffres avancés par Anthropic.
L'essor de modèles comme Mythos confirme une tendance de fond : l'intelligence artificielle n'est plus seulement un sujet de productivité, mais un sujet de sécurité nationale et de souveraineté numérique.
1. Claude Mythos est-il accessible au grand public ? Non. Son accès est restreint à des partenaires sélectionnés via Project Glasswing, et a même été temporairement suspendu en raison d'un contrôle à l'exportation.
2. Quelle est la différence entre Claude Mythos 5 et Claude Fable 5 ? Ce sont deux variantes du même modèle sous-jacent : Fable 5 intègre des garde-fous supplémentaires qui bloquent ses performances dans les domaines les plus sensibles (cybersécurité offensive, biologie).
3. Mythos peut-il créer des cyberattaques ? Anthropic reconnaît un risque de double usage : les mêmes capacités utilisées pour trouver et corriger des vulnérabilités pourraient théoriquement être détournées à des fins offensives, ce qui justifie l'accès restreint.
4. Quelles organisations ont accès à Mythos ? Selon la presse, plus de 150 organisations dans plus de 15 pays, incluant des acteurs comme Okta, Samsung, SK Hynix, SK Telecom, l'OTAN ou l'agence européenne de cybersécurité ENISA auraient eu accès au modèle.
5. Pourquoi l'accès a-t-il été suspendu ? En raison d'une directive de contrôle à l'exportation des autorités américaines, citant des préoccupations de sécurité nationale.
6. Mythos remplace-t-il les outils de sécurité existants ? Non, il est présenté comme un outil d'assistance et d'accélération pour les équipes de sécurité, pas comme un remplacement des pratiques existantes de gestion des vulnérabilités.
7. Comment Mythos se compare-t-il à GPT-5.5-Cyber d'OpenAI ? Les deux modèles visent des cas d'usage similaires en cybersécurité, mais les comparaisons indépendantes complètes restent limitées à ce stade.
8. Quelle est la taille de contexte de Mythos ? Cette information n'est pas publiée par Anthropic à ce jour.
9. Mythos a-t-il vraiment trouvé un bug de 27 ans dans OpenBSD ? Selon des informations rapportées, oui, un bug ancien aurait été identifié dans OpenBSD lors des tests, mais cette information n'a pas fait l'objet d'une vérification indépendante exhaustive dans cet article.
10. Une entreprise peut-elle demander l'accès à Mythos ? L'accès se fait via les programmes de confiance d'Anthropic (Project Glasswing notamment), généralement réservés à des organisations gérant des infrastructures jugées critiques.
Claude Mythos est un modèle d'IA développé par Anthropic, positionné au-dessus de la gamme Opus, et spécialisé dans des tâches de cybersécurité complexes : audit de code, détection de vulnérabilités, assistance aux équipes de sécurité. Distribué via le programme restreint Project Glasswing, il a permis, selon Anthropic, d'identifier plus de dix mille vulnérabilités critiques dans des logiciels stratégiques, et a contribué à des corrections concrètes (271 vulnérabilités corrigées chez Mozilla Firefox).
Le modèle existe en deux variantes : Mythos 5, réservé à un nombre restreint de partenaires de cyberdéfense, et Fable 5, doté de garde-fous supplémentaires pour un usage plus large mais sécurisé. Son potentiel de double usage, capacités défensives autant qu'offensives, a conduit à un encadrement géopolitique inédit, illustré par une suspension temporaire d'accès liée à un contrôle à l'exportation américain.
Pour les organisations et les professionnels de la cybersécurité, Mythos illustre une transition majeure : l'IA générative devient un acteur central de la cyberdéfense à l'échelle des infrastructures critiques mondiales, tout en posant des questions de gouvernance, de souveraineté et de répartition équitable de l'accès à ces technologies.
Article rédigé par Rudy Carlier FEUMBA - AI Enthousiast,Dernière mise à jour : 25 juin 2026 - Informations exactes au moment de la rédaction.
Que pensez-vous de ce post ?
- Commentaire
Pour pouvoir interagir il faudrait vous connecter ou créer un compte !
Des milliers de travailleurs filment leurs propres gestes pour apprendre aux robots à les remplacer, une révolution silencieuse qui redéfinit le sens du travail humain