Accueil / Intelligence Artificielle / Article
IA & Cybersécurité 12 Avril 2026 11 min de lecture

Claude Mythos Preview : pourquoi Anthropic limite l’accès à son modèle cyber

Anthropic présente Claude Mythos Preview comme son modèle le plus avancé pour les tâches de sécurité offensive et défensive. Entre annonces officielles, accès restreint via Project Glasswing et débats sur la portée réelle des résultats, voici ce qu’il faut retenir.

Cybersécurité intelligence artificielle Claude Mythos

Claude Mythos Preview est l’une des annonces les plus commentées du moment dans l’écosystème IA. Anthropic le présente comme un modèle généraliste particulièrement performant sur les tâches de cybersécurité, au point d’avoir choisi de ne pas le diffuser publiquement à ce stade. À la place, l’entreprise a lancé Project Glasswing, un programme d’accès restreint destiné à des partenaires sélectionnés pour des usages défensifs.

Sur le papier, les promesses sont impressionnantes : selon Anthropic, Mythos Preview a obtenu 93,9 % sur SWE-bench Verified, contre 80,8 % pour Claude Opus 4.6, tout en montrant une nette progression sur des évaluations orientées sécurité. L’entreprise affirme aussi que le modèle a aidé à identifier des milliers de vulnérabilités, dont certaines anciennes et difficiles à détecter, notamment dans OpenBSD et FFmpeg.

Mais il faut garder une chose en tête : à ce stade, une grande partie de ce récit repose sur les documents et évaluations publiés par Anthropic. Cela ne signifie pas que ces annonces sont fausses, mais qu’elles doivent être lues avec le bon niveau de prudence. Mythos est sans doute un signal important pour la cybersécurité pilotée par l’IA, mais il mérite d’être analysé avec rigueur plutôt qu’avec sensationnalisme.

⚡ Ce qu'il faut retenir

  • 93,9 % sur SWE-bench Verified selon Anthropic, contre 80,8 % pour Claude Opus 4.6
  • Accès non public : Mythos Preview n’est pas disponible librement et reste réservé à un groupe restreint de partenaires
  • Project Glasswing vise à utiliser le modèle pour l’audit, la recherche de vulnérabilités et la sécurisation de logiciels critiques
  • Des résultats marquants sont revendiqués, dont la détection de vulnérabilités sur plusieurs cibles majeures, y compris une faille ancienne dans OpenBSD
  • Les capacités offensives inquiètent, mais une partie de leur portée réelle reste difficile à mesurer publiquement
  • Le sujet dépasse Anthropic : si ces capacités deviennent courantes, c’est toute la cybersécurité logicielle qui devra s’adapter

Des capacités impressionnantes, mais à lire avec méthode

93,9 % sur SWE-bench Verified : un vrai signal

Le chiffre le plus repris autour de Mythos Preview est son score de 93,9 % sur SWE-bench Verified. C’est un niveau très élevé sur un benchmark reconnu pour évaluer la capacité d’un modèle à résoudre de vrais problèmes logiciels à partir de dépôts de code réels. Comparé au score annoncé pour Opus 4.6, la progression est importante et suggère un saut de niveau dans les tâches de raisonnement sur le code.

Il faut toutefois être précis sur ce que ce score signifie. SWE-bench ne mesure pas directement une supériorité globale en “hacking” ou en sécurité offensive réelle. Il indique surtout qu’un modèle devient meilleur pour comprendre du code, localiser des défauts, proposer des correctifs et naviguer dans des environnements de développement complexes. C’est déjà énorme, mais ce n’est pas exactement la même chose qu’une démonstration publique de supériorité face aux meilleurs chercheurs humains en sécurité.

93,9 %

SWE-bench Verified selon Anthropic

27 ans

Âge de la faille OpenBSD mentionnée par Anthropic

40+

Organisations partenaires ou associées au lancement selon la couverture publique

Des milliers de vulnérabilités : une annonce forte, mais encore discutée

Anthropic affirme que Mythos Preview a contribué à repérer des milliers de vulnérabilités sévères à travers des logiciels et systèmes majeurs. L’entreprise cite notamment des résultats sur les systèmes d’exploitation, les navigateurs, des bibliothèques critiques et des binaires pleinement patchés dans ses tests internes. Elle met aussi en avant une faille très ancienne dans OpenBSD comme exemple emblématique.

Ce point est central, mais aussi celui qui appelle le plus de prudence. D’un côté, la documentation officielle d’Anthropic donne des exemples concrets et décrit des évaluations détaillées. De l’autre, certains observateurs ont souligné que le passage du nombre de cas examinés à l’idée de “milliers de zero-days” méritait d’être interprété avec nuance. La bonne lecture n’est donc pas “tout est exagéré” ni “tout est déjà prouvé dans le détail”, mais plutôt : Anthropic avance des résultats très ambitieux, plausibles dans leur direction générale, mais dont toute la portée n’est pas encore indépendante et publiquement vérifiable.

Une capacité cyber qui semble émerger d’un modèle généraliste

L’un des éléments les plus intéressants de Mythos Preview, selon Anthropic, est qu’il ne s’agirait pas d’un “modèle de hacking” conçu uniquement pour l’offensive. L’entreprise le présente comme un modèle généraliste devenu particulièrement fort en cybersécurité grâce à ses progrès en codage, en raisonnement autonome et en exécution multi-étapes. Autrement dit, les compétences cyber viendraient en grande partie de la montée générale du niveau du modèle.

Cette idée est importante parce qu’elle change la lecture stratégique du sujet. Si les performances en sécurité deviennent une conséquence naturelle d’un modèle très bon en code, alors la question n’est plus seulement “Anthropic a-t-il construit un outil spécial ?”, mais aussi “à partir de quel niveau les meilleurs modèles généralistes commencent-ils à devenir problématiques pour la sécurité offensive ?”.

Project Glasswing : une réponse défensive et sélective

Un programme d’accès restreint, pas un lancement public

Plutôt que de proposer Mythos Preview en accès large, Anthropic a lancé Project Glasswing. L’idée est simple : faire travailler le modèle sur des surfaces logicielles critiques, mais dans un cadre contrôlé, avec des partenaires choisis, une gouvernance défensive et un objectif affiché de réduction du risque. C’est une manière de dire que l’entreprise voit de la valeur dans le modèle, tout en reconnaissant qu’un déploiement trop large serait aujourd’hui difficile à justifier.

Le message envoyé est fort : Anthropic ne parle pas simplement d’un modèle meilleur en code, mais d’un système qui pourrait être utilisé pour trouver et exploiter des faiblesses à une vitesse nouvelle. Dans ce contexte, l’accès restreint est aussi un aveu implicite : le niveau de capacité atteint commence à soulever de vraies questions opérationnelles et politiques.

💡 Project Glasswing en détail

  • Objectif : aider à identifier et corriger des vulnérabilités dans des logiciels et infrastructures critiques
  • Partenaires cités publiquement : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks
  • 100 millions de dollars de crédits annoncés par Anthropic
  • 4 millions de dollars pour soutenir la sécurité open source
  • Usage encadré : audit, détection de vulnérabilités, tests sur binaires, sécurisation d’endpoints et de systèmes critiques
  • Positionnement : donner une avance aux défenseurs avant que des capacités comparables ne se diffusent davantage

Pourquoi ce choix mérite d’être pris au sérieux

Le plus intéressant dans Glasswing n’est pas seulement la liste des partenaires, mais le raisonnement derrière le programme. Si des modèles capables de raisonner sur du code à très haut niveau commencent à produire des résultats pertinents en cybersécurité, alors la défense ne peut pas rester sur des méthodes classiques uniquement. Les audits manuels, les tests ponctuels et les scans standards restent nécessaires, mais ils risquent de ne plus suffire face à des adversaires dopés à l’IA.

Glasswing repose donc sur une intuition simple : les défenseurs doivent eux aussi disposer d’outils du même ordre de grandeur. Ce n’est pas une garantie de sécurité parfaite, mais c’est probablement une réponse plus réaliste qu’une simple politique d’attente.

Le lien avec les fuites de fin mars

Le contexte médiatique autour de Mythos Preview a été renforcé par plusieurs fuites publiques concernant Anthropic à la fin du mois de mars 2026. Des rapports ont d’abord évoqué une exposition involontaire de milliers de fichiers internes liée à une mauvaise configuration de CMS, qui aurait révélé l’existence de documents liés à Mythos. Quelques jours plus tard, une autre affaire a largement circulé autour de la fuite du code source de Claude Code via un fichier source map publié par erreur dans un package npm.

Il faut cependant distinguer clairement les deux sujets. Ces fuites ont nourri l’attention autour de Mythos et posé des questions sur la sécurité opérationnelle d’Anthropic, mais elles ne constituent pas à elles seules une preuve supplémentaire des capacités du modèle. Elles servent surtout de toile de fond : au moment même où l’entreprise plaidait pour la prudence autour d’un modèle cyber avancé, elle a aussi dû faire face à des critiques sur sa propre hygiène de sécurité.

Ce que Mythos change pour tout le monde

Pour les développeurs

Pour les développeurs, le message est assez clair : le niveau attendu en qualité logicielle continue de monter. Un modèle comme Mythos Preview, ou ses équivalents futurs, rend plus crédible l’idée que du code médiocre, mal structuré ou insuffisamment testé sera plus facilement passé au crible, que ce soit par des équipes de sécurité ou par des acteurs malveillants. La robustesse du code, la surface d’attaque, les dépendances et les pratiques de mise à jour deviennent encore plus importantes.

Pour la cybersécurité

Pour la cybersécurité, Mythos renforce une tendance déjà visible : les outils de recherche de vulnérabilités deviennent plus autonomes, plus rapides et plus utiles sur des volumes de code massifs. Cela ne veut pas dire que l’expertise humaine disparaît. Au contraire, l’interprétation des résultats, la priorisation, la validation et la correction restent profondément humaines. En revanche, l’échelle et la vitesse changent, et cela peut suffire à modifier l’équilibre entre attaque et défense.

Pour l’IA elle-même

Enfin, Mythos pose une question plus large sur la gouvernance des modèles très avancés. Que faire lorsqu’un système semble suffisamment utile pour la défense, mais potentiellement trop puissant pour être diffusé librement ? L’approche d’Anthropic consiste ici à retarder l’ouverture et à tester un cadre sélectif. Ce choix sera observé de près, car il pourrait devenir un précédent pour d’autres laboratoires si les capacités cyber des modèles continuent de progresser.

📋 Ce que vous pouvez faire dès maintenant

  • Maintenez vos systèmes à jour : les vulnérabilités anciennes restent souvent parmi les plus rentables à exploiter
  • Renforcez vos audits : combinez revue humaine, analyse statique, fuzzing et outils de sécurité automatisés
  • Cartographiez vos dépendances : la visibilité sur votre chaîne logicielle devient encore plus importante
  • Travaillez vos pratiques de correction : détecter plus vite ne sert à rien si les cycles de patch restent lents
  • Suivez les publications de sécurité : les programmes comme Glasswing peuvent accélérer la remontée de vulnérabilités importantes

Conclusion

Claude Mythos Preview est probablement l’un des signaux les plus importants de 2026 sur la rencontre entre IA avancée et cybersécurité. Les annonces d’Anthropic suggèrent un changement d’échelle réel dans la manière dont un modèle peut raisonner sur du code, détecter des défauts et aider à sécuriser des systèmes critiques. Ce n’est pas forcément la fin d’une époque, mais c’est clairement le début d’une nouvelle phase.

La bonne attitude n’est ni l’adhésion aveugle ni le rejet automatique. Il faut prendre les chiffres au sérieux, lire les sources officielles, regarder aussi les critiques, et distinguer ce qui est solidement documenté de ce qui relève encore du récit de lancement. Sur ce point, Mythos est déjà intéressant : il montre à quel point la frontière entre performance logicielle générale et capacité cyber avancée devient de plus en plus mince.

Mon avis est simple : Anthropic a sans doute voulu envoyer un message fort, et il y a probablement une part de stratégie de communication dans la mise en scène de Mythos. Mais même en retirant le marketing, il reste quelque chose de très important : les meilleurs modèles deviennent des outils de sécurité de plus en plus crédibles. Et ça, pour les développeurs comme pour les défenseurs, mérite d’être pris très au sérieux.

Tags :

Claude Mythos Anthropic Zero-Day Project Glasswing Cybersécurité IA SWE-bench

📚 Sources

  1. Project Glasswing — Anthropic
  2. Claude Mythos Preview — Anthropic Red Team
  3. Claude Mythos Preview System Card — Anthropic
  4. Claude Mythos : un modèle d’IA trop dangereux pour être rendu public — Blog du Modérateur
  5. Analyse critique des annonces autour de Mythos — Tom’s Hardware

Articles Similaires