Avec Claude Mythos preview, Anthropic détecte des failles zero-day dans tous les OS majeurs

Anthropic présente Project Glasswing, une coalition de onze acteurs de l'industrie tech mobilisés autour de Claude Mythos Preview. Ce modèle d'IA est capable de repérer des failles que des décennies d'audits humains et des millions de tests automatisés n'avaient pas vues.

L'annonce a de quoi alerter. Anthropic révèle avoir développé un modèle d'IA capable d'identifier des milliers de vulnérabilités critiques dans les logiciels les plus utilisés au monde. Tous les systèmes d'exploitation et tous les navigateurs web sont concernés. L'entreprise choisit de le déployer auprès des grandes entreprises avant qu'il ne tombe entre de mauvaises mains.

Des failles vieilles de 27 ans que cinq millions de tests n'avaient pas détectées

Le modèle Claude Mythos Preview a été spécifiquement entraîné pour analyser du code et identifier des vulnérabilités. Sur le benchmark CyberGym, conçu précisément pour évaluer ce type de capacités, Mythos Preview obtient un score de 83,1%, contre 66,6% pour Claude Opus 4.6, le précédent modèle d'Anthropic.

Les exemples fournis par Anthropic sont plutôt parlants. Le modèle a détecté une faille présente depuis 27 ans dans le système OpenBSD. Cette vulnérabilité permettait à un attaquant de provoquer à distance le plantage de n'importe quelle machine connectée. Mythos Preview a également repéré un problème dans FFmpeg, une bibliothèque logicielle intégrée dans des milliers d'applications pour lire et encoder des vidéos. Cette faille avait résisté à cinq millions de tests automatisés sans jamais être détectée.

Troisième cas, et peut-être le plus sérieux. Mythos Preview a identifié et combiné plusieurs vulnérabilités dans le noyau Linux pour passer d'un accès utilisateur ordinaire au contrôle total de la machine. La détection de ce type d'enchaînement de failles demande normalement une réelle expertise humaine. Anthropic précise que toutes ces vulnérabilités ont été signalées aux équipes concernées et ont depuis été corrigées.

Une coalition et 100 millions de dollars pour garder une longueur d'avance sur les attaquants

Anthropic ne déploie pas Mythos Preview seul. Le Projet Glasswing rassemble AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks autour d'un accès commun au modèle pour leurs travaux de sécurité défensive. Plus de 40 organisations supplémentaires, dont de nombreux projets open source, bénéficient également de cet accès.

Et le financement est à la hauteur de l'ambition. Anthropic engage jusqu'à 100 millions de dollars en crédits d'utilisation du modèle pour les participants. Quatre millions de dollars supplémentaires sont versés directement à des organisations de sécurité open source, avec 2,5 millions via la Linux Foundation vers Alpha-Omega et l'OpenSSF, et 1,5 million à l'Apache Software Foundation. Il faut dire qu'une grande partie des logiciels qui font tourner internet repose sur des projets open source maintenus sans ressources de sécurité dédiées. Nous rapportions récemment que Claude Opus 4.6 avait permis de détecter plus d'une centaine de bug au sein de Firefox en deux semaines seulement. Les résultats avec cette nouvelle IA seraient encore plus impressionnants.

Pour des raisons de sécurité, Claude Mythos Preview ne sera pas disponible au grand public. Après la phase de "research preview", l'accès sera facturé 25 dollars pour un million de tokens en entrée et 125 dollars en sortie. Anthropic indique par ailleurs être en discussions avec des représentants du gouvernement américain sur les implications offensives et défensives du modèle, et évoque la création à terme d'un organisme indépendant pour coordonner ce type d'efforts à l'échelle de l'industrie.