Le nouveau modèle d'Anthropic a déclenché une réunion d'urgence entre la Fed, le Trésor et les patrons de Wall Street. Mais les chiffres avancés méritent qu'on s'y attarde.

Derrière l'annonce, une méthode de communication qui a des airs de déjà-vu. © Naïm Bada pour Clubic
Derrière l'annonce, une méthode de communication qui a des airs de déjà-vu. © Naïm Bada pour Clubic

Mardi 8 avril, Scott Bessent (Trésor) et Jerome Powell (Réserve féderale) ont convoqué les PDG des grandes banques américaines. Lieu : le siège du Trésor à Washington. Objet de la réunion : les risques cybersécuritaires posés par Claude Mythos, le nouveau modèle d'Anthropic. Jamie Dimon, patron de JPMorgan, était le seul absent. Les autres dirigeants de Citi, Morgan Stanley, Bank of America, Wells Fargo et Goldman Sachs ont répondu présent. Quand les deux plus hauts responsables monétaires des États-Unis s'inquiètent d'un modèle d'IA, on tend l'oreille. Mais ont-ils raison de s'alarmer, ou se sont-ils fait avoir par un argumentaire commercial bien ficelé ?

198 revues manuelles pour extrapoler « des milliers » de failles

Anthropic affirme que Mythos Preview a identifié « des milliers de vulnérabilités critiques » dans tous les systèmes d'exploitation et navigateurs majeurs. Le chiffre impressionne. Sa méthodologie, moins.

Claude AI
Claude AI
  • Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
  • Personnalisation avancée
  • Conception éthique
9 / 10
Télécharger

Dans son rapport technique, l'entreprise reconnaît ne pas pouvoir « affirmer avec certitude » que toutes ces vulnérabilités sont effectivement critiques. La raison : sur l'ensemble des failles détectées, seules 198 ont fait l'objet d'une vérification manuelle par des experts humains. Sur cet échantillon, 89 % des évaluations de sévérité attribuées par le modèle correspondaient exactement à celles des validateurs. Anthropic en conclut que « si ces résultats se maintiennent », le modèle aurait trouvé plus d'un millier de failles critiques supplémentaires.

Sans aller jusqu'à parler de loi des grands nombres, l'extrapolation statistique est classique. Mais elle repose sur un postulat fragile : que les 198 cas vérifiés soient représentatifs de l'ensemble. Rien ne le garantit. Les tests sur des bases de code open source (7 000 projets OSS-Fuzz) ont produit environ 600 crashs exploitables et 10 vulnérabilités sévères. Pas exactement « des milliers ».

Le même scénario qu'avec GPT-2, les mêmes acteurs

L'histoire a un air de déjà-vu. En février 2019, OpenAI déclarait son modèle GPT-2 « trop dangereux pour être publié ». La communauté IA avait roulé des yeux, soupçonnant un coup de communication. Le modèle avait finalement été libéré neuf mois plus tard, après que les risques annoncés ne se soient jamais matérialisés.

À l'époque, le responsable de la communication d'OpenAI s'appelait Jack Clark. En décembre 2020, il quittait l'entreprise pour cofonder Anthropic avec Dario et Daniela Amodei, eux-même chercheurs chez OpenAI. Sept ans plus tard, la même équipe rejoue la partition du modèle trop puissant pour le grand public.

La différence, cette fois, tient aux preuves avancées. Anthropic cite des failles réelles : un bug de 27 ans dans OpenBSD, une vulnérabilité de 16 ans dans FFmpeg. Ces découvertes sont vérifiables. Mais elles ne justifient pas nécessairement le niveau d'alerte déclenché auprès des régulateurs.

Powell et Bessent disposent-ils d'informations que le public ignore ? Possible. Anthropic entretient des « discussions continues » avec la CISA et le NIST, selon un porte-parole. Autre hypothèse : les régulateurs ont pris les affirmations d'Anthropic pour argent comptant, sans examiner la méthodologie sous-jacente.

L'entreprise prépare son introduction en Bourse pour octobre 2026, avec une valorisation dépassant 300 milliards de dollars. Un modèle « trop dangereux pour être public » fait une excellente histoire à raconter aux investisseurs. Et aux banquiers centraux, apparemment.

Project Glasswing, l'initiative lancée par Anthropic autour de Mythos, ressemble à s'y méprendre à une opération de relations publiques ciblant les grands comptes. Les partenaires annoncés (AWS, Apple, Google, Microsoft, NVIDIA) correspondent exactement au portefeuille clients que vise Anthropic pour ses offres entreprise. Les 100 millions de dollars de crédits promis aux participants ne sont pas de la philanthropie. C'est un coût d'acquisition client déguisé en initiative de sécurité. Le discours sur les risques existentiels sert de levier commercial. La vraie question n'est pas de savoir si Mythos est dangereux. C'est de savoir qui tire profit de cette peur.