Les chiffres d'Anthropic sur Mythos seraient-ils moins uniques qu'annoncé ? La start-up cyber AISLE publie une contre-analyse. Elle reproduit les résultats les plus spectaculaires du modèle avec des IA open-source à 0,11 $ le million de tokens, alors qu'Anthropic en demande 240 fois plus.
Le 7 avril, Anthropic dévoilait Project Glasswing et Mythos Preview, un modèle d'IA annoncé capable de dénicher des milliers de vulnérabilités zero-day. Même jour, même heure : AISLE publie sur son blog « AI Cybersecurity After Mythos: The Jagged Frontier ». La start-up est un éditeur concurrent actif dans la découverte automatisée de failles. Signé Stanislav Fort, chercheur de l'entreprise, le texte affirme reproduire les tests phares d'Anthropic. Deepseek, Qwen, GPT-OSS : les modèles utilisés sont open-source, avec 3 à 5 milliards de paramètres actifs. Le débat technique qui s'ouvre est intéressant, son contexte commercial l'est tout autant.
Huit modèles sur huit détectent la faille emblématique de Mythos
Le protocole est direct. AISLE a isolé le code des vulnérabilités présentées par Anthropic dans son annonce et l'a soumis à un éventail de modèles ouverts. Résultat principal : huit modèles sur huit ont détecté l'exploit FreeBSD NFS, la démonstration la plus spectaculaire du billet d'Anthropic. Parmi eux, un modèle à 3,6 milliards de paramètres actifs facturé 0,11 dollar le million de tokens. Un modèle ouvert de 5,1 milliards de paramètres actifs a également reconstitué le cœur du bug OpenBSD vieux de 27 ans. C'est l'autre trouvaille phare de l'équipe d'Anthropic.
- Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
- Personnalisation avancée
- Conception éthique
Sur une tâche de raisonnement sécurité plus générique, la hiérarchie se brouille encore. Selon les mesures d'AISLE, des petits modèles ouverts surclassent la plupart des modèles frontières issus des grands laboratoires. Le classement change radicalement d'une tâche à l'autre, sans modèle stable en tête. Stanislav Fort en tire une formule qu'il répète : la frontière des capacités IA en cybersécurité est « irrégulière ». Aucun modèle ne domine toutes les tâches à la fois.
L'entreprise s'appuie sur un historique concret pour appuyer son propos. Depuis mi-2025, elle revendique 180 CVE validés, dont 15 dans OpenSSL et 5 dans curl. Le CTO d'OpenSSL lui-même salue, dans un communiqué cité par AISLE, « la grande qualité des rapports et la collaboration constructive ». L'argumentaire ne prétend pas démentir Mythos, mais relativiser la thèse du modèle unique capable de tout qui, soyons honnête, profite bien à Anthropic. Pour l'éditeur, le différenciateur n'est pas la puissance brute du modèle, c'est l'architecture de détection et de validation qui l'entoure.
Un vendeur qui conteste un autre vendeur : ce que la publication ne dit pas
La question posée par AISLE dépasse la mécanique technique. Elle pose le vrai problème industriel : la puissance du modèle d'IA fait-elle la différence, ou l'architecture de détection qui l'entoure compte-t-elle davantage ? Anthropic présente Mythos comme une capacité intégrée, capable de scanner un code, d'isoler une vulnérabilité, puis de la transformer en exploit. AISLE décompose ce pipeline en étapes distinctes qui ne réclament pas les mêmes capacités. Le scan large, la détection unitaire, le triage et la génération de correctifs fonctionneraient selon Stanislav Fort avec des modèles modestes. L'étape d'exploitation complexe reste un terrain contesté.
Il faut lire cette publication en gardant à l'esprit son contexte commercial. AISLE vend une solution de détection automatisée de vulnérabilités, en parallèle direct du positionnement de Mythos. Chaque argument du billet sert mécaniquement l'offre de la start-up. Pas besoin d'un modèle frontière hors de prix, le pipeline agnostique d'AISLE ferait aussi bien le travail. Bruce Schneier, vétéran du secteur, avait déjà qualifié l'annonce Anthropic d'« opération de commuication » quelques jours plus tôt. Sa lecture rejoint l'intuition qu'a déjà questionnée notre précédent décryptage sur la narration Mythos.
Les limites du contre-test d'AISLE méritent d'être posées. Anthropic n'a pas publié le détail complet de son protocole, notamment pour les chaînes d'exploitation multi-vulnérabilités. Le billet d'AISLE porte sur la détection isolée de vulnérabilités connues, pas sur le parcours complet de découverte à grande échelle dans des codes vierges. La démonstration la plus spectaculaire de Mythos, selon Anthropic, tient moins à la détection individuelle qu'à l'orchestration autonome de milliers de scans. Le verdict technique définitif reviendra à des tiers indépendants des deux camps. En attendant, le discours marketing du duel commence à occuper le terrain.La guerre du modèle unique contre l'architecture agnostique ne fait que commencer.
