Claude Mythos & Project Glasswing : L'IA Trop Puissante

Qu'est-ce que Claude Mythos ?

Claude Mythos est le modèle frontier à usage général d'Anthropic, pas un outil de cybersécurité spécialisé, mais une IA polyvalente qui se trouve être exceptionnellement douée pour trouver des vulnérabilités. Il représente un nouveau tier au-dessus d'Opus, entraîné avec des techniques qui poussent les performances bien au-delà de ce qu'Opus 4.6 peut atteindre.

Chiffres clés

La lecture honnête de « Claude Mythos » et des annonces Project Glasswing, telle que les threads r/ClaudeAI et r/cybersecurity l'ont correctement relevée : un modèle d'IA capable de trouver fiablement des zero-days est aussi un modèle qui ne devrait pas être un produit grand public, quelles que soient les intentions du vendeur. Le choix d'Anthropic de retenir Mythos fait écho au cadre d'évaluation de l'AI Safety Institute et aux normes de divulgation responsable qui tiennent la communauté sécurité depuis des décennies. Ce n'est pas du théâtre RP ; c'est la première instance publique d'un laboratoire frontière qui traite la découverte de capacités offensives comme une raison de restreindre l'accès, et non comme une feature de lancement.

Là où la communauté nuance à juste titre le récit : « Anthropic a trouvé des milliers de zero-days » est une affirmation qui mérite le même examen que toute découverte sécurité — vérification indépendante, attribution CVE, divulgation coordonnée avec les éditeurs concernés, et éventuels writeups publics. Le programme CVE de MITRE et la ligne de temps de divulgation de Project Zero sont les standards durables ici. Tant que ceux-ci n'apparaissent pas, la lecture honnête est que Mythos est plausiblement une capacité significative, et que l'histoire publique complète reste à écrire.

Le point plus large que la communauté soulève régulièrement : la découverte de vulnérabilités accélérée par IA est inévitable, et la vraie question n'est pas de savoir si ça arrive, mais si le côté défensif (Glasswing, red teams internes, pipelines de vendeurs sécurité) peut avancer à la même vitesse que le côté offensif.

Project Glasswing : La Sécurité IA Défensive

Au lieu d'enterrer Mythos ou de le publier imprudemment, Anthropic a créé Project Glasswing, un programme de partenariat structuré où des organisations vérifiées utilisent Mythos exclusivement pour trouver et corriger des vulnérabilités.

La découverte qui a tout changé

Pendant les tests internes, Mythos a trouvé des vulnérabilités que les chercheurs en sécurité humains avaient manquées pendant des décennies :

• →Un bug de 27 ans dans OpenBSD, l'un des systèmes d'exploitation les plus audités au monde en matière de sécurité
• →Une vulnérabilité de 16 ans dans FFmpeg, le framework média utilisé par quasiment toutes les applications vidéo
• →Des chaînes d'exploitation dans le noyau Linux combinables pour une élévation de privilèges
• →Des milliers d'autres zero-days à travers les navigateurs, systèmes d'exploitation et logiciels d'infrastructure critique

Partenaires de lancement

12 organisations ont un accès direct à Mythos via Glasswing :

40+ organisations supplémentaires ont candidaté et sont en cours de vérification.

Performance sur les Benchmarks

Mythos ne se contente pas de dominer les benchmarks, il redéfinit l'échelle. L'écart entre Mythos et le deuxième meilleur modèle est plus grand que l'écart entre Opus 4.6 et les modèles de milieu de gamme.

Ce que ces chiffres signifient

SWE-bench Verified (93.9%), Face à un vrai bug GitHub, Mythos écrit le correctif exact 94 fois sur 100. Opus 4.6 le fait 81 fois. Cet écart de 13 points est énorme à ce niveau de performance.

Terminal-Bench 2.0 (82%), Le benchmark de coding agentique le plus exigeant, où les modèles doivent naviguer dans de vrais environnements terminal, déboguer des erreurs et accomplir des tâches multi-étapes. Mythos devance de 17 points.

CyberGym (83.1%), Conçu spécifiquement pour évaluer l'IA sur la détection de vraies vulnérabilités. Mythos dépasse Opus 4.6 de 17 points, confirmant ses capacités exceptionnelles en sécurité.

Pourquoi Restreindre un Modèle ?

C'est la première fois qu'un grand labo d'IA construit un modèle frontier à usage général et en restreint délibérément l'accès au public. Comprendre le raisonnement d'Anthropic révèle des leçons importantes sur la sécurité de l'IA.

Le problème du double usage

Mythos peut trouver des vulnérabilités de manière défensive (les corriger) ou offensive (les exploiter). La même capacité qui le rend inestimable pour les équipes de sécurité le rend dangereux entre de mauvaises mains.

La stratégie en trois volets d'Anthropic

1. →Accès restreint, Uniquement les partenaires vérifiés via Glasswing. Pas d'API publique, pas d'accès grand public.
2. →Engagement financier, 100 millions de dollars en crédits pour les partenaires et 4 millions pour les projets de sécurité open-source.
3. →Divulgation responsable, Toutes les vulnérabilités découvertes par Mythos doivent être signalées aux mainteneurs avant toute discussion publique.

La Fuite « Capybara »

En mars 2026, un incident de données a exposé des documents internes d'Anthropic faisant référence à un modèle nommé « Capybara » avec des capacités inhabituelles en cybersécurité. La fuite incluait des scores de benchmarks dépassant largement tout modèle public et des références à des découvertes de vulnérabilités.

Anthropic a d'abord refusé de commenter. Après que des chercheurs indépendants ont confirmé les scores annoncés, Anthropic a accéléré l'annonce de Project Glasswing, l'avançant de plusieurs semaines.

L'incident a soulevé des questions importantes :

• →La sécurité des labos d'IA eux-mêmes, Si une entreprise d'IA ne peut pas protéger ses propres secrets, comment lui faire confiance avec des décisions à l'échelle de la société ?
• →Les délais de divulgation responsable, Anthropic aurait-il dû annoncer Glasswing avant la fuite ?
• →La dynamique concurrentielle, Les concurrents pourraient maintenant se précipiter pour construire des capacités similaires sans la prudence d'Anthropic

Tarification et Économie

Mythos est le modèle IA le plus cher avec un prix public :

Engagements financiers

• →100 millions de dollars en crédits d'utilisation répartis entre les partenaires Glasswing
• →4 millions de dollars en subventions spécifiquement pour les projets de sécurité open-source
• →Tarification structurée pour rendre le scan de sécurité intensif économiquement viable pour les partenaires

Ce que Cela Signifie pour les Développeurs

Si vous êtes un professionnel de la sécurité

Project Glasswing est probablement le développement le plus significatif en sécurité assistée par IA depuis l'invention du fuzzing. Si votre organisation est éligible, candidatez pour l'accès Glasswing. Même sans accès direct à Mythos, attendez-vous à ce que les vulnérabilités qu'il trouve génèrent une vague de patchs à travers les projets majeurs dans les mois à venir.

Si vous utilisez Claude pour coder

Opus 4.6 reste votre modèle. Son score de 80.8% sur SWE-bench et sa disponibilité générale en font le meilleur choix pour le développement quotidien. Mythos ne viendra pas sur Claude.ai, Claude Code, ni l'API publique de sitôt.

Si vous construisez des produits IA

Mythos prouve que les modèles frontier continuent de progresser rapidement. Si votre produit dépend des capacités IA, préparez-vous à des modèles 15 à 25% meilleurs en code, raisonnement et analyse tous les 3 à 6 mois. Le bond d'Opus 4.6 à Mythos suggère que le prochain modèle publiquement disponible sera significativement plus capable.

La Vision d'Ensemble : IA et Cybersécurité

Mythos représente un tournant pour trois conversations majeures :

1. La croissance des capacités IA s'accélère

Le bond d'Opus 4.6 (février 2026) à Mythos (avril 2026) est la plus grande progression en deux mois de l'histoire de l'IA frontier. Ce rythme a des implications pour chaque industrie.

2. Le débat sécurité vs accès devient concret

Pendant des années, les discussions sur la sécurité de l'IA étaient théoriques : « Et si un modèle pouvait faire X ? » Mythos rend le sujet concret : « Ce modèle peut trouver des zero-days dans tous les OS majeurs. Qu'est-ce qu'on fait ? » Anthropic a choisi la restriction. Tout le monde ne sera pas d'accord.

3. La défense devance l'attaque (pour l'instant)

En trouvant les vulnérabilités avant les attaquants, Mythos penche la balance de la cybersécurité du côté des défenseurs, mais uniquement si l'accès reste restreint. Si des capacités similaires fuient ou sont répliquées sans contrôles de sécurité, l'avantage s'inverse.

En résumé

Claude Mythos est le modèle IA le plus capable jamais construit, et le premier délibérément tenu hors de la portée du public. Project Glasswing est le pari d'Anthropic que certaines capacités sont mieux déployées via des partenaires de confiance qu'en accès libre. Que ce modèle devienne un modèle de déploiement responsable de l'IA ou un exemple de prudence excessive dépendra de la suite : combien de vulnérabilités seront corrigées, si les concurrents suivront l'approche d'Anthropic, et si les capacités de niveau Mythos atteindront un jour le public sous une forme plus sûre.

Pour l'instant, Opus 4.6 reste le modèle Claude le plus puissant que vous puissiez réellement utiliser. Mais Mythos montre où l'IA se dirige, et elle se dirige vite.