Le premier rapport de Mythos est sorti : des milliards d'appareils exposés dans le monde, 10 000 vulnérabilités critiques découvertes en 30 jours

Le premier combat du Projet Glasswing d'Anthropic est un succès. Mythos a découvert 10 000 vulnérabilités critiques en seulement 30 jours et a même intercepté une fraude de 1,5 million de dollars ! Face à ces rapports qui pleuvent comme des flocons de neige, les développeurs humains, submergés, supplient : « Arrêtez de chercher, nous ne pouvons absolument pas tout corriger ! »

C'est à l'instant qu'Anthropic a publié une nouvelle qui a secoué les communautés technologique et de la sécurité informatique dans le monde entier.

Le rapport du premier mois du « Projet Glasswing » vient d'être officiellement publié !

Lors de cette opération secrète, Anthropic a utilisé pour la première fois son modèle de nouvelle génération de pointe — Claude Mythos Preview.

En seulement 30 jours, en collaboration avec environ 50 géants mondiaux du réseau et développeurs de logiciels d'infrastructures critiques, il a débusqué d'un coup plus de 10 000 vulnérabilités logicielles de haut niveau ou critiques !

Encore plus terrifiant : il ne se contente pas de trouver des vulnérabilités, il peut également construire de manière « end-to-end » des chaînes d'attaque automatiques.

Il a même réussi à intercepter une transaction frauduleuse de 1,5 million de dollars dans les opérations réelles d'une banque partenaire !

En un instant, tout le milieu de la sécurité informatique a été complètement bouleversé.

Un expert en sécurité s'est même exclamé avec désespoir sur X : « Les fondations de l'internet ont été retournées par l'IA… Nous sommes peut-être vraiment finis ! »

30 jours de folie

Les géants technologiques mondiaux en font l'expérience, découvrant à quel point Mythos est terrifiant

En avril 2026, Anthropic a secrètement lancé le Project Glasswing. Le sens de ce nom est le souhait de rendre les logiciels propriétaires et open source les plus importants au monde transparents et sécurisés.

Les premiers à rejoindre ce projet étaient environ 50 développeurs de logiciels d'infrastructures critiques.

Lorsqu'ils ont obtenu l'accès de test à Claude Mythos Preview, en seulement un mois, les paradigmes de toute l'industrie ont été pulvérisés.

Regardez ce rapport éblouissant —

Cloudflare rapporte que dans des systèmes de chemin critique extrêmement cruciaux, Mythos a déterré d'un coup 2000 vulnérabilités ! Dont 400 de niveau élevé ou critique.

Encore plus aberrant, l'équipe de sécurité de Cloudflare s'est exclamée : le taux de faux positifs de cette IA est même plus faible que celui des meilleurs testeurs humains.

Lors des tests du dernier navigateur Firefox 150 de Mozilla, Mythos a corrigé d'un coup 271 vulnérabilités critiques.

Ce chiffre est plus de 10 fois supérieur au nombre de vulnérabilités découvertes avec Opus 4.6 dans la version Firefox 148 !

Le rapport d'OpenBSD est tout simplement horrifiant : Mythos a débusqué dans le code d'OpenBSD un bug ancien caché depuis 27 ans !

Et le modèle n'a même pas besoin de l'intervention humaine, il construit lui-même une chaîne complète d'exploitation de la vulnérabilité.

L'Institut britannique de sécurité de l'IA (AISI) a donné sa caution officielle. Ils ont confirmé que Mythos Preview est le premier modèle d'IA au monde capable de franchir de bout en bout le double champ de tir réseau qu'ils ont mis en place.

Dans la défense en situation réelle, Mythos a également fait des merveilles.

Dans une banque partenaire, un groupe de hackers avait déjà réussi à pirater l'e-mail d'un client et avait utilisé une technologie de clonage vocal par IA pour passer un appel frauduleux.

Au moment où ce virement de 1,5 million de dollars était sur le point d'être effectué, le modèle Mythos, en analysant en temps réel la chaîne de comportements anormaux, a instantanément percé l'arnaque et a forcé l'interruption de la transaction !

« Nous, experts en sécurité humains, avions l'air de primitifs avec des lances, regardant un chasseur F-22 voler au-dessus de nos têtes », a déclaré avec admiration un chercheur en sécurité participant aux tests internes sur X.

Des milliards d'appareils exposés dans le monde sauvés par Mythos !

Cependant, Mythos a également déclenché une crise de capacité de production.

Dans le passé, le principal goulot d'étranglement de la cybersécurité était la découverte des vulnérabilités. Trouver une vulnérabilité zero-day critique pouvait prendre à un hacker éthique de pointe plusieurs semaines, voire plusieurs mois.

Désormais, Claude Mythos a réduit le coût et le temps de recherche de vulnérabilités à « infiniment proche de zéro ».

Anthropic l'a utilisé pour analyser plus de 1000 projets open source fondamentaux qui soutiennent le fonctionnement d'internet dans le monde. Le résultat est à donner la chair de poule —

Un total de 23 019 vulnérabilités trouvées, dont 6 202 vulnérabilités élevées ou critiques évaluées par Mythos !

Pour s'assurer que l'IA ne « délire » pas, Anthropic s'est associée à 6 entreprises de recherche en sécurité indépendantes et de premier plan mondial pour une vérification croisée manuelle.

Résultat : le taux de vrais positifs de l'IA (c'est-à-dire les vulnérabilités réellement présentes) atteint 90,6% ! Finalement, il a été confirmé que 1 094 d'entre elles étaient des vulnérabilités élevées ou critiques incontestables.

Tableau de bord des vulnérabilités open source, affichant toutes les vulnérabilités par niveau de gravité

Il faut mentionner ici un cas extrêmement typique — wolfSSL.

wolfSSL est une bibliothèque de cryptographie open source extrêmement célèbre, utilisée par des milliards d'appareils dans le monde (y compris des objets connectés IoT, routeurs, voitures intelligentes, etc.).

Cependant, face à Mythos, les défenses de wolfSSL étaient inexistantes. Mythos a non seulement découvert une faille logique extrêmement cachée, mais il a même écrit lui-même un ensemble de code d'attaque !

Avec ce code, les pirates pouvaient falsifier à volonté des certificats numériques, créant des sites bancaires ou des pages de connexion d'e-mail extrêmement convaincants, sans aucune faille.

Si cette vulnérabilité n'avait pas été découverte et soumise pour correction par Mythos à l'avance, une fois exploitée par la cybercriminalité, les conséquences auraient été inimaginables.

Des milliards d'appareils dans le monde étaient en fait constamment exposés au bord du danger. Cette fois, c'est Mythos qui les a ramenés à la sécurité.

Un renversement épique : trouver des bugs n'est plus le problème, les corriger l'est !

Avec l'avancement du Project Glasswing, un phénomène inédit dans l'histoire de la cybersécurité est né.

« Le goulot d'étranglement de la cybersécurité n'est plus la recherche de vulnérabilités. Le goulot d'étranglement actuel est : la vitesse à laquelle les humains corrigent les vulnérabilités est loin derrière la vitesse à laquelle l'IA les découvre. »

Pour les mainteneurs des communautés open source, c'est tout simplement un cauchemar.

Les rapports de vulnérabilités d'Anthropic pleuvent comme des flocons de neige vers les grandes communautés open source. Les auteurs n'en peuvent plus.

« Arrêtez de creuser ! S'il vous plaît, ralentissez ! Nous ne pouvons vraiment pas suivre pour les corrections ! »

Selon Anthropic, plusieurs mainteneurs open source ont récemment envoyé des e-mails « suppliants », leur demandant de ralentir le rythme des divulgations de vulnérabilités. Car la main-d'œuvre est gravement insuffisante.

Même en recevant un rapport détaillé, un développeur humain a encore besoin en moyenne de deux semaines entières pour corriger une vulnérabilité élevée.

Actuellement, sur les 1129 vulnérabilités soumises par Anthropic aux auteurs open source, seules 75 vulnérabilités élevées ont été corrigées avec succès. L'écosystème de sécurité actuel est gravement surchargé !

La magie contre la magie : la défense d'Anthropic

Puisque les humains ne peuvent plus suivre, utilisons la magie contre la magie.

Anthropic a lancé sans hésiter son plan de « Boîte à outils pour les défenseurs ».

Premièrement, le lancement en grande pompe de Claude Security.

C'est un outil d'automatisation conçu spécialement pour les clients de l'édition entreprise de Claude. Sa logique est : je ne me contente pas de vous aider à trouver les vulnérabilités dans votre base de code, je vous écris directement le correctif.

Trois semaines seulement après son lancement, les clients entreprises avaient déjà utilisé Opus 4.7 pour corriger à la vitesse de la lumière plus de 2100 vulnérabilités !

Deuxièmement, le « Programme de validation réseau ».

Anthropic commence à autoriser des chapeaux blancs professionnels, des testeurs de pénétration et des équipes de type rouge/bleu, dans le respect de la légalité, à lever certains des « freins de sécurité » du modèle Claude, pour de la recherche légitime de vulnérabilités et des tests sur champs de tir.

Encore plus intéressant, Anthropic a directement open sourcé une « chaîne de production de détection de BUGS ».

1 Instructions personnalisées (Skills) : Vous apprennent comment maintenir l'IA concentrée pour une revue de code approfondie.

2 Cadre d'automatisation (Harness) : Un système de commande permettant à Claude de parcourir automatiquement d'énormes bases de code, de cloner des sous-agents pour des analyses parallèles, de trier automatiquement les vulnérabilités et de générer des rapports.

3 Générateur de modélisation des menaces (Threat Model Builder) : Il suffit d'y jeter le code, et l'IA identifiera automatiquement les « points faibles » les plus faciles à attaquer dans le système, pour organiser en priorité une défense ciblée.

Le géant des réseaux Cisco s'est également manifesté, annonçant l'open source du système « Foundry Security Spec », pour construire des lignes de défense d'évaluation de la sécurité similaires à Mythos.

Désormais, c'est l'IA qui découvre les vulnérabilités, puis l'IA qui génère les correctifs, et les humains ne sont responsables que de la validation finale.

Cela, c'est la forme ultime de la cybersécurité future.

L'épée de Damoclès : Quand Mythos sera-t-il finalement publié publiquement ?

Alors, quand Claude Mythos sera-t-il officiellement disponible ?

L'attitude d'Anthropic reste pour l'instant très prudente.

Ils déclarent qu'une fois qu'ils auront construit des « garde-fous de sécurité plus puissants et de niveau supérieur », les modèles de niveau Mythos seront certainement entièrement déployés pour une publication publique !

Il ne peut pas être libéré maintenant, car il est tout simplement trop dangereux.

Comme l'indique le rapport de test de XBOW : Mythos Preview a réalisé dans les tests de référence d'exploitation de vulnérabilités Web « une avance significative intergénérationnelle sur tous les modèles existants », montrant même dans la génération de chaque token une « précision absolument sans précédent dans l'histoire ».

Anthropic est parfaitement conscient qu'actuellement, aucune entreprise au monde ne possède de mécanisme de sécurité suffisamment puissant pour garantir à 100% que ce modèle ne sera pas détourné.

Si l'API de Mythos était rendue publique aujourd'hui, demain, des organisations de hackers dans le monde, voire certains groupes extrémistes, pourraient produire en masse à un coût extrêmement faible des milliers d'outils d'exploitation Zero-day.

Les ordinateurs des particuliers, les systèmes des hôpitaux, les centres de contrôle du réseau électrique, feraient face à une catastrophe !

Les recommandations d'Anthropic sont :

1 Raccourcissez le cycle des correctifs ! Raccourcissez le cycle des correctifs ! Raccourcissez le cycle des correctifs ! N'attendez pas un mois pour publier une mise à jour, utilisez les outils d'IA existants (comme Opus 4.7) pour pousser les correctifs de sécurité aux utilisateurs le plus rapidement possible.

2 Stratégie de mise à jour forcée. Les développeurs doivent faire en sorte que les utilisateurs installent les mises à jour aussi facilement que possible, et pour les utilisateurs qui refusent catégoriquement de mettre à niveau, couper l'accès réseau de force. Revenez aux bases de la sécurité.

3 Renforcez l'authentification multi-facteurs (MFA), durcissez les configurations par défaut, conservez des journaux détaillés.

Le calme avant la tempête

Un mois, plus de 50 géants unissant leurs forces, plus de 10 000 vulnérabilités critiques, interception d'une fraude de 1,5 million de dollars… Ce n'est que le premier test de Claude Mythos Preview.

Actuellement, les développeurs humains traversent une période douloureuse — submergés par les rapports de l'IA, corrigeant des bugs latents depuis deux ou trois décennies.

Mais comme Anthropic le prévoit —

« Après avoir surmonté ces risques, un monde enthousiasmant nous fait signe : dans ce monde, le code important de l'humanité sera trempé pour être cent fois plus solide qu'aujourd'hui, et les attaques de pirates deviendront un terme historique extrêmement rare. »

Remercions silencieusement ces IA qui ont examiné sans relâche des centaines de millions de lignes de code.

Il est fort probable qu'elle vient juste de vous protéger d'une explosion nucléaire mortelle.

Références :

https://x.com/AnthropicAI/status/20579091025425495

Cet article provient du compte WeChat public « Xin Zhi Yuan », auteur : ASI Apocalypse, éditeur : Aeneas Moses