Anthropic a annoncé Claude Mythos , un nouveau modèle d'intelligence artificielle qui, selon l'entreprise, serait capable de détecter les vulnérabilités de n'importe quel logiciel, des systèmes d'exploitation aux navigateurs, et de développer de manière autonome des exploits fonctionnels . Dans le monde de l'IA, une telle affirmation est généralement à prendre avec des pincettes ; pourtant, cette fois-ci, même les plus sceptiques semblent la prendre au sérieux. Anthropic a choisi de diffuser Mythos en avant-première uniquement à un groupe restreint d'organisations, dont Microsoft, Apple, Google et la Linux Foundation , au sein d'un consortium appelé Project Glasswing . L'objectif est de donner aux équipes de sécurité une longueur d'avance : identifier les vulnérabilités de leurs systèmes avant que ces failles ne tombent entre de mauvaises mains. Ce qui inquiète le plus les experts, ce n'est pas tant la capacité à trouver des vulnérabilités individuelles, que les modèles d'IA savent déjà faire, mais plutôt la capacité à construire des chaînes d'exploitation : des séquences de failles liées entre elles qui, exploitées dans l'ordre, permettent de compromettre profondément un système. Elles constituent la base des attaques zéro clic , celles qui ne nécessitent aucune interaction de la part de la victime, et qui étaient jusqu'à présent l'apanage d'acteurs très sophistiqués.

Comme l'explique Niels Provos, ingénieur et chercheur en sécurité, Mythos ne s'attaque pas au problème de fond — à savoir que les entreprises utilisent des logiciels vulnérables et peinent à les mettre à jour — mais réduit considérablement le niveau d'expertise requis pour identifier et exploiter ces vulnérabilités. Concrètement, des attaques qui exigeaient auparavant des équipes de chercheurs experts pourraient devenir accessibles à un public beaucoup plus large. Alex Zenla, le directeur technique d'Edera, utilise une image saisissante : c'est comme avoir un million de chercheurs en sécurité travaillant en parallèle, affranchis des limitations de mémoire et d'attention des humains, capables de suivre de vastes chaînes de vulnérabilités et de vérifier systématiquement leur exploitabilité. L'enthousiasme ne fait pas l'unanimité. Certains, comme le consultant Davi Ottenheimer, comparent le lancement de Mythos aux prédicateurs des westerns spaghetti : on insiste tellement sur la fin du monde, et puis quelqu'un s'enfuit avec l'argent de tout le monde.

Et c'est une objection légitime : présenter un modèle comme mystérieux et exclusif présente des avantages marketing évidents pour Anthropic, et ce n'est pas la première fois qu'un nouveau développement en matière d'IA est exagéré. Le fait que Scott Bessent et Jerome Powell , respectivement secrétaire au Trésor et président de la Réserve fédérale des États-Unis, aient réuni des dirigeants du secteur financier pour discuter de Mythos suggère que cette inquiétude n'est pas superficielle. Anthropic souligne d'ailleurs que Mythos n'est que le premier modèle à atteindre ces capacités et que d'autres suivront : l'avance temporelle accordée au projet Glasswing vise précisément à se préparer avant que le reste du marché, y compris les acteurs malveillants, n'atteigne le même niveau. L'ancienne directrice de l'agence américaine de cybersécurité, Jen Easterly, a présenté le problème sous un jour plus optimiste : une IA capable de détecter les vulnérabilités à l'échelle industrielle pourrait enfin inciter l'industrie à concevoir dès le départ des logiciels plus sécurisés , au lieu de courir après les correctifs sans fin.