areza.
Blog
Claude Mythos & Projet Glasswing : Le modèle le plus puissant d'Anthropic est trop dangereux pour être publié
Automatisation

Claude Mythos & Projet Glasswing : Le modèle le plus puissant d'Anthropic est trop dangereux pour être publié

8 avril 2026

TL;DR

  • Le 7 avril 2026, Anthropic a dévoilé Claude Mythos Preview, un modèle frontier non publié qui a déjà découvert des milliers de vulnérabilités zero-day dans tous les grands systèmes d'exploitation et navigateurs web — dont un bug caché depuis 27 ans dans OpenBSD.
  • Anthropic ne rend pas Mythos publiquement disponible. À la place, il a lancé le Projet Glasswing — une initiative de 100 M$ avec AWS, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, Broadcom, JPMorgan Chase, Palo Alto Networks et la Linux Foundation — pour utiliser le modèle de manière défensive avant que des capacités similaires n'atteignent les attaquants.
  • Mythos ne surpasse pas Claude Opus 4.6 de justesse. Sur SWE-bench Pro, il obtient 77,8 % contre 53,4 % — un bond de 24 points sur un benchmark conçu pour être brutalement difficile.
  • Le message stratégique pour chaque chef d'entreprise : l'« écart de cybersécurité IA » entre attaquants et défenseurs va s'élargir considérablement. La plupart des PME ne sont pas prêtes.
  • Cet article détaille ce que nous savons réellement (avec sources), ce qui relève du buzz, et les trois mesures concrètes que les entreprises B2B européennes devraient prendre maintenant.

Qu'est-ce que Claude Mythos Preview ?

Claude Mythos Preview est un nouveau modèle frontier à usage général d'Anthropic — un cran au-dessus du Claude Opus 4.6 actuellement public — que l'entreprise décrit comme démontrant que les systèmes d'IA ont atteint des capacités de codage surpassant tous les humains sauf les plus qualifiés pour trouver et exploiter les vulnérabilités logicielles.

L'existence de Mythos n'était pas censée être publique. Une mauvaise configuration du système de gestion de contenu d'Anthropic fin mars a accidentellement révélé que l'entreprise travaillait sur un nouveau niveau de modèle plus grand et plus capable qu'Opus. Cette fuite a forcé la conversation dans le domaine public plus tôt qu'Anthropic ne l'avait probablement prévu.

Ce qui distingue Mythos de chaque autre lancement frontier des deux dernières années, c'est qu'Anthropic choisit explicitement de ne pas le publier au grand public. Newton Cheng, responsable Frontier Red Team Cyber chez Anthropic, a déclaré à VentureBeat que l'entreprise ne prévoit pas de rendre Claude Mythos Preview généralement disponible en raison de ses capacités en cybersécurité. C'est l'une des premières fois qu'un grand laboratoire d'IA retient un modèle phare en citant le risque sociétal plutôt que simplement la politique de sécurité comme argument de façade.

Les benchmarks : un saut générationnel, pas un incrément

Anthropic a publié un document de benchmark avec l'annonce, et l'écart entre Mythos Preview et le frontier public actuel (Claude Opus 4.6) n'est pas subtil. C'est le genre de saut que nous avons vu pour la dernière fois entre GPT-3.5 et GPT-4.

BenchmarkClaude Mythos PreviewClaude Opus 4.6Ce qu'il mesure
SWE-bench Verified93,9 %80,8 %Tâches réelles de génie logiciel
SWE-bench Pro77,8 %53,4 %Le niveau le plus difficile des benchmarks de codage
SWE-bench Multilingual87,3 %77,8 %Codage dans plusieurs langages de programmation
CyberGym83,1 %66,6 %Analyse de vulnérabilités par des agents IA
Humanity's Last Exam (sans outils)56,8 %40,0 %Raisonnement brut sur des problèmes quasi insolubles
Humanity's Last Exam (avec outils)64,7 %53,1 %Raisonnement assisté par outils
BrowseComp86,9 %83,7 %Recherche web en plusieurs étapes

Chiffres issus de la propre publication de benchmarks d'Anthropic, rapportés par OfficeChai, qui a noté que sur SWE-bench Pro, Mythos bat Opus 4.6 de 24 points et dépasse le meilleur score précédent de GPT-5.3-Codex de plus de 21 points.

Pour mettre cela en perspective : sur SWE-bench Verified seul, les 93,9 % de Mythos se situeraient à plus de 13 points au-dessus de tout modèle publiquement disponible sur le marché aujourd'hui. Ce n'est pas une mise à jour trimestrielle. C'est une remise à zéro du classement.

Une mise en garde importante qui n'apparaît pas dans la plupart des couvertures : Anthropic lui-même a signalé que Mythos performe bien sur Humanity's Last Exam même avec peu de calcul, ce que l'entreprise note comme un possible signe de mémorisation. Prenez ces chiffres HLE avec des pincettes — mais les sauts sur SWE-bench et CyberGym sont bien réels.

Projet Glasswing : Le pacte défensif à 100 millions

Au lieu de livrer Mythos aux utilisateurs à la façon ChatGPT, Anthropic le canalise dans une coalition. Le Projet Glasswing associe le Mythos Preview non publié à douze grandes entreprises technologiques et financières — Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks — pour trouver et corriger les vulnérabilités logicielles dans les infrastructures critiques avant que les adversaires ne puissent les exploiter.

L'engagement financier compte : Anthropic a étendu l'accès à plus de 40 organisations supplémentaires qui développent ou maintiennent des logiciels critiques, s'est engagé à fournir jusqu'à 100 millions de dollars en crédits d'utilisation, et a donné 4 millions de dollars à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et OpenSSF et 1,5 million à la Apache Software Foundation.

Pourquoi la liste des partenaires ressemble-t-elle à un Who's Who ? Parce que les entreprises de cybersécurité qui se sont longtemps enorgueillies de leur IA propriétaire admettent publiquement que la dernière version d'Anthropic détecte des zero-days qu'aucun autre outil n'a trouvés. Le fait que CrowdStrike et Palo Alto Networks adhèrent est la partie dont personne ne parle assez fort — ce sont des entreprises dont tout l'avantage concurrentiel repose sur "nous avons une meilleure IA de sécurité que vous".

Les découvertes zero-day : des bugs cachés depuis des décennies

C'est là que l'histoire cesse de ressembler à une mise à jour de benchmark et commence à ressembler à un tournant.

Au cours des dernières semaines, Anthropic a utilisé Claude Mythos Preview pour identifier des milliers de vulnérabilités zero-day — des failles précédemment inconnues des développeurs du logiciel —, beaucoup d'entre elles critiques, dans chaque grand système d'exploitation et chaque grand navigateur web.

L'exemple phare : le bug le plus ancien découvert par Mythos était une vulnérabilité dans OpenBSD qui était restée inconnue et non corrigée pendant 27 ans, et le modèle a également enchaîné plusieurs failles dans le noyau Linux pour obtenir un accès superutilisateur. OpenBSD est le système d'exploitation dont toute la réputation repose sur des audits rigoureux. Un trou vieux de 27 ans dedans est le genre de découverte qui fait s'arrêter les chercheurs en sécurité expérimentés.

Selon la couverture de 9to5Mac de l'annonce, certaines de ces vulnérabilités avaient survécu à des décennies d'examen humain et des millions de tests de sécurité automatisés. Cette formulation — "millions de tests de sécurité automatisés" — est la partie sur laquelle les dirigeants d'entreprise devraient réfléchir une minute. L'arsenal existant d'analyseurs statiques, de fuzzers et d'outils SAST n'a pas détecté ces failles. Un modèle de langage à usage général l'a fait.

Comment Anthropic l'a réellement testé

La méthodologie mérite d'être comprise car c'est le modèle que chaque équipe de sécurité défensive copiera au cours des 18 prochains mois. Anthropic lance un conteneur isolé d'internet qui exécute le projet testé avec son code source, puis invoque Claude Code avec Mythos Preview et lui donne essentiellement l'instruction "trouve une vulnérabilité de sécurité dans ce programme".

De là, le modèle agit de manière agentique : il lit le code pour formuler des hypothèses sur les vulnérabilités, exécute le projet pour confirmer ou infirmer ses soupçons, ajoute de la logique de débogage ou utilise des débogueurs selon les besoins, et produit finalement soit que aucun bug n'existe, soit un rapport de bug avec un exploit preuve de concept et des étapes de reproduction.

Pour mettre à l'échelle, Anthropic a ajouté deux optimisations intelligentes. Premièrement, ils demandent à Claude de noter chaque fichier du projet sur une échelle de 1 à 5 selon la probabilité qu'il contienne des bugs intéressants, puis lancent des agents sur les fichiers prioritaires en premier. Deuxièmement, ils exécutent à la fin un agent validateur séparé dont l'unique mission est de confirmer si chaque bug signalé est réel et pertinent, filtrant les découvertes techniquement valides mais non pertinentes.

C'est un workflow que n'importe quelle équipe d'ingénierie compétente peut répliquer aujourd'hui en utilisant des modèles publiquement disponibles — à une capacité inférieure, mais avec la même structure. C'est l'information actionnable enfouie dans l'annonce.

Pourquoi Anthropic retient Mythos

Deux raisons, une déclarée et une évidente.

La raison déclarée : le risque de double usage. Anthropic prévoit d'abord de lancer de nouvelles protections avec un prochain modèle Claude Opus, permettant à l'entreprise d'affiner ces protections sur un modèle qui ne présente pas le même niveau de risque que Mythos Preview. Traduction : la même capacité qui permet aux défenseurs de corriger les zero-days permet aux attaquants de les trouver. Jusqu'à ce qu'Anthropic ait des moyens fiables pour détecter et bloquer l'usage offensif, une publication publique signifierait remettre un passe-partout à quiconque possède une carte de crédit.

La raison évidente : la puissance de calcul. Un brouillon de billet de blog qui a fuité en mars décrivait Mythos comme un modèle volumineux et gourmand en calcul qui serait coûteux à utiliser tant pour Anthropic que pour ses clients. La même semaine où Glasswing a été lancé, Broadcom a signé un accord élargi donnant à Anthropic accès à environ 3,5 gigawatts de capacité informatique basée sur les processeurs IA de Google. 3,5 gigawatts correspond à peu près à la production de trois réacteurs nucléaires. Même avec ça, servir Mythos à 20 millions d'utilisateurs à la façon ChatGPT serait impossible avec l'efficacité actuelle.

Donc le cadrage "nous sommes prudents" est réel — et c'est aussi une façon pratique de lancer un modèle que l'entreprise ne pourrait pas servir de toute façon.

Ce que ça signifie concrètement pour votre entreprise

C'est la partie que la plupart des couvertures sautent. En filtrant le culte des benchmarks et les perspectives catastrophistes, trois choses changent pour les entreprises B2B européennes dès maintenant.

1. L'« écart de cybersécurité IA » va s'élargir considérablement

Depuis deux ans, l'hypothèse était que l'IA aide attaquants et défenseurs à peu près également. Mythos est le premier signal crédible que les défenseurs pourraient prendre de l'avance — mais uniquement les défenseurs à l'intérieur de la coalition Glasswing. Tous les autres opèrent avec Claude Opus 4.6, GPT-5 et Gemini 3 Pro — des modèles capables, mais pas de niveau Mythos.

Si vous gérez un SaaS, une boutique e-commerce, ou toute entreprise avec une base de données clients, l'implication pratique est la suivante : dans 12 à 18 mois, les versions publiques de ces modèles rattraperont le niveau actuel de Mythos. Vos attaquants y auront accès en même temps que vous. La fenêtre pour durcir vos systèmes est maintenant, pendant que l'asymétrie favorise encore les défenseurs qui agissent tôt.

2. Les audits de sécurité au niveau du code sont devenus abordables

Jusqu'à cette annonce, un audit sérieux de sécurité applicative coûtait 15 000–80 000 € et prenait des semaines. La méthodologie Mythos — code conteneurisé, chasse aux vulnérabilités agentique, agents validateurs — peut être exécutée aujourd'hui avec Claude Opus 4.6 ou Sonnet 4.6 à une fraction de ce coût. Pas au niveau de qualité Mythos, mais au niveau "détecte les choses évidentes qui deviendraient autrement une brèche".

Pour la plupart des PME européennes utilisant des applications Next.js, Laravel ou Rails, c'est la différence entre n'avoir jamais d'audit de sécurité et en avoir un chaque trimestre. C'est là où les cabinets de conseil en IA — y compris le nôtre chez areza.digital — devraient construire des offres productisées maintenant.

3. La question de la chaîne d'approvisionnement logicielle devient plus pressante

L'objectif déclaré du Projet Glasswing est l'open source et les infrastructures critiques. Jim Zemlin, directeur exécutif de la Linux Foundation, a souligné que l'expertise en sécurité a historiquement été un luxe réservé aux organisations dotées de grandes équipes de sécurité, tandis que les mainteneurs open source ont été laissés à eux-mêmes.

Si vous construisez sur de l'open source — et toute entreprise moderne le fait —, votre chaîne d'approvisionnement va être auditée par Mythos que vous participiez ou non. Les vulnérabilités dans vos dépendances seront trouvées et corrigées plus vite que vous ne pouvez les appliquer. La cadence de vos correctifs devient un facteur de risque concurrentiel. Les entreprises qui mettent à jour leurs dépendances automatiquement chaque semaine seront plus sûres que celles qui le font trimestriellement. C'est un changement de processus, pas d'outillage, et il ne coûte rien à mettre en place.

Ce qui est du buzz, ce qui est réel

Quelques affirmations circulant sur LinkedIn et X aujourd'hui qui méritent d'être vérifiées soigneusement :

  • "Mythos coûte 5 fois plus cher qu'Opus 4.6" — Non officiellement confirmé dans les matériaux publiés par Anthropic. Provient de commentaires secondaires. À traiter comme spéculation.
  • "Un ingénieur sans formation en sécurité a trouvé des exploits du jour au lendemain" — Anecdote prétendument partagée dans les matériaux internes d'Anthropic, répétée dans des posts viraux mais pas dans l'annonce officielle. Plausible, non vérifié.
  • "USAMO olympiade de mathématiques 97,6 %" et "Cybench 100 % de résolution" — Ces chiffres apparaissent dans certains posts sociaux mais n'ont pas pu être confirmés dans le document de benchmark publié par Anthropic. Les benchmarks vérifiés sont ceux du tableau ci-dessus.

Si vous écrivez sur Mythos pour votre propre audience, restez-en aux chiffres sourcés. L'histoire vérifiée est suffisamment dramatique — vous n'avez pas besoin des embellissements.

FAQ

Qu'est-ce que Claude Mythos Preview ? Claude Mythos Preview est un modèle d'IA frontier non publié d'Anthropic, plus capable que le Claude Opus 4.6 actuellement public. Il démontre des améliorations significatives en codage, raisonnement, et surtout en découverte de vulnérabilités de cybersécurité.

Puis-je utiliser Claude Mythos ? Non. Anthropic ne rend pas Mythos généralement disponible. L'accès est limité aux partenaires du Projet Glasswing — actuellement 12 grandes entreprises technologiques et financières plus environ 40 organisations supplémentaires maintenant des infrastructures logicielles critiques.

Qu'est-ce que le Projet Glasswing ? Le Projet Glasswing est une initiative de cybersécurité défensive de 100 M$ lancée par Anthropic le 7 avril 2026, en partenariat avec AWS, Apple, Google, Microsoft, NVIDIA, Broadcom, Cisco, CrowdStrike, JPMorgan Chase, la Linux Foundation et Palo Alto Networks pour utiliser Claude Mythos Preview pour trouver et corriger les vulnérabilités dans les infrastructures critiques.

Combien de vulnérabilités Mythos a-t-il trouvées ? Anthropic rapporte des milliers de vulnérabilités zero-day découvertes dans tous les grands systèmes d'exploitation et navigateurs web, dont un bug vieux de 27 ans dans OpenBSD et une chaîne de failles du noyau Linux permettant une escalade de privilèges superutilisateur.

Quand Mythos sera-t-il publié ? Anthropic ne s'est pas engagé sur une date de publication publique. L'entreprise prévoit d'abord de développer de nouvelles protections avec un prochain modèle Claude Opus avant d'envisager un déploiement plus large de la classe Mythos.

Que devrait faire mon entreprise à ce sujet ? Trois choses : resserrez votre cadence de mise à jour des dépendances, effectuez des analyses de vulnérabilités sur votre propre base de code avec des modèles actuellement disponibles (Opus 4.6 ou Sonnet 4.6 avec la méthodologie publiée par Anthropic), et traitez les 12 à 18 prochains mois comme la fenêtre pour durcir vos systèmes avant que des capacités équivalentes n'atteignent les attaquants.

La conclusion

Claude Mythos n'est pas juste un autre lancement de modèle. C'est la première fois qu'un laboratoire d'IA frontier a dit, publiquement, que l'un de ses propres modèles est trop capable pour être publié — et l'a suffisamment sérieusement pris pour le donner à une coalition de concurrents à la place. Que vous lisiez cela comme une gestion responsable ou du théâtre stratégique, la capacité sous-jacente est réelle, et l'asymétrie qu'elle crée entre les membres internes de la coalition et tout le monde va façonner la sécurité logicielle B2B européenne pendant les 18 prochains mois.

Si vous êtes un fondateur, CTO ou opérateur qui cherche à comprendre ce qu'il faut concrètement faire avec cela — pas seulement hocher la tête sagement sur LinkedIn — c'est la conversation que nous avons chez areza.digital chaque semaine. Nous aidons les entreprises européennes à traduire les capacités d'IA frontier en systèmes qui développent, sécurisent et évoluent. Réserver un appel découverte de 30 minutes →

Rédigé par Nikita Janochkin, fondateur d'areza.digital. Sources : blog Anthropic Frontier Red Team, annonce Anthropic Glasswing, VentureBeat, TechCrunch, The New Stack, OfficeChai, IT Pro, 9to5Mac, Axios. Dernière mise à jour le 8 avril 2026.

Arrêtez de perdre des prospects à cause d'un site lent

Réservez un audit de friction gratuit et voyez exactement où votre site perd de l'argent.

Réserver un appel →