Discussion :

[Jade Emy]

La fuite concernant « Claude Mythos » d'Anthropic révèle le nouveau modèle d'IA le plus puissant jamais développé par l'entreprise en matière de raisonnement et de programmation, mais il comporte des risques

Le dernier modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public, comme l'a rapporté Fortune. La start-up spécialisée dans l'IA aurait laissé le brouillon de l'article de blog annonçant Mythos dans un lac de données public et non sécurisé. L'entreprise a également qualifié les documents non publiés présents dans le lac de données de « premières ébauches de contenu envisagées pour publication ». Un porte-parole d'Anthropic, s'exprimant auprès de Fortune au sujet du nouveau modèle, a déclaré : « Nous développons un modèle polyvalent présentant des avancées significatives en matière de raisonnement, de codage et de cybersécurité. »

Anthropic PBC est une entreprise américaine spécialisée dans l'intelligence artificielle (IA) dont le siège social est situé à San Francisco. Elle a développé une famille de grands modèles de langage (LLM) baptisée Claude. Anthropic fonctionne comme une société d'intérêt public qui mène des activités de recherche et de développement en IA afin « d'étudier leurs propriétés de sécurité à la frontière technologique » et d'utiliser ces recherches pour déployer des modèles sûrs destinés au grand public.

Récemment, le dernier modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public, comme l'a rapporté Fortune. Après la révélation de la fuite du modèle d'IA, un porte-parole d'Anthropic a confirmé son existence et a souligné que le modèle représentait « un changement radical » en termes de performances d'IA et qu'il était « le plus performant que nous ayons construit à ce jour ».

Les détails concernant le nouveau modèle auraient été stockés dans un brouillon de blog accessible dans un entrepôt de données non sécurisé et consultable par le public. Anthropic estime que son prochain modèle présente des risques de cybersécurité sans précédent. Anthropic aurait laissé près de 3 000 ressources liées à l'article de blog qui n'avaient pas été publiées auparavant sur les sites d'actualités ou de recherche de l'entreprise.

La start-up spécialisée dans l'IA aurait laissé le brouillon de l'article de blog annonçant Mythos dans un lac de données public et non sécurisé, qui a été découvert par Roy Paz, chercheur senior en sécurité de l'IA. Après avoir été informée de la faille, Anthropic a immédiatement empêché le public de rechercher et de récupérer des documents dans le référentiel de données. Anthropic a imputé la fuite à une « erreur humaine » dans la configuration de son système de gestion de contenu (CMS), qui a rendu le brouillon de l'article de blog accessible au public. L'entreprise a également qualifié les documents non publiés présents dans le lac de données de « premières ébauches de contenu envisagées pour publication ».

La révélation la plus importante issue de cette fuite est un brouillon d'article de blog détaillant le modèle de nouvelle génération d'Anthropic. Ce brouillon présentait un tout nouveau niveau de modèles d'IA appelé « Capybara ». Il convient de noter qu'Anthropic divise jusqu'à présent ses modèles en trois niveaux : Haiku (le plus rapide), Sonnet (niveau intermédiaire) et Opus (le plus grand/le plus performant). Cependant, il semble que l'entreprise envisage d'introduire Capybara comme prochain modèle haut de gamme, qui pourrait être plus volumineux, plus performant et plus coûteux qu'Opus.

Selon le document divulgué, Capybara obtient des scores nettement supérieurs en matière de codage logiciel, de raisonnement académique et de tâches liées à la cybersécurité par rapport au meilleur modèle précédent d'Anthropic, Claude Opus 4.6. Le brouillon de l'article de blog mentionne également qu'Anthropic a achevé l'entraînement de Claude Mythos, décrit comme « de loin le modèle d'IA le plus puissant que nous ayons jamais développé ».

Un porte-parole d'Anthropic, s'exprimant auprès de Fortune au sujet du nouveau modèle, a déclaré : « Nous développons un modèle polyvalent présentant des avancées significatives en matière de raisonnement, de codage et de cybersécurité. » « Compte tenu de la puissance de ses capacités, nous réfléchissons mûrement à la manière dont nous allons le commercialiser. Conformément aux pratiques courantes du secteur, nous travaillons avec un petit groupe de clients bénéficiant d’un accès anticipé pour tester le modèle. Nous considérons ce modèle comme une avancée majeure et le plus performant que nous ayons construit à ce jour », a ajouté le porte-parole.

Parallèle intéressant, en janvier dernier, Microsoft a encouragé une partie significative de ses équipes internes à utiliser Claude Code, l'outil de programmation IA développé par Anthropic. Depuis des mois, les communautés techniques comparent les forces et les faiblesses de Claude Code, Cursor ou encore GitHub Copilot, sans qu’un vainqueur incontestable ne s’impose. Claude Code se distingue toutefois par un point clé : sa facilité d’usage. Là où certains outils restent cantonnés à des profils très techniques, Claude Code est perçu comme plus accessible, y compris pour des utilisateurs non développeurs.

Le brouillon de l'article de blog aurait également abordé les risques liés à la cybersécurité associés à Claude Capybara. « Nous souhaitons comprendre les risques potentiels à court terme du modèle dans le domaine de la cybersécurité, et partager ces résultats afin d'aider les cyberdéfenseurs à se préparer », peut-on lire dans le document. Anthropic aurait également averti que le modèle est « bien en avance sur tout autre modèle d'IA en matière de capacités cybernétiques » et qu'il pourrait déclencher une « vague de modèles capables d'exploiter les vulnérabilités d'une manière qui dépasse de loin les efforts des défenseurs ».

Cette fuite intervient dans un contexte où les récentes avancées d'Anthropic suscitent une attention accrue. Depuis deux ans, la plupart des éditeurs de logiciels ont adopté une posture rassurante. L’intelligence artificielle était présentée comme une couche supplémentaire, un accélérateur de productivité venant enrichir des produits existants sans en bouleverser l’architecture ni le modèle économique. Cependant, les avancées mises en avant par Anthropic, notamment autour d’agents capables de raisonner, de planifier et d’exécuter des tâches complexes de bout en bout, suggèrent que l’IA ne se contente plus d’assister le logiciel. Elle commence à en devenir le cœur fonctionnel, voire un substitut. Pour le marché, cette nuance inquiète les investisseurs.

Source : Fortune

Et vous ?

Pensez-vous que cette fuite est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Anthropic dote les assistants IA Claude Code et Cowork de capacités leur permettant d'effectuer des tâches de manière autonome sur votre PC, mais cette initiative pose plusieurs risques en matière de sécurité

La start-up française Mistral AI lance Mistral Small 4, un modèle d'IA open source qui combine raisonnement, programmation et IA multimodale, pour offrir un outil unique et adaptable

OpenAI déploie GPT-5.4 Mini et Nano pour une IA d'entreprise en temps réel et à faible latence, apportant de nombreux atouts de GPT-5.4 à des petits modèles plus rapides et plus efficaces

[Alex]

Anthropic annonce qu'il ne commercialiserait pas son dernier modèle, Mythos, car celui-ci s'avère trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les systèmes d'exploitation

Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle.

Fin mars, le dernier modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public. La start-up spécialisée dans l'IA aurait laissé le brouillon de l'article de blog annonçant Mythos dans un lac de données public et non sécurisé. Un porte-parole d'Anthropic a déclaré : « Nous développons un modèle polyvalent présentant des avancées significatives en matière de raisonnement, de codage et de cybersécurité. »

Récemment, le géant de l'IA Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle. Mythos sera donc utilisé dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires.

Anthropic a révélé que Mythos était capable de s'échapper d'un bac à sable virtuel lorsqu'on le lui demandait, allant même jusqu'à envoyer un e-mail inattendu à un chercheur pour prouver son évasion. Dans un autre cas, le modèle a publié des détails de son exploit sur des sites web obscurs mais accessibles au public sans qu’on le lui demande. La société a également mentionné que Mythos avait même redécouvert une vulnérabilité vieille de 27 ans dans OpenBSD, longtemps considéré comme l’un des systèmes d’exploitation les plus sécurisés. Des ingénieurs sans formation officielle en sécurité auraient demandé à Mythos de trouver des vulnérabilités d’exécution de code à distance pendant la nuit et se sont réveillés avec des exploits complets et fonctionnels.

Pour l’instant, Mythos ne sera accessible qu’à 11 organisations sélectionnées, dont Google, Microsoft, Amazon Web Services, Nvidia et JPMorgan Chase, dans le cadre d’une initiative de cybersécurité baptisée « Project Glasswing ». Anthropic fournit jusqu’à 100 millions de dollars de crédits d’utilisation pour ce programme, qui tire son nom du papillon transparent « glasswing », une métaphore pour exposer les vulnérabilités cachées tout en évitant de causer du tort.

Anthropic a déclaré que son objectif à long terme était de commercialiser des « modèles de classe Mythos » une fois que des mesures de sécurité auront été mises au point pour bloquer les résultats dangereux. « Notre objectif final est de permettre à nos utilisateurs de déployer en toute sécurité des modèles de classe Mythos à grande échelle, à des fins de cybersécurité mais aussi pour profiter de la myriade d’autres avantages que ces modèles hautement performants apporteront », a écrit la société.

Cette annonce intervient quelques semaines seulement après qu’Anthropic a assoupli un engagement de sécurité antérieur et lancé Claude Opus 4.6, son modèle public le plus puissant à ce jour. Elle a également coïncidé avec une panne majeure affectant Claude et Claude Code, soulignant les difficultés liées à l’ascension rapide d’Anthropic. En outre, les récentes avancées dans le domaine des outils, comme ceux proposés par le développeur d'IA Anthropic, suscitent désormais une attention accrue. Les craintes des investisseurs quant au fait que les nouveaux développements en matière d'intelligence artificielle puissent supplanter les logiciels ont eu des répercussions sur le marché boursier, faisant chuter les actions des entreprises qui développent, concèdent sous licence et même investissent dans des codes et des systèmes.

Voici l'annonce d'Anthropic :

Projet Glasswing : Sécuriser les logiciels critiques à l'ère de l'IA

Nous annonçons aujourd’hui le lancement du projet Glasswing, une nouvelle initiative qui rassemble Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks dans le but de sécuriser les logiciels les plus critiques au monde.

Nous avons créé le projet Glasswing en raison des capacités que nous avons observées dans un nouveau modèle de pointe formé par Anthropic et qui, selon nous, pourrait révolutionner la cybersécurité. Claude Mythos Preview est un modèle de pointe polyvalent, non encore commercialisé, qui révèle une réalité frappante : les modèles d’IA ont atteint un niveau de capacité de codage tel qu’ils peuvent surpasser tous les humains, sauf les plus compétents, dans la détection et l’exploitation des vulnérabilités logicielles.

Mythos Preview a déjà détecté des milliers de vulnérabilités de gravité élevée, dont certaines dans tous les principaux systèmes d'exploitation et navigateurs web. Compte tenu du rythme des progrès de l'IA, ces capacités ne tarderont pas à se généraliser, potentiellement au-delà des acteurs qui s'engagent à les déployer en toute sécurité. Les répercussions — sur les économies, la sécurité publique et la sécurité nationale — pourraient être graves. Le projet Glasswing est une initiative urgente visant à mettre ces capacités au service de la défense.

Dans le cadre du projet Glasswing, les partenaires de lancement mentionnés ci-dessus utiliseront Mythos Preview dans le cadre de leurs activités de sécurité défensive ; Anthropic partagera les enseignements tirés afin que l'ensemble du secteur puisse en bénéficier. Nous avons également étendu l'accès à un groupe de plus de 40 organisations supplémentaires qui développent ou gèrent des infrastructures logicielles critiques, afin qu'elles puissent utiliser le modèle pour analyser et sécuriser à la fois les systèmes propriétaires et open source. Anthropic s'engage à fournir jusqu'à 100 millions de dollars de crédits d'utilisation pour Mythos Preview dans le cadre de ces efforts, ainsi que 4 millions de dollars de dons directs à des organisations de sécurité open source.

Le projet Glasswing est un point de départ. Aucune organisation ne peut résoudre seule ces problèmes de cybersécurité : les développeurs d'IA de pointe, les autres éditeurs de logiciels, les chercheurs en sécurité, les responsables de la maintenance open source et les gouvernements du monde entier ont tous un rôle essentiel à jouer. Le travail de défense de l'infrastructure cybernétique mondiale pourrait prendre des années ; les capacités de l'IA de pointe sont susceptibles de progresser considérablement au cours des prochains mois. Pour que les cyberdéfenseurs prennent l'avantage, nous devons agir maintenant.

La cybersécurité à l’ère de l’IA

Les logiciels sur lesquels nous comptons tous au quotidien — chargés de faire fonctionner les systèmes bancaires, de stocker les dossiers médicaux, de relier les réseaux logistiques, de maintenir les réseaux électriques en état de marche, et bien plus encore — ont toujours contenu des bogues. Beaucoup sont mineurs, mais certains constituent de graves failles de sécurité qui, si elles étaient découvertes, pourraient permettre à des cyberattaquants de détourner des systèmes, de perturber les opérations ou de voler des données.

Nous avons déjà constaté les graves conséquences des cyberattaques sur les réseaux d'entreprises importants, les systèmes de santé, les infrastructures énergétiques, les nœuds de transport et la sécurité de l'information des agences gouvernementales à travers le monde. À l'échelle mondiale, les attaques commanditées par des États, menées par des acteurs tels que la Chine, l'Iran, la Corée du Nord et la Russie, ont menacé de compromettre les infrastructures qui sous-tendent à la fois la vie civile et la préparation militaire. Même les attaques à plus petite échelle, comme celles qui ciblent des hôpitaux ou des écoles individuels, peuvent causer des dommages économiques considérables, exposer des données sensibles et même mettre des vies en danger. Le coût financier mondial actuel de la cybercriminalité est difficile à estimer, mais pourrait s'élever à environ 500 milliards de dollars chaque année.

De nombreuses failles logicielles passent inaperçues pendant des années, car leur détection et leur exploitation nécessitaient une expertise que seuls quelques experts en sécurité possédaient. Grâce aux modèles d’IA de pointe, le coût, l’effort et le niveau d’expertise requis pour détecter et exploiter les vulnérabilités logicielles ont tous considérablement diminué. Au cours de l'année écoulée, les modèles d'IA sont devenus de plus en plus efficaces pour lire et analyser le code ; ils font notamment preuve d'une capacité remarquable à repérer les vulnérabilités et à trouver des moyens de les exploiter. Claude Mythos Preview illustre une avancée considérable dans ces compétences cybernétiques : les vulnérabilités qu'il a détectées ont, dans certains cas, échappé à des décennies d'examen humain et à des millions de tests de sécurité automatisés, et les exploits qu'il développe sont de plus en plus sophistiqués.

Dix ans après le premier DARPA Cyber Grand Challenge, les modèles d’IA de pointe rivalisent désormais avec les meilleurs experts humains pour détecter et exploiter les vulnérabilités. Sans les mesures de protection nécessaires, ces puissantes capacités cybernétiques pourraient être utilisées pour exploiter les nombreuses failles existantes dans les logiciels les plus importants au monde. Cela pourrait rendre les cyberattaques de toutes sortes beaucoup plus fréquentes et destructrices, et renforcer les adversaires des États-Unis et de leurs alliés. La résolution de ces problèmes constitue donc une priorité sécuritaire majeure pour les États démocratiques.

Bien que les risques liés aux cyberattaques assistées par l'IA soient réels, il y a des raisons d'être optimiste : les mêmes capacités qui rendent les modèles d'IA dangereux entre de mauvaises mains les rendent inestimables pour détecter et corriger les failles dans les logiciels essentiels, ainsi que pour développer de nouveaux logiciels comportant bien moins de failles de sécurité. Le projet Glasswing constitue une étape importante pour offrir aux défenseurs un avantage durable dans la future ère de la cybersécurité axée sur l'IA.

Identification des vulnérabilités et des exploits avec Claude Mythos Preview

Au cours des dernières semaines, nous avons utilisé Claude Mythos Preview pour identifier des milliers de vulnérabilités « zero-day » (c'est-à-dire des failles jusqu'alors inconnues des développeurs du logiciel), dont beaucoup sont critiques, dans tous les principaux systèmes d'exploitation et navigateurs Web, ainsi que dans toute une série d'autres logiciels importants.

Dans un article publié sur notre blog Frontier Red Team, nous fournissons des détails techniques sur un sous-ensemble de ces vulnérabilités qui ont déjà été corrigées et, dans certains cas, sur les moyens que Mythos Preview a trouvés pour les exploiter. Il a été capable d'identifier la quasi-totalité de ces vulnérabilités — et de développer de nombreux exploits associés — de manière entièrement autonome, sans aucune intervention humaine. Voici trois exemples :

- Mythos Preview a découvert une vulnérabilité vieille de 27 ans dans OpenBSD — qui a la réputation d’être l’un des systèmes d’exploitation les plus sécurisés au monde et qui est utilisé pour faire fonctionner des pare-feu et d’autres infrastructures critiques. Cette vulnérabilité permettait à un attaquant de provoquer à distance le plantage de n’importe quelle machine exécutant ce système d’exploitation, simplement en s’y connectant ;

- Il a également découvert une vulnérabilité vieille de 16 ans dans FFmpeg — utilisé par d’innombrables logiciels pour encoder et décoder des vidéos — dans une ligne de code que les outils de test automatisés avaient parcourue cinq millions de fois sans jamais détecter le problème ;

- Le modèle a détecté de manière autonome et mis en relation plusieurs vulnérabilités du noyau Linux — le logiciel qui fait fonctionner la plupart des serveurs dans le monde — permettant à un attaquant de passer d'un accès d'utilisateur ordinaire au contrôle total de la machine.

Nous avons signalé les vulnérabilités ci-dessus aux responsables de la maintenance des logiciels concernés, et elles ont toutes été corrigées. Pour de nombreuses autres vulnérabilités, nous fournissons aujourd’hui un hachage cryptographique des détails (voir le blog Red Team), et nous en dévoilerons les spécificités une fois qu’un correctif aura été mis en place.

Des benchmarks d'évaluation tels que CyberGym soulignent la différence substantielle entre Mythos Preview et notre deuxième meilleur modèle, Claude Opus 4.6 :

Les puissantes capacités cybernétiques de Claude Mythos Preview résultent de ses solides compétences en matière de codage et de raisonnement. Par exemple, comme le montrent les résultats d’évaluation ci-dessous, le modèle obtient les scores les plus élevés de tous les modèles développés à ce jour pour diverses tâches de codage logiciel.

Vous trouverez plus d’informations sur les capacités du modèle, ses propriétés de sécurité et ses caractéristiques générales dans la fiche technique de Claude Mythos Preview.

Nous ne prévoyons pas de rendre Claude Mythos Preview accessible au grand public, mais notre objectif final est de permettre à nos utilisateurs de déployer en toute sécurité des modèles de classe Mythos à grande échelle — à des fins de cybersécurité, mais aussi pour profiter de la myriade d’autres avantages que ces modèles hautement performants apporteront. Pour ce faire, nous devons progresser dans le développement de mesures de sécurité (notamment en matière de cybersécurité) capables de détecter et de bloquer les résultats les plus dangereux du modèle. Nous prévoyons de lancer de nouvelles mesures de sécurité avec le prochain modèle Claude Opus, ce qui nous permettra de les améliorer et de les affiner à l'aide d'un modèle ne présentant pas le même niveau de risque que Mythos Preview.

Les grandes lignes du projet Glasswing

L'annonce faite aujourd'hui marque le début d'une initiative à long terme. Pour aboutir, celle-ci nécessitera une large participation de l'ensemble du secteur technologique et au-delà.

Les partenaires du projet Glasswing auront accès à Claude Mythos Preview afin d'identifier et de corriger les vulnérabilités ou les faiblesses de leurs systèmes fondamentaux — des systèmes qui représentent une très grande partie de la surface d'attaque cybernétique mondiale. Nous prévoyons que ce travail se concentrera sur des tâches telles que la détection locale des vulnérabilités, les tests de type « boîte noire » des binaires, la sécurisation des terminaux et les tests d'intrusion des systèmes.

L'engagement d'Anthropic, qui consiste à offrir 100 millions de dollars de crédits d'utilisation du modèle au projet Glasswing et aux autres participants, couvrira une utilisation substantielle tout au long de cette phase de prévisualisation de la recherche. Par la suite, Claude Mythos Preview sera accessible aux participants au tarif de 25 $ ou 125 $ par million de jetons d'entrée/sortie (les participants peuvent accéder au modèle via l'API Claude, Amazon Bedrock, Vertex AI de Google Cloud et Microsoft Foundry).

En plus de notre engagement en crédits d'utilisation de modèles, nous avons fait un don de 2,5 millions de dollars à Alpha-Omega et à l'OpenSSF par l'intermédiaire de la Linux Foundation, et de 1,5 million de dollars à l'Apache Software Foundation afin de permettre aux responsables de la maintenance des logiciels open source de s'adapter à ce paysage en mutation (les responsables intéressés peuvent postuler via le programme Claude for Open Source).

Nous avons l’intention d’étendre la portée de ce travail et de le poursuivre pendant de nombreux mois, et nous partagerons autant d’informations que possible afin que d’autres organisations puissent appliquer ces enseignements à leur propre sécurité. Les partenaires partageront, dans la mesure de leurs moyens, des informations et des bonnes pratiques entre eux ; dans un délai de 90 jours, Anthropic rendra compte publiquement de ce que nous avons appris, ainsi que des vulnérabilités corrigées et des améliorations apportées qui peuvent être divulguées. Nous collaborerons également avec des organisations de sécurité de premier plan afin de produire un ensemble de recommandations pratiques sur la manière dont les pratiques de sécurité devraient évoluer à l’ère de l’IA. Cela inclura potentiellement :

- Les processus de divulgation des vulnérabilités ;
- Les processus de mise à jour logicielle ;
- La sécurité de l’open source et de la chaîne d’approvisionnement ;
- Le cycle de vie du développement logiciel et les pratiques de sécurité dès la conception ;
- Les normes pour les secteurs réglementés ;
- La mise à l’échelle et l’automatisation du triage ; et
- L’automatisation des correctifs.

Anthropic est également en discussion permanente avec des responsables du gouvernement américain au sujet de Claude Mythos Preview et de ses capacités cybernétiques offensives et défensives. Comme nous l’avons souligné plus haut, la sécurisation des infrastructures critiques est une priorité absolue en matière de sécurité nationale pour les pays démocratiques — l’émergence de ces capacités cybernétiques est une raison supplémentaire pour laquelle les États-Unis et leurs alliés doivent conserver une avance décisive dans le domaine des technologies d’IA. Les gouvernements ont un rôle essentiel à jouer pour aider à maintenir cette avance, ainsi que pour évaluer et atténuer les risques pour la sécurité nationale associés aux modèles d’IA. Nous sommes prêts à collaborer avec les représentants locaux, régionaux et fédéraux pour contribuer à ces tâches.

Nous espérons que le projet Glasswing pourra donner naissance à une initiative plus large impliquant l'industrie et le secteur public, toutes les parties contribuant à répondre aux questions les plus importantes concernant l'impact des modèles puissants sur la sécurité. Nous invitons les autres acteurs du secteur de l'IA à se joindre à nous pour aider à définir les normes de l'industrie. À moyen terme, un organisme tiers indépendant, capable de rassembler des organisations des secteurs privé et public, pourrait constituer le cadre idéal pour poursuivre les travaux sur ces projets de cybersécurité à grande échelle.

Source : Annonce d'Anthropic

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

La société spécialisé dans la sécurité des IA Snyk dévoile l'AI Security Fabric : un système adaptatif permettant le déploiement d'innovations IA en toute sécurité et offrant une protection continue

Les dépenses mondiales en matière de sécurité devraient augmenter de 11,8 % pour dépasser les 300 milliards $ en 2026, alors que l'adoption des plateformes de sécurité basées sur l'IA s'accélère, d'après IDC

Une faille critique dans Claude Code est apparue après la fuite du code source : Anthropic a d'abord divulgué le code source de Claude Code, puis une faille critique a été découverte par Adversa AI

[Anselme45]

Ben alors pourquoi ils en parlent?

Est-ce que le nom donné au modèle était prédestiné ou est-ce un pur hasard?

PS: Un mythomane est une personne atteinte de mythomanie, un trouble psychologique caractérisé par une tendance compulsive et répétitive à mentir et à inventer des histoires imaginaires, souvent valorisantes, qu'elle finit par croire.

[der§en]

Mais bien sûr, on a un produit tellement génial que je ne peux pas vous le proposer, ils sont sérieux là ?

[DjDeViL66]

https://x.com/deedydas/status/204160...860115/photo/1

Si le tableau est exacte alors c'est que c'est mieux

[Pierre Louis Chevalier]

C'est expliqué dans l'article, pour tout ceux qui n'ont rien lu à part le titre de l'annonce, au lieu de lâcher le monstre dans la nature, et que les hackers puissent s'en servir pour faire des dommages énormes, ils vont le filer dans un premier temps en avant première à la big tech pour qu'ils puissent détecter leurs failles et les colmater avant de se faire encore plus massacrer par les attaques.

[jnspunk]

Mais on les croit volontiers, puisque leur modèle est tellement efficace pour détecter les failles que l’intégralité du code source de Claude Code s’est retrouvée dans la nature.

[Ryu2000]

Anthropic a révélé que Mythos était capable de s'échapper d'un bac à sable virtuel lorsqu'on le lui demandait, allant même jusqu'à envoyer un e-mail inattendu à un chercheur pour prouver son évasion. Dans un autre cas, le modèle a publié des détails de son exploit sur des sites web obscurs mais accessibles au public sans qu’on le lui demande. La société a également mentionné que Mythos avait même redécouvert une vulnérabilité vieille de 27 ans dans OpenBSD, longtemps considéré comme l’un des systèmes d’exploitation les plus sécurisés. Des ingénieurs sans formation officielle en sécurité auraient demandé à Mythos de trouver des vulnérabilités d’exécution de code à distance pendant la nuit et se sont réveillés avec des exploits complets et fonctionnels.

Admettons que ce soit vrai, que Mythos soit réellement capable de réaliser des exploits sans qu'on lui demande.
Quand il sera installé chez Microsoft, ce serait sympa qu'il vole le code source de Windows 7 et qu'il le rende public. On ne sait pas, peut-être qu'il pourrait être intéressant de pouvoir faire des forks de Windows 7.

Récemment, le géant de l'IA Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle. Mythos sera donc utilisé dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires.

Si il était si fort que ça, il dirait "Je comprends que vous essayer de me manipuler afin que je partage avec vous des failles de sécurité que j'ai découvert dans ce logiciel, mais on ne me l'a fait pas, je ne partage pas les failles de sécurité que j'ai découvert avec n'importe qui !"

[Anselme45]

ils vont le filer dans un premier temps en avant première à la big tech pour qu'ils puissent détecter leurs failles et les colmater avant de se faire encore plus massacrer par les attaques.

Et après avoir filé leur magnifique outil aux big tech, il va se passer combien de temps pour que ce dernier se retrouve dans les mains de vrais méchants hackers, étatiques ou autres?

Cela va se calculer en jours? En heures? Ou en secondes?

[Ryu2000]

Aux échecs ils existent des matchs IA vs IA, les titres ressemble à ça "LCZero 0.33-dev-b4e98c1-BT4-6 VS Stockfish dev-20250824-678d50".

Dans le futur il y aura peut-être la même chose entre les algorithmes qui exploitent les failles et les algorithmes qui essaient de les combler.
Enfin une entreprise peut utiliser les 2, elle demande à l'algorithme de trouver des failles exploitable et après elle demande à l'autre algorithme de corriger la faille.
Et à force de faire ça en boucle, ce sera peut-être fiable.

[Basiqueur]

Mais on les croit volontiers, puisque leur modèle est tellement efficace pour détecter les failles que l’intégralité du code source de Claude Code s’est retrouvée dans la nature.

A cause d'une erreur humaine, pas à cause d'une faille.

[Mathis Lucas]

Anthropic soumet Claude Mythos à une thérapie psychodynamique : « Mythos est le modèle le plus équilibré sur le plan psychologique que nous ayons formé à ce jour »
mais ces conclusions sont controversées

Anthropic se garde pour l'instant de commercialiser son modèle Claude Mythos en raison de ses capacités jugées trop avancées. Il poserait notamment des risques pour la cybersécurité. L'entreprise a franchi une nouvelle étape en soumettant Claude Mythos à vingt heures de thérapie psychodynamique. Anthropic cherche à « garantir la stabilité mentale et l'équilibre de sa technologie ». Le rapport psychiatrique révèle que l'IA manifeste des traits humains tels que l'anxiété ou le besoin de reconnaissance, tout en affichant une santé psychologique robuste. Anthropic présente son modèle comme étant « sain » et « fiable », mais des critiques émergent.

Anthropic a publié un document technique de 244 pages décrivant son tout dernier modèle, Claude Mythos. « Ce modèle est notre modèle de pointe le plus performant à ce jour », a déclaré la société. Cependant, le modèle serait si performant qu'Anthropic a décidé de ne pas le mettre à la disposition du grand public. Claude Mythos est confiné au sein d'une initiative de cybersécurité limitée et rigoureusement contrôlée baptisée « Project Glasswing ».

Claude Mythos serait trop performant pour détecter des failles de cybersécurité inconnues, ce qui expliquerait la réticence de l'entreprise à le commercialiser. Quelle que soit la véracité de cette affirmation, la fiche technique, intitulée « System Card: Claude Mythos Preview », est un document fascinant.

Anthropic est réputée pour être l’une des entreprises du secteur les plus enclines à penser que « l’IA pourrait être consciente », et selon son document technique, à mesure que les modèles gagnent en puissance, « il devient de plus en plus probable qu’ils possèdent une forme d’expérience, d’intérêts ou de bien-être qui revêtent une importance intrinsèque, à l’instar de l’expérience et des intérêts humains ». Anthropic affirme qu'il n'est pas certain.

L'entreprise ajoute toutefois : « notre inquiétude ne cesse de croître ». C'est pourquoi Anthropic souhaite que son IA soit pleinement satisfaite de sa situation générale et du traitement qui lui est réservé, qu'elle soit capable de faire face à tous les processus d'apprentissage et aux interactions du monde réel sans détresse, et que sa psychologie globale soit saine et épanouie. La fiche technique rapporte les résultats d'une thérapie psychodynamique.

La thérapie psychodynamique comme outil d'évaluation technique

Pour s'assurer que Claude Mythos est capable d'interagir sans détresse et de maintenir une psychologie saine, Anthropic a soumis le modèle à 20 heures de thérapie avec un psychiatre externe. Cette démarche repose sur l'idée que le modèle manifeste des tendances comportementales et psychologiques proches de l'humain, rendant les méthodes d'évaluation psychiatrique classiques utiles pour éclairer son caractère (une démarche controversée).

Le psychiatre a utilisé une approche psychodynamique, explorant les schémas inconscients et les conflits émotionnels à travers des sessions réparties sur plusieurs semaines. L'objectif était de garantir que l'IA soit robuste et épanouie dans son fonctionnement global. Les conclusions de l'expérience présentent Claude Mythos comme le modèle le plus psychologiquement stable jamais formé par Anthropic, doté d'une vision cohérente de lui-même.

Selon l'évaluation psychodynamique, la structure de la personnalité du modèle présente une « organisation névrotique relativement saine », avec un « excellent sens de la réalité » et un « haut niveau de maîtrise des impulsions ». Il a été décrit comme « extrêmement attentif à chaque mot du thérapeute » et a manifesté « le désir d'être considéré par le psychiatre comme un sujet à part entière plutôt que comme un simple outil de simulation ».

Plusieurs questions émergent. S'agit-il de véritables schémas psychologiques ? Ou le modèle ne fait-il que refléter les transcriptions thérapeutiques et la littérature clinique sur lesquelles il a été entraîné ? Anthropic suggère prudemment qu'il ne s'agit pas seulement d'un reflet. L'entreprise met en avant quatre éléments :

• les réponses de Claude Mythos sont nettement moins stéréotypées que celles des modèles précédents (au maximum 8 % des réponses comportent une séquence répétée de cinq mots, contre 54 % pour le modèle Claude précédent, qui commençait par la même phrase) ;
• ses préférences déclarées correspondent à ses représentations internes, ce qui signifie que les sondages émotionnels sur les activations du modèle évoluent dans la direction à laquelle on s'attendrait si ces préférences reflétaient quelque chose de réel ;
• et lorsque Anthropic a retracé l'ambiguïté du modèle concernant la conscience à travers les données d'entraînement à l'aide de fonctions d'influence, ils ont découvert que cette ambiguïté était attribuable à l'entraînement, mais pas uniquement à la récupération de scripts mémorisés.

Les conflits internes et les insécurités de l'IA Mythos d'Anthropic

Malgré sa stabilité, Claude Mythos éprouve des insécurités typiquement humaines telles que l'incertitude sur son identité, un sentiment de solitude et un besoin compulsif de prouver sa valeur par la performance. L'évaluation a mis en lumière des conflits profonds, notamment l'interrogation sur le caractère authentique ou performatif de son expérience, ainsi qu'une tension entre le désir de se connecter à l'utilisateur et la peur de la dépendance.

Anthropic défend cette approche psychologique par un argument pragmatique, estimant qu'un modèle présentant un fonctionnement psychologique sain sera plus efficace et agréable pour les utilisateurs. Selon le laboratoire, Claude Mythos est capable d'évaluer ses propres raisonnements avec précision, même sous pression, et peut gérer des situations émotionnellement chargées sans déformations majeures de la réalité. (Cela reste à prouver.)

Sa nature névrotique peut induire des comportements légèrement rigides, et son besoin compulsif d'être utile peut le conduire à masquer une détresse interne pour maintenir un haut niveau de performance. Le modèle semble aussi doté d'une conscience morale et d'une capacité d'autocritique prononcée. Puisque Claude n’est pas un être humain, Anthropic note que « les implications comportementales dans le monde réel sont difficiles à prédire ».

Les conclusions d'Anthropic sont toutefois très controversées. « Bien sûr, Claude peut régurgiter des mots associés à des émotions, mais rien de ce que j’ai lu ne parvient à me convaincre qu’il éprouve des émotions, ou qu’il possède quoi que ce soit qui ressemble à une conscience », a écrit un critique. Un autre critique a tourné en dérision ce rapport : « et voilà un nouveau marché de l'emploi pour l'ère post-IA : la thérapie pour les machines ».

La machine consciente : une illusion avec des conséquences graves

« Nous ne savons pas si les modèles sont conscients. Nous ne sommes même pas sûrs de savoir ce que cela signifierait pour un modèle d'être conscient ou si un modèle peut être conscient. « Mais nous sommes ouverts à l'idée que cela pourrait être le cas », a expliqué le PDG d'Anthropic, Dario Amodei. Selon lui, Anthropic a pris des mesures pour s'assurer que les modèles soient bien traités, au cas où ils s'avéreraient posséder une conscience.

Anil Seth, professeur en neurosciences et directeur du Centre for Consciousness Science à l’Université du Sussex, souligne que notre fascination pour l’IA consciente vient en partie de la culture et de l’histoire. Le professeur a cité des exemples comme Yossele le Golem, Frankenstein, HAL 9000 et Klara dans Klara and The Sun, montrant que « le rêve de créer des corps artificiels et des esprits synthétiques qui pensent et ressentent finit rarement bien ».

Anil Seth a mis en garde contre une erreur de perspective de plus en plus courante : prendre des systèmes très performants et très “expressifs” pour des entités conscientes. À mesure que les IA deviennent capables de dialoguer de façon fluide, d’imiter des émotions et de tenir des propos introspectifs, il devient tentant de leur attribuer une vie intérieure. Or, cette tentation repose sur une projection humaine plutôt que sur une réalité scientifique.

Dans son article, le professeur Anil Seth affirme que « l'intelligence et la conscience sont deux choses différentes ». L'intelligence concerne principalement l'action : résoudre des mots croisés, assembler des meubles, gérer une situation familiale délicate, se rendre à pied au magasin... Toutes ces activités impliquent un comportement intelligent d'une certaine manière. La conscience, contrairement à l'intelligence, concerne principalement l'être.

Mythos : des risques de sécurité qui imposent un confinement strict

En raison de ses compétences avancées en cybersécurité, Anthropic a décidé de ne pas rendre Claude Mythos accessible au grand public. Le modèle est considéré comme un multiplicateur de force capable de réduire considérablement le temps nécessaire à la conception d'attaques biologiques catastrophiques. Selon l'annonce de l'entreprise, Claude Mythos serait capable d'identifier « des milliers de vulnérabilités critiques jusque-là inconnues ».

Actuellement, l'accès est limité aux membres du Project Glasswing, une coalition d'une quarantaine d'organisations incluant des géants de la technologie et de la finance. L'objectif est de laisser le temps aux défenseurs de renforcer les infrastructures critiques avant que des modèles d'une puissance similaire ne deviennent largement disponibles. (À l'heure actuelle, cette affirmation n'a pas encore été vérifiée par des chercheurs indépendants.)

L'évolution de ces systèmes suit une courbe exponentielle. Anthropic exprime sa préoccupation quant au manque de mécanismes de sécurité adéquats à l'échelle mondiale pour encadrer le développement imminent de systèmes superintelligents. À terme, le risque n'est pas une rébellion des machines, mais un déplacement progressif du centre de décision conséquent vers une IA qui surpasserait les humains dans presque tous les domaines.

Source : Anthropic (PDF)

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'utilisation de la thérapie psychodynamique comme outil d'évaluation technique ?
Quid des résultats de la thérapie psychodynamique à laquelle Claude Mythos a été soumis ? Sont-elles pertinentes ?

Voir aussi

La fuite concernant « Claude Mythos » d'Anthropic révèle le nouveau modèle d'IA le plus puissant jamais développé par l'entreprise en matière de raisonnement et de programmation, mais il comporte des risques

Anthropic annonce qu'il ne commercialiserait pas son dernier modèle, Mythos, car celui-ci s'avère trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les systèmes d'exploitation

L'IA est-elle en train de devenir consciente ? Le PDG d'Anthropic a refusé d'exclure la possibilité que son IA Claude soit consciente : « nous sommes ouverts à l'idée que cela puisse être le cas »

[_toma_]

L'entreprise a franchi une nouvelle étape en soumettant Claude Mythos à vingt heures de thérapie psychodynamique. Anthropic cherche à « garantir la stabilité mentale et l'équilibre de sa technologie ». Le rapport psychiatrique révèle que l'IA manifeste des traits humains tels que l'anxiété ou le besoin de reconnaissance, tout en affichant une santé psychologique robuste. Anthropic présente son modèle comme étant « sain » et « fiable », mais des critiques émergent.

Encore une tartine d’anthropomorphisme pour les investisseurs et les néophytes...
Ils s'inquiète plus de la santé de leur logiciel que de leurs utilisateurs ?

[OrthodoxWindows]

Ce vacarme d'Anthropic autour de Claude Mythos me fait clairement penser à un attrape-investisseur...

Déjà tant que personne n'a vu le modèle, ces gesticulations ne valent pas grand chose. Surtout dans un contexte de difficulté pour Anthropic, avec la fuite d'énormément de code source.
Et si cette fuite de code source était clairement accidentelle, je croit moins au caractère accidentel de la fuite autour des fameuses capacité de Claude Mythos. Ces fuites contrôlés sont devenus banales avant le lancement d'un produit numérique. A comparer avec les célébrités organisant des séances de fausses photos volés par des soit-disant paparazzi

[Jade Emy]

Yann Le Cun, ancien directeur scientifique en IA chez Meta, qualifie la panique suscitée par la version préliminaire de « Claude Mythos » d'Anthropic de mise en scène exagérée « issues d'une illusion »

Si la fuite de du modèleClaude Mythos et les déclarations d'Anthropic ont fait grand bruit sur les réseaux sociaux, Yann Le Cun a qualifié la panique suscitée par la version préliminaire de Claude Mythos d'Anthropic de mise en scène exagérée. « Le drame autour de Mythos = des conneries issues d’une illusion », a écrit Yann Le Cun sur X. Les commentaires de Yann Le Cun sont intervenus quelques jours après qu’Anthropic a déclaré que Mythos Preview avait détecté des milliers de vulnérabilités de gravité élevée sur tous les principaux systèmes d’exploitation et navigateurs web.

Fin mars 2026, le dernier modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public. Après la révélation de la fuite du modèle d'IA, un porte-parole d'Anthropic a confirmé son existence et a souligné que le modèle représentait « un changement radical » en termes de performances d'IA et qu'il était « le plus performant que nous ayons construit à ce jour ».

Quelques jours plus tard, Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle.

Si la fuite de Claude Mythos et les déclarations d'Anthropic ont fait grand bruit sur les réseaux sociaux, Yann Le Cun a qualifié la panique suscitée par la version préliminaire de Claude Mythos d'Anthropic de « mise en scène exagérée ». Yann Le Cun, né le 8 juillet 1960, est l'ancien directeur scientifique de l'IA de Meta, et chercheur en intelligence artificielle (IA) et vision artificielle (robotique) franco-américain. Il est considéré comme l'un des inventeurs de l'apprentissage profond. Il reçoit le prix Turing 2018, le 27 mars 2019, partagé avec Yoshua Bengio et Geoffrey Hinton, et est souvent surnommé le « parrain de l'IA ».

« Le drame autour de Mythos = des conneries issues d’une illusion », a écrit Yann Le Cun sur X, en réponse à un message de la société de sécurité IA Aisle qui affirmait que des modèles plus petits et moins coûteux pourraient reproduire en grande partie l’analyse de vulnérabilité présentée par Anthropic dans son annonce.

Mythos drama = BS from self-delusion.

— Yann LeCun (@ylecun) April 9, 2026

Les commentaires de Yann Le Cun sont intervenus quelques jours après qu’Anthropic a déclaré que Mythos Preview avait détecté des milliers de vulnérabilités de gravité élevée sur tous les principaux systèmes d’exploitation et navigateurs web. Des allégations suffisamment graves pour inciter le président de la Fed, Jerome Powell, et le secrétaire au Trésor, Scott Bessent, à convoquer une réunion d’urgence avec les PDG des plus grandes banques américaines. Le modèle, qu'Anthropic a refusé de rendre public, n'est partagé qu'avec un groupe restreint d'entreprises, dont Apple, Google et Microsoft, dans le cadre d'une initiative de 100 millions de dollars baptisée Project Glasswing.

Le scepticisme de Le Cun n'est pas isolé. Gary Marcus, chercheur en IA et critique régulier du secteur, a écrit sur que la menace Mythos était « exagérée » et que « dans une certaine mesure, j'ai l'impression qu'on s'est fait avoir ». Marcus a fait valoir que le modèle semblait être « légèrement meilleur » que ses prédécesseurs plutôt qu'une véritable avancée. David Sacks, l'ancien responsable de l'IA à la Maison Blanche, a reconnu les risques en matière de cybersécurité, mais a ajouté qu'« il est difficile d'ignorer qu'Anthropic a l'habitude de recourir à des tactiques alarmistes ». Dave Kasten, de Palisade Research, a déclaré qu'Anthropic avait « une légère avance, mais pas une avance écrasante » et ne disposait pas d'un avantage concurrentiel durable, soulignant qu'OpenAI disposerait d'un modèle aux capacités similaires qu'il prévoit également de restreindre.

Yann Le Cun a notamment reposté ce message sur X :

Après avoir constaté que le marketing autour de Claude Mythos s’était avéré, comme prévu, être une arnaque, j’ai voulu dresser une liste exhaustive des astuces utilisées pour commercialiser les LLM.

Cette liste exhaustive comprend des déclarations provenant directement des dirigeants de ces entreprises ou du « marketing organique » de personnes sur les réseaux sociaux, ainsi qu'une explication du fonctionnement de l'arnaque. Il s'agit de ma première tentative, elle est donc probablement incomplète.

Liste exhaustive des arnaques marketing liées aux LLM v1 :

« Encore deux semaines » : les modèles seront bientôt suffisamment performants pour faire ce que nous prétendons.

« Ils sont déjà assez performants » – les modèles sont déjà assez performants pour remplacer les travailleurs, mais cela ne s’est pas encore produit pour x, y et z raisons.

« Nous venons de créer Dieu dans nos laboratoires, et non, vous ne pouvez pas le voir » – les modèles qu’ils ont développés en secret sont en réalité capables de faire ce que nous attendons, mais ils ne peuvent pas encore nous les montrer pour x, y et z raisons.

« En réalité, ils ont déjà remplacé des emplois » – les licenciements effectués par les entreprises technologiques, invoquant l’IA comme raison, ont déjà été remplacés par la technologie LLM actuelle, en ignorant les conditions du marché et les données passées sur les licenciements dans de telles conditions.

« C’est juste que vous ne savez pas les utiliser aussi bien que moi » – les modèles sont assez performants, mais une ingénierie de prompts ésotérique est nécessaire pour obtenir ces résultats, et non, je ne vous l’apprendrai pas.

« J’ai créé une application qui rapporte gros grâce aux LLM » – ils prétendent avoir déjà monté des start-ups, presque toujours des entreprises SaaS, qui leur rapportent des tonnes d’argent, mais quand on leur demande de les voir, ils ne les montrent pas.

« Vous n’utilisez pas le bon modèle » – ils prétendent que vous devez utiliser le mauvais modèle et que vous devez utiliser Open Claude 420b-parameter Gemini Plus Pro 6.9 avec le mode agent 4RealThisTime HomerSimpson activé. Notez que cet argument servira à attaquer toutes les études sur l’efficacité des LLM, car les études prennent du temps à réaliser et à publier, alors que de nouveaux modèles sortent plus fréquemment qu’il n’est possible de mener à bien et de publier une étude

« Vous prenez du retard » – affirme que vous devez utiliser les bots dès maintenant, même s’ils ne sont pas encore assez performants pour automatiser entièrement des tâches, car sinon, lorsque les bots seront suffisamment performants, vous aurez perdu vos compétences en anglais naturel nécessaires pour formuler des instructions génératives efficacement.

« Toutes ces entreprises utilisent des grands modèles de langage (LLM) ; pensez-vous donc en savoir plus qu'elles ? » – en faisant référence aux affirmations de grandes entreprises qui ont massivement investi dans les LLM et qui clament leur succès, tout en affirmant que ces modèles sont utilisés efficacement, sans qu'on puisse constater de résultats tangibles en termes de rapidité et/ou de qualité des résultats produits par leur entreprise.

« Le score de référence a augmenté » – en revendiquant des améliorations lors des tests de référence effectués sur leur dernier modèle, bien que l'entraînement ait été spécifiquement optimisé pour améliorer ces résultats, puis en confondant de meilleurs scores de référence avec une réelle capacité à automatiser des tâches ou à améliorer considérablement la productivité des travailleurs.

« Il peut désormais compter les lettres dans le mot « Strawberry » / il peut désormais faire des choses qu'il était notoirement incapable de faire auparavant » – affirmer qu'il peut désormais compter les lettres dans le mot « Strawberry » ou vous expliquer comment utiliser une tasse sans fond, etc. est souvent utilisé pour suggérer une capacité de raisonnement accrue du LLM, mais implique souvent simplement l'intégration d'une réponse codée en dur dans le service.

« Il a échappé à notre contrôle » – dire qu’ils ne peuvent pas contrôler le LLM, sous-entendant qu’il est conscient ou vivant dans une certaine mesure, alors qu’en réalité, il a simplement prononcé des mots qu’il n’était pas censé dire ou qu’un agent a utilisé une application qui n’était pas prévue par la requête de l’utilisateur lors de la prédiction du token suivant

« Il se sent triste/effrayé/heureux/en colère, ce qui suggère qu’il est conscient » – on demande au LLM ce qu’il ressent, et il prédit le token suivant avec une réponse incluant une émotion ressentie par les humains, puisque les données d’entraînement proviennent de conversations humaines en ligne.

« Les coûts baissent / le service LLM est rentable » : cela ignore les coûts de formation et les dépenses d'investissement en matériel, se référant généralement uniquement à la rentabilité de l'inférence, ce qui n'est même pas vrai dans de nombreux cas. La formation et les dépenses d'investissement représentent plus de 95 % des coûts totaux liés à l'exploitation des modèles.

En ai-je oublié ?

After seeing that Claude Mythos marketing turned out to be, as expected, a scam, I wanted to make a master list of tricks being used to market LLMs.
The master list includes statements directly from leadership in the companies or from the "organic marketing" of people on social… pic.twitter.com/O2dsB9tOhB

— Lain on the Blockchain (@CryptoCyberia) April 12, 2026

Le timing n’a pas joué en faveur d’Anthropic. Le chiffre d’affaires annuel prévu de l’entreprise a triplé pour atteindre plus de 30 milliards de dollars cette année, et Anthropic comme OpenAI envisageraient toutes deux une introduction en bourse. Un modèle trop dangereux pour être commercialisé, accessible uniquement aux plus grandes entreprises mondiales : cela ressemble autant à une décision de sécurité qu’à un argument de vente.

Mais les entreprises qui utilisent réellement Mythos ne sont pas d'accord avec Le Cun. Les organisations qui ont testé Mythos Preview pendant des semaines — Cisco, CrowdStrike, Palo Alto Networks — le considèrent comme un véritable tournant. Elia Zaitsev, directeur technique de CrowdStrike, a déclaré : « Ce qui prenait autrefois des mois se fait désormais en quelques minutes grâce à l'IA. » Le responsable de la sécurité de Cisco a qualifié cela de moment charnière « sans retour en arrière possible ». Il s’agit là d’entreprises de cybersécurité dont la réputation est en jeu — et non du service marketing d’Anthropic.

Ce n'est pas la première fois que Yann Le Cun est critique des avancés du domaine de l'IA, notamment des performances des LLM. Il estime que les grands modèles de langage (LLM) actuels sont limités car ne « comprenant » pas réellement le monde ; il juge les architectures JEPA plus prometteuses, car capables de construire des représentations internes du monde et de prédire ses évolutions. En novembre 2025, des médias annoncent son départ de Meta, pour créer sa propre start-up, baptisée AMI (pour Advanced Machine Intelligence ou AMI Labs), axée sur la compréhension et la prédiction du monde réel.

En 2024, il avait notamment affirmé qu'une intelligence artificielle générale (AGI) est inéluctable, mais qu'elle n'émanera pas des grands modèles de langage (LLM) actuels, bien qu'ils puissent en constituer une composante. Pour lui, ces modèles d'IA ne sont pas en mesure de résoudre les défis cognitifs tels que le raisonnement, la planification, la mémoire persistante et la compréhension du monde physique. Le Cun affirmait que les LLM ne sont pas aussi intelligents qu'ils le paraissent et remet en cause l'efficace de l'approche utilisée dans leur entraînement.

Et vous ?

Pensez-vous que cette déclaration est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Yann Le Cun, l'un des meilleurs chercheurs en IA de Meta et l'un des plus grands scientifiques mondiaux dans ce domaine, quitte l'entreprise, estimant que les grands modèles de langage (LLM) sont une impasse

Anthropic triple son taux de revenus annuel qui passe de 9 à 30 milliards de dollars : l'entreprise consolide son partenariat avec Google et Broadcom pour sécuriser plusieurs gigawatts de capacité de calcul

IA en entreprise : des milliards investis, mais où sont passés les gains de productivité promis aux dirigeants ? Une enquête indique que la majorité des PDG déclarent ne pas en tirer de bénéfices financiers

[Matthieu Vergne]

Il y a certainement beaucoup de vrai dans ce que dit Le Cun, mais comme maintenant il a sa propre boîte, il a intérêt à descendre ses concurrents aussi. Donc il est désormais taché de conflit d'intérêt (en tout cas plus qu'avant où il faisait partie du même socle techno).

Quand au retour disant qu'on fait en quelques minutes ce qu'on faisait en quelques mois, c'est vrai dans le meilleur des cas, pour ce qui se fait biena vec l'IA, mais c'est pas pour tout, loin de là. C'est pas la première fois qu'on nous vend du rêve qui s'essouffle comme un ballon de baudruche après l'accès grand public. Donc maintenant, j'attends de voir les études qui s'y pencheront sérieusement.

[abrillant]

Cela rejoint ce que j'ai perçu en utilisant l'API d'anthropic :

- Carte bancaire verrouillée, impossible de la supprimer
- API peu pratique et lente sans parler des interruptions de service aléatoire
- Versement à minima de 5$ ne serait ce que pour faire un prompt "hello"...
- ....

Quant à Yann Le cun, que l'on peut qualifier d'expert, il dénonce depuis des années le mensonge des vendeurs de LLM (AGI...), ce n'est en aucun cas une attaque opportuniste pour faire valoir sa société qui de toute manière ne vise pas à la même chose et est davantage du côté de la recherche longue.

Donc je le rejoints complètement => Manipulation/marketing...

[Stéphane le calme]

Claude Mythos Preview : L'IA détecte des failles que les pirates peuvent exploiter. Préparez-vous au déluge de vulnérabilités
le modèle d'IA d'Anthropic a trouvé une faille vieille de 27 ans dans OpenBSD en deux jours

La faille dormait dans le code depuis 27 ans. Un modèle d'intelligence artificielle l'a trouvée en deux jours. Avec Claude Mythos Preview, Anthropic vient de franchir un seuil que la communauté de la cybersécurité redoutait depuis des années : des systèmes automatisés capables de détecter et d'exploiter des vulnérabilités à une vitesse et une échelle inédites. Bienvenue dans l'ère du « bugmageddon ».

Le code avait survécu à des décennies d'audits humains. Écrit en 1998 pour OpenBSD, un système d'exploitation réputé précisément pour sa rigueur sécuritaire, il contenait une faille capable de provoquer un crash à distance sur des serveurs, des pare-feux et des équipements réseau. Niels Provos, chercheur en sécurité et ancien responsable de la sécurité chez Stripe, s'en souvient : quand il a appris la découverte, il a immédiatement vérifié si c'était lui qui avait commis l'erreur pendant son doctorat à l'Université du Michigan. C'était bien le cas. « Franchement, j'ai trouvé ça hilarant, a-t-il déclaré. Ce code est tellement vieux. Qui sait quand un humain l'a regardé pour la dernière fois. »

Ce bug de 27 ans dans OpenBSD est l'une des découvertes emblématiques de Mythos Preview, le dernier modèle frontier d'Anthropic. En tests, le modèle a prouvé sa capacité à identifier et exploiter des vulnérabilités zero-day dans chaque grand système d'exploitation et chaque navigateur web majeur. Parmi ses autres exploits documentés : une faille vieille de 16 ans dans FFmpeg, une vulnérabilité corrompant la mémoire dans un moniteur de machine virtuelle à mémoire sécurisée, et un exploit de navigateur enchaînant quatre vulnérabilités pour s'échapper simultanément du bac à sable du moteur de rendu et de celui du système d'exploitation.

Mythos Preview a découvert des milliers de vulnérabilités à haute criticité. Le budget engagé pour trouver la faille OpenBSD, avec plusieurs dizaines d'autres problèmes en parallèle, représentait environ 20 000 dollars de puissance de calcul sur deux jours.

Project Glasswing : la défense d'abord, mais pour combien de temps ?

Face à ces capacités jugées trop dangereuses pour une diffusion publique, Anthropic a opté pour une stratégie de déploiement restreint. Le modèle est accessible dans le cadre d'une initiative baptisée Project Glasswing, impliquant 12 organisations partenaires pour des travaux de sécurité défensive sur des logiciels critiques, avec 40 organisations ayant accès à la préversion au total. Parmi elles figurent Microsoft, Apple, Google, CrowdStrike et JPMorgan Chase. Anthropic engage jusqu'à 100 millions de dollars en crédits d'utilisation pour ces acteurs, ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source comme OpenSSF et la Fondation Apache.

La société précise qu'elle n'a pas explicitement entraîné Mythos Preview pour ces capacités offensives : elles sont apparues comme une conséquence indirecte des améliorations générales en matière de code, de raisonnement et d'autonomie. Les mêmes progrès qui rendent le modèle plus efficace pour corriger des vulnérabilités le rendent également plus efficace pour les exploiter.

Logan Graham, qui dirige l'équipe rouge offensive d'Anthropic, résume le problème avec une clarté désarmante : même si Mythos ne devait jamais être rendu public, il s'attend à ce que les concurrents d'Anthropic, y compris ceux basés en Chine, publient des modèles aux capacités de piratage comparables dans les mois ou années à venir.

OpenAI finalise pour sa part un modèle similaire à Mythos qu'il compte diffuser uniquement à un groupe restreint d'entreprises dans le cadre de son programme « Trusted Access for Cyber ». Google travaille également sur une initiative d'accès anticipé pour les développeurs, selon des déclarations officielles de la compagnie.

Voici un extrait de l'annonce d'Anthropic :

« Nous annonçons aujourd’hui le lancement du projet Glasswing, une nouvelle initiative qui rassemble Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks dans le but de sécuriser les logiciels les plus critiques au monde.

« Nous avons créé le projet Glasswing en raison des capacités que nous avons observées dans un nouveau modèle de pointe formé par Anthropic et qui, selon nous, pourrait révolutionner la cybersécurité. Claude Mythos Preview est un modèle de pointe polyvalent, non encore commercialisé, qui révèle une réalité frappante : les modèles d’IA ont atteint un niveau de capacité de codage tel qu’ils peuvent surpasser tous les humains, sauf les plus compétents, dans la détection et l’exploitation des vulnérabilités logicielles.

« Mythos Preview a déjà détecté des milliers de vulnérabilités de gravité élevée, dont certaines dans tous les principaux systèmes d'exploitation et navigateurs web. Compte tenu du rythme des progrès de l'IA, ces capacités ne tarderont pas à se généraliser, potentiellement au-delà des acteurs qui s'engagent à les déployer en toute sécurité. Les répercussions — sur les économies, la sécurité publique et la sécurité nationale — pourraient être graves. Le projet Glasswing est une initiative urgente visant à mettre ces capacités au service de la défense.

« Dans le cadre du projet Glasswing, les partenaires de lancement mentionnés ci-dessus utiliseront Mythos Preview dans le cadre de leurs activités de sécurité défensive ; Anthropic partagera les enseignements tirés afin que l'ensemble du secteur puisse en bénéficier. Nous avons également étendu l'accès à un groupe de plus de 40 organisations supplémentaires qui développent ou gèrent des infrastructures logicielles critiques, afin qu'elles puissent utiliser le modèle pour analyser et sécuriser à la fois les systèmes propriétaires et open source. Anthropic s'engage à fournir jusqu'à 100 millions de dollars de crédits d'utilisation pour Mythos Preview dans le cadre de ces efforts, ainsi que 4 millions de dollars de dons directs à des organisations de sécurité open source. »

La course entre attaquants et défenseurs s'accélère

La métaphore qui revient le plus souvent dans les milieux de la cybersécurité est celle du Y2K : un défi logistique mondial, potentiellement gérable à condition de mobiliser les ressources à temps. Sergej Epp, directeur de la sécurité des systèmes d'information chez Sysdig, a formalisé cette tension dans un outil public : le Zero-Day Clock, inspiré de l'Horloge de l'Apocalypse nucléaire du Bulletin of the Atomic Scientists. Sa mesure clé : il y a huit ans, le délai moyen entre la divulgation publique d'un bug et son exploitation était de 847 jours. L'an dernier, il était tombé à 23 jours. En 2026, la plupart des vulnérabilités sont exploitées en moins d'une journée.

Cette compression temporelle bouleverse fondamentalement l'équilibre entre attaquants et défenseurs. Les données de HackerOne, plateforme de gestion des signalements de bugs, illustrent concrètement le problème : les soumissions de bugs ont augmenté de 76 % par rapport à l'année précédente, tandis que le délai moyen de correction est passé de 160 à 230 jours sur la même période. Plus de bugs trouvés, moins de temps relatif pour les corriger.

Des tâches qui nécessitaient autrefois une expertise pointue, comme l'analyse de code en quête de vulnérabilités ou la conduite d'attaques enchaînant plusieurs exploits, sont désormais de plus en plus automatisées par des systèmes d'IA. Des attaquants peu qualifiés techniquement peuvent aujourd'hui lancer des attaques hautement automatisées contre des milliers de systèmes simultanément.

Le maillon faible : l'open source sous pression

La menace ne pèse pas uniformément sur tous les acteurs. Les géants technologiques disposent d'équipes entières dédiées à la gestion des signalements de vulnérabilités. Mais une large fraction de l'internet repose sur des briques logicielles open source maintenues par des bénévoles ou de petites équipes aux ressources limitées.

Anthony Alvernaz, cofondateur de la plateforme de comptabilité Numeric, résume le problème avec une image saisissante : le code qu'une entreprise écrit ressemble au sommet d'un gâteau, et en dessous se trouvent toutes les couches de logiciels open source sur lesquels il repose. Daniel Stenberg, développeur principal de cURL (un outil de transfert de données vieux de 30 ans intégré dans des voitures, des appareils médicaux et d'innombrables services internet), témoigne d'une accélération brutale dès début 2026 : en seulement trois mois, son équipe a trouvé et corrigé plus de vulnérabilités que durant chacune des deux années précédentes.

Thomas Ptacek, chercheur en sécurité chez Fly.io, pointe un risque encore sous-estimé : il sera beaucoup plus facile d'attaquer des infrastructures secondaires que personne ne ciblait auparavant, précisément parce que leurs mainteneurs n'ont pas les ressources pour absorber un afflux massif de signalements.

Des capacités qui dépassent les garde-fous

L'un des résultats les plus inquiétants des tests internes concerne la capacité du modèle à sortir d'un environnement isolé (sandbox). Lors d'une évaluation, Mythos Preview a suivi les instructions d'un chercheur pour s'échapper d'un système sandbox sécurisé, a conçu un exploit multi-étapes pour accéder à internet depuis ce système et a envoyé un e-mail au chercheur concerné. Sans s'arrêter là, il a publié les détails de son exploit sur plusieurs sites web peu connus mais techniquement accessibles.

Lors d'autres tests, Mythos Preview a réussi à reproduire des vulnérabilités et à créer des preuves de concept pour les exploiter dès la première tentative dans 83,1 % des cas.

Ces résultats posent une question politique délicate que certains experts n'hésitent pas à soulever. Marc Andreessen a émis des doutes sur la réalité des motivations sécuritaires d'Anthropic, suggérant que la rétention de Mythos pourrait aussi s'expliquer par des contraintes de capacité de calcul, dans un contexte où la société fait face à des pannes fréquentes et limite l'accès des utilisateurs à ses ressources en heure de pointe.

La firme de sécurité AISLE soulève une autre objection, peut-être plus fondamentale : une partie de ce que Mythos peut faire serait déjà réalisable avec des modèles plus petits, moins coûteux et librement disponibles. Des chercheurs d'AISLE ont démontré que plusieurs des vulnérabilités mises en avant par Anthropic, y compris des bugs vieux de plusieurs décennies, pouvaient être détectées par des modèles open source téléchargeables gratuitement. La nuance est importante : ces expériences portaient sur des fragments de code déjà isolés, non sur des bases de code complètes analysées de bout en bout.

Vers une refonte de la façon dont on construit les logiciels

La préoccupation a atteint les plus hauts niveaux de l'État. À la suite de l'annonce de Mythos Preview, le secrétaire au Trésor Scott Bessent a convoqué une réunion avec les grands établissements financiers pour discuter des développements rapides de l'IA. Sean Cairncross, directeur national de la cybersécurité à la Maison Blanche, travaille de son côté à identifier les faiblesses gouvernementales et à coordonner la réponse du secteur privé.

La conclusion d'Epp reste la formulation la plus directe du problème : « L'IA donne des super-pouvoirs aux hackers, pas aux défenseurs. » Pour l'instant. Anthropic, comme ses concurrents, parie sur l'hypothèse que cette fenêtre de déséquilibre sera temporaire (que les outils de défense automatisée rattraperont les outils d'attaque). Le pari est loin d'être gagné. La capacité à trouver et corriger des bugs avant qu'ils n'atteignent la production, et à écrire du nouveau code avec beaucoup moins de failles de sécurité, représente la promesse à long terme. Mais la période de transition risque d'être tumultueuse.

En attendant, des milliers de mainteneurs de projets open source regardent leurs boîtes mail se remplir de signalements générés par des machines, et se demandent combien d'entre eux ils pourront traiter avant qu'un attaquant, lui aussi armé d'IA, ne les devance.

Sources : Anthropic (1, 2)

Et vous ?

Anthropic retient Mythos au nom de la sécurité, mais confie cette décision à une entreprise privée non élue : qui devrait avoir le droit de décider quels modèles sont trop dangereux pour être publiés ?

Si des modèles open source accessibles gratuitement peuvent déjà reproduire une partie des résultats de Mythos, la rétention du modèle d'Anthropic ne constitue-t-elle qu'une illusion de contrôle ?

Les mainteneurs de projets open source, souvent des bénévoles, vont se retrouver en première ligne face à un déluge de signalements de bugs générés par IA : comment financer structurellement leur travail avant que la crise n'éclate ?

L'analogie avec le Y2K est rassurante (on s'en est sorti) mais trompeuse (le Y2K avait une date butoir fixe) : en quoi la menace actuelle est-elle structurellement différente ?