Réveillez-vous. Jetez un œil à votre laptop. Un exploit complet d’évasion de la sandbox du navigateur vous toise — fabriqué pendant la nuit par une IA à qui vous avez filé un simple prompt avant de vous coucher.
Pas de la science-fiction. C’est le Claude Mythos Preview d’Anthropic, un modèle généraliste doué d’une létalité dingue pour chasser les vulnérabilités de sécurité. Ils l’ont annoncé aujourd’hui, mais voilà le hic : pas de version publique. Le Project Glasswing l’injecte directement chez les chercheurs en sécurité et les gros éditeurs de logiciels. Pour boucher les trous avant que les méchants ne passent.
Et ça cogne dur. Ce truc renifle des zero-days dans tous les OS majeurs, tous les navigateurs phares. Il chaîne quatre bugs pour s’exfiltrer du renderer. Il bricole des escalades de privilèges locales avec des race conditions et des contournements de KASLR. Il tape même sur le NFS de FreeBSD pour un root sans authent — dingue.
Le clou du spectacle ? Il a déterré un bug OpenBSD vieux de 27 ans. OpenBSD ! Le coffre-fort des OS.
Les ingénieurs d’Anthropic, sans formation formelle en sécurité, ont demandé au Mythos Preview de trouver des vulnérabilités d’exécution de code à distance en une nuit, et se sont réveillés le lendemain avec un exploit complet et fonctionnel.
Bam. La barrière des attaques d’élite ? Pulvérisée. De « équipe d’experts requise » à « clé API et café ».
Pourquoi Anthropic garde-t-il son Mythos Preview pour les chercheurs ?
Pensez au Projet Manhattan, mais pour les failles logicielles. Anthropic sait que ce génie sortira de la lampe dès qu’il se propagera — autant armer les alliés en premier. Plus de 99 % de ses découvertes ? Des zero-days non patchés. Ils divulguent de manière responsable, les éditeurs courent après.
Mais voilà mon angle unique, celui que personne n’ose : ça ressemble à l’invention du microscope au XVIIe siècle. D’un coup, les toubibs du coin voient grouiller les microbes — la connaissance explose, la médecine bondit, mais les charlatans concoctent aussi des pestes. Mythos Preview ? C’est ce microscope pour les bugs logiciels. Il démocratise la défense, OK, mais inonde le monde d’armes pour l’attaque. Pronostic audacieux : dans 18 mois, des labs voyous le clonent, et les assauts forgés par IA se multiplient par 10.
La ligne officielle d’Anthropic ? Les capacités se propagent de toute façon. Priorité à la défense. Malin. Mais les autres labs ? Ils pourraient tout lâcher pour le buzz.
Le Mythos Preview surpasse-t-il vraiment les experts humains en une nuit ?
Réponse courte : ouais. Le billet du Red Team le crache : vulnérabilités locales, sondes sur binaires black-box, durcissement d’endpoints, pentests sur des systèmes de base. Les partenaires plongent ; les autres transpirent en attendant.
Aucune formation requise. Un prompt du genre : « Trouve un RCE dans ce navigateur. » Dormez. Récoltez. Ça change le rythme. La recherche en sécurité, jadis artisanat — des mois de désassemblage harassant, fuzzing, intuition — devient industrielle. Usines en une nuit.
Éditeurs, bougez-vous. Votre code ? Considérez-le passé au tamis. Chaque ligne, un maillon potentiel dans la chaîne d’un exploit IA.
Chercheurs ? Vous êtes les rois. Assisté IA ou rien.
Mais attendez — le comm’ d’Anthropic vend ça comme un pur coup des gentils. Moi, sceptique : ils thésaurisent leurs joyaux de la couronne. Glasswing, c’est une douve, du temps gagné pendant qu’ils font grossir l’empire Claude. Le hype en fait un tournant ; la réalité, un déclencheur de course aux armements.
Que se passe-t-il quand tout le monde aura un Mythos IA ?
Avantage défensif ? Pouf. Des décennies de zero-days réservés aux humains — évaporés. Des modèles comme ça transforment les bases de code en champs de mines, automatiquement cartographiés.
Glasswing met l’accent : détection locale d’abord, puis binaires, endpoints, fondations. Montée en puissance logique. Mais la prolifération guette. Open-source ? Chaos. Planqué ? On décrochera.
Le miracle :
