Tout le monde guettait la prochaine sortie majeure d’Anthropic — vous savez, le genre : des chats plus rapides, une meilleure complétion de code, peut-être quelques tours multimodaux pour épater les fonds d’investissement. Mais Claude Mythos Preview ? Rien à voir. Cette machine a passé au crible tous les grands OS et navigateurs, déterrant des milliers de zero-days, dont certains pourrissaient depuis 27 fichus années.
Ça change la donne. L’IA n’est plus seulement votre assistant pour débugger : elle devient une usine à exploits, qui pond des proof-of-concepts opérationnels dont les humains de Project Zero rêvent. Et ils ne lâchent pas les plans.
Le hic.
Anthropic joue la carte de la discrétion avec Project Glasswing, en embarquant Apple, Microsoft, Google et toute la bande pour colmater avant que les malins ne copient. Malin ? Sans doute. Mais arrêtons les communiqués lisses : c’est Anthropic qui exhibe sa puissance en IA de pointe, tout en la verrouillant derrière un paywall plus épais que celui d’Opus.
Ce qu’on attendait vs. la réalité
Imaginez le battage : Claude 3.5 Sonnet dépasse GPT-4o, tout le monde code des agents pour des tâches banales. Au lieu de ça, Anthropic lâche Mythos Preview, un monstre passé au crible rouge qui ne se contente pas de signaler les bugs comme un analyseur statique — il fabrique des exploits.
Dans les tests du shell JavaScript de Firefox, il a converti 72,4 % des vulnérabilités en exploits réussis. Contrôle de registre dans 11,6 % supplémentaires. Les Claude précédents ? Ils repéraient la faille, puis rataient le PoC comme un quarterback débutant.
Pas une simple amélioration. L’IA passe d’« stagiaire utile » à « black-hat autonome » d’un bond.
Et l’ampleur ? Des milliers de zero-days critiques. L’élite de Project Zero chez Google en trouve 50-80 par an. Mythos l’a fait en semaines.
Dans les tests contre le shell JavaScript de Firefox, Mythos a transformé 72,4 % des vulnérabilités détectées en exploits réussis. Contrôle de registre dans 11,6 % des cas supplémentaires.
Planqué dans la system card, ce détail. Pas en une.
Claude Mythos dépasse-t-il vraiment les humains ?
J’en ai vu des outils : scanners statiques, fuzzers, tout le bazar. Ils crachent des faux positifs comme des confettis. Mythos ? Il lit la logique, pige la faille, bricole un exploit qui marche. Tout seul.
Benchmark CyberGym : 83,1 %. Opus à 66,6 %. Saut générationnel, même famille. Si c’est la preview, qu’est-ce que la version finale ?
Mais le cynisme pointe : qui y gagne ? Anthropic vend l’API Mythos à 25 $/million de jetons entrée, 125 $ sortie. Cinq fois Opus. Réservé au haut de gamme : audits où une erreur coûte des millions. Pas pour vos projets du week-end.
Ils balancent des abos Max gratuits (Opus/Sonnet) aux mainteneurs open source. 100 M$ de crédits pour les potes de Glasswing. 4 M$ à la Linux Foundation, Apache. Noble ? Oui, mais c’est aussi un fossé : verrouiller les mainteneurs avant qu’OpenAI ou xAI ne les raflent.
Mon avis perso : ça rappelle l’ère du ver Morris, 1988 — premier ver internet qui exploitait des buffer overflows oubliés depuis des années. À l’époque, un doctorant l’avait fait à la main. Aujourd’hui, l’IA scale ça à des milliers, tous les jours. Prono audacieux : les kits d’exploits du dark web passent à l’IA-native d’ici 2025, démocratisant les attaques plus vite que les patches.
Pourquoi votre modèle de menaces vient d’exploser
Moins de 1 % patchés pour l’instant. Les éditeurs noyés sous la vague. Anthropic balance les hashes aujourd’hui, détails complets après correctifs dans 90 jours. La pression monte : d’OpenBSD à Chrome.
Si des bugs OpenBSD de 27 ans ont échappé aux humains, vos dépendances npm ? Cuites. L’IA excelle sur les subtilités qu’on zappe.
Conseil pratique ? Auditez vos dépendances hier. Surveillez les vagues de patches. Mais voilà le problème : les défenseurs courent, les attaquants
