Anthropic Mythos : les annonces sur les failles critiques de l'IA remises en question

Le dernier modèle d'intelligence artificielle d'Anthropic, Claude Mythos, a fait l'objet d'une communication particulièrement ambitieuse lors de sa fuite fin mars 2026. Présenté comme capable de découvrir des « milliers de failles critiques » dans les systèmes d'exploitation et les navigateurs, ses résultats sont désormais nuancés par des experts en cybersécurité. Selon Numerama, qui s'appuie sur une analyse détaillée de Tom's Hardware, les performances réelles de Mythos se révèlent bien moins spectaculaires que ce qui avait été annoncé.

Des annonces spectaculaires fondées sur des extrapolations limitées

Lorsque Claude Mythos a fuité fin mars 2026, Anthropic y décrivait un modèle capable de surpasser « presque tous les experts humains » dans la recherche et l'exploitation de vulnérabilités logicielles. Les communiqués évoquaient alors la détection de « milliers de vulnérabilités zero-day critiques » dans les grands systèmes d'exploitation et navigateurs, suscitant un emballement médiatique et technique. Pourtant, comme le rapporte Numerama en s'appuyant sur les travaux de Tom's Hardware, ces affirmations reposent sur des bases bien plus fragiles qu'il n'y paraît.

Dans sa documentation technique, Anthropic reconnaît avoir fait vérifier manuellement seulement 198 rapports de vulnérabilités générés par Mythos par des experts humains en sécurité. Sur cet échantillon réduit, ces spécialistes valident les évaluations de sévérité du modèle dans 88 à 89 % des cas — un score correct, mais établi sur un volume restreint. C'est à partir de ces résultats limités qu'Anthropic extrapole l'existence de « plus d'un millier de vulnérabilités critiques » et de « milliers de failles de haute sévérité », en supposant que ces performances se généralisent à l'ensemble des signalements de Mythos.

Des failles confirmées, mais bien moins nombreuses que annoncé

Parmi les exemples mis en avant par Anthropic, certains exemples concrets illustrent la complexité de l'évaluation. Le modèle aurait notamment découvert une vulnérabilité vieille de 27 ans dans OpenBSD, un système réputé pour sa robustesse, permettant de faire planter à distance n'importe quelle machine qui l'exécute. Il aurait également identifié une faille de 16 ans dans FFmpeg, une bibliothèque multimédia largement utilisée, que des outils automatisés avaient pourtant passée au crible des millions de fois sans jamais la repérer. Pourtant, Anthropic a finalement reconnu que cette dernière ne constituait pas une faille « critique » et qu'une exploitation concrète serait difficile.

Sur le banc de tests OSS-Fuzz, appliqué à plus de 7 000 projets open source, Mythos a provoqué des crashes dans plusieurs centaines de cas, mais n'a confirmé que une dizaine de vulnérabilités réellement sévères, avec prise de contrôle du flot d'exécution. Si ces résultats marquent une progression par rapport aux modèles précédents, ils restent très éloignés de l'annonce initiale d'un « raz-de-marée de milliers de failles dévastatrices ».

Une stratégie de communication au service d'une image de « gardien » de l'IA

Au-delà des chiffres, la communication d'Anthropic autour de Mythos semble s'inscrire dans une stratégie plus large visant à renforcer l'image d'une entreprise « responsable », capable de maîtriser les risques liés à l'IA. Depuis plusieurs années, l'entreprise publie régulièrement des analyses alarmistes sur les scénarios de cyberattaques pilotées par l'IA ou les destructions massives d'emplois, tout en se positionnant comme un acteur incontournable auprès des gouvernements et des grandes organisations. Présenter Mythos comme un outil « trop sensible » pour être accessible au grand public, mais parfaitement adapté aux besoins d'acteurs institutionnels, s'inscrit dans cette logique.

Cette posture a d'ailleurs valu à Anthropic des tensions récentes avec le département de la Défense américain, tout en consolidant sa position comme un acteur clé dans le domaine de la cybersécurité. En officialisant le 7 avril 2026 le lancement de Project Glasswing, une initiative adossée à Claude Mythos Preview, l'entreprise a confirmé son ambition de faire de la sécurité à la fois un principe de précaution et un argument commercial.

Des zones d'ombre persistantes sur la fiabilité des résultats

Au-delà des chiffres avancés, de nombreuses questions subsistent quant à la fiabilité réelle des résultats de Mythos. Combien de ces failles sont-elles réellement exploitables ? Combien relèvent-elles de comportements anormaux plutôt que de vulnérabilités critiques ? Et combien étaient déjà en cours de correction au moment de leur comptabilisation ? Par exemple, du côté du noyau Linux, Mythos a identifié plusieurs points faibles potentiels sans parvenir à les exploiter, certains étant déjà corrigés dans le code source. Autant de nuances qui tempèrent l'enthousiasme initial autour des capacités du modèle.

Dans la partie de son rapport consacrée aux « milliers » d'autres vulnérabilités, Anthropic reconnaît d'ailleurs ne pas pouvoir garantir que l'ensemble des bugs signalés par Mythos correspondent à de véritables failles critiques. Le volume annoncé repose sur une projection statistique à partir des 198 rapports vérifiés, une méthode courante en recherche, mais qui, dans ce cas précis, contribue surtout à gonfler les performances du modèle — et le récit qui les accompagne.

Les questions sur la fiabilité des résultats de Mythos et sur les intentions réelles d'Anthropic risquent de persister dans les semaines à venir. Pour les acteurs institutionnels intéressés par l'outil, la prudence sera de mise, tandis que les experts en cybersécurité attendent des preuves plus tangibles avant de valider les annonces de l'entreprise.