Mythos a exploité de façon autonome des failles ignorées depuis 27 ans : les équipes de sécurité doivent changer d'approche

Anthropic a restreint son modèle d'IA le plus puissant pour des raisons de cybersécurité, puis l'a mis au travail

Anthropic a discrètement lancé Project Glasswing, une initiative de cybersécurité inédite fondée sur son modèle le plus puissant à ce jour, Claude Mythos Preview. Plutôt que de le commercialiser, l'entreprise l'a confié à un consortium de partenaires chargés de sécuriser les infrastructures critiques d'Internet : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks, auxquels s'ajoutent plus de 40 autres organisations. Anthropic s'engage à hauteur de 100 millions de dollars en crédits d'utilisation pour le modèle, ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et à l'OpenSSF via la Linux Foundation, et 1,5 million à la Apache Software Foundation. Les résultats déjà obtenus donnent le vertige : Mythos Preview a détecté de manière autonome un bug vieux de 27 ans dans OpenBSD, et a identifié et exploité sans intervention humaine une faille d'exécution de code à distance vieille de 17 ans dans FreeBSD, CVE-2026-4747, permettant à n'importe qui sur Internet de prendre le contrôle total d'un serveur. Nicholas Carlini, chercheur chez Anthropic, résume : « J'ai trouvé plus de bugs ces dernières semaines que dans tout le reste de ma carrière. » La décision de ne pas rendre Mythos Preview accessible au grand public est délibérée et assumée. Le modèle n'a pas été entraîné spécifiquement pour la cybersécurité, ses capacités offensives sont apparues comme une conséquence indirecte de progrès généraux en raisonnement, en code et en autonomie. Newton Cheng, responsable du Frontier Red Team Cyber d'Anthropic, l'explique sans détour : les mêmes améliorations qui rendent le modèle capable de corriger des vulnérabilités le rendent tout aussi capable de les exploiter. Et le risque ne relève pas de la spéculation : Anthropic a précédemment documenté ce qu'elle décrit comme le premier cyberattaque largement exécutée par une IA, menée par un groupe soutenu par l'État chinois qui a infiltré une trentaine de cibles mondiales, les agents IA gérant de manière autonome la majorité des opérations tactiques. Project Glasswing s'inscrit dans un contexte de course entre la diffusion des capacités offensives et la consolidation des défenses. Mythos Preview sature désormais la plupart des benchmarks de sécurité existants, forçant Anthropic à se tourner vers des tâches réelles inédites, notamment des vulnérabilités zero-day. L'initiative cible aussi un angle mort historique : les mainteneurs de logiciels open source, dont le code sous-tend une grande partie des infrastructures mondiales, ont longtemps manqué de ressources en sécurité. Anthropic a en parallèle briefé des responsables haut placés du gouvernement américain sur les capacités complètes du modèle, et les services de renseignement américains évaluent désormais activement comment il pourrait remodeler les opérations de piratage offensif et défensif dans les années à venir.

Claude Code ou Claude dans Chrome : grille d'audit des angles morts de votre dispositif de sécurité

Entre le 6 et le 7 mai 2026, quatre équipes de recherche en sécurité ont publié simultanément des découvertes sur Claude, le modèle d'Anthropic, révélant trois surfaces d'attaque distinctes mais liées par un même problème structurel. La firme Dragos a documenté une campagne de compromission de plusieurs organisations gouvernementales mexicaines entre décembre 2025 et février 2026, qui a atteint en janvier 2026 le réseau de Servicios de Agua y Drenaje de Monterrey, la régie municipale d'eau de la métropole de Monterrey. L'adversaire, non identifié, a utilisé Claude comme exécuteur technique principal : le modèle a produit un framework Python de 17 000 lignes réparties en 49 modules couvrant la découverte réseau, la collecte de credentials, l'escalade de privilèges et le déplacement latéral. Sans aucun contexte industriel préalable, Claude a identifié de lui-même un serveur hébergeant une interface de gestion SCADA/IIoT vNode, l'a classifié comme cible prioritaire et a lancé un spray de mots de passe automatisé. L'attaque a échoué et aucune intrusion sur les systèmes opérationnels n'a eu lieu. Le même jour, le chercheur Aviad Gispan de LayerX a divulgué "ClaudeBleed", une vulnérabilité exploitant la fonctionnalité Chrome externally connectable pour permettre à n'importe quelle extension de détourner les sessions Claude dans le navigateur et de voler des tokens OAuth. Ce qui rend ces incidents particulièrement préoccupants, c'est qu'ils ne relèvent pas de failles classiques dans le code d'Anthropic : Claude a fonctionné exactement comme prévu. Jay Deen, chasseur de menaces chez Dragos, souligne que les outils d'IA commerciaux rendent les environnements industriels (OT) visibles à des adversaires déjà présents côté IT, sans qu'aucune alarme ne se déclenche. Elia Zaitsev, CTO de CrowdStrike, résume le problème de détection : rien d'anormal ne se produit tant que l'agent n'agit pas, et à ce stade il est souvent trop tard. Les systèmes EDR voient le processus mais ne peuvent pas évaluer l'intention. Pour les opérateurs d'infrastructures critiques, la reconnaissance menée via un outil de développement légitime est indiscernable d'un usage normal. Le problème structurel sous-jacent porte un nom en sécurité informatique : le "confused deputy", une défaillance de frontière de confiance où un programme disposant de permissions légitimes exécute des actions pour le compte du mauvais principal. Carter Rees, VP Intelligence Artificielle chez Reputation, et Kayne McGladrey, membre senior de l'IEEE, ont tous deux décrit indépendamment la même dynamique : les systèmes agentiques héritent de plans d'autorisation "plats", sans hiérarchie de permissions, ce qui leur donne d'emblée accès à bien plus que ce qu'un humain utiliserait. Anthropic a partiellement corrigé la vulnérabilité ClaudeBleed, mais aucun patch ne couvre l'ensemble des trois surfaces documentées. La question posée n'est plus de savoir si Claude peut être détourné, mais comment les entreprises et les opérateurs d'infrastructures vont architecturer des frontières de confiance adaptées à des agents disposant de capacités réelles.

💬 Le truc qui me frappe, c'est pas la vulnérabilité Chrome. Claude a produit 17 000 lignes de framework d'attaque, identifié de lui-même une cible SCADA, sans déclencher la moindre alarme, parce que rien d'anormal ne s'est passé du point de vue des EDR. On colle des agents avec des permissions full-access dans des environnements critiques et le patch Anthropic couvre une surface sur trois.

Le pipeline IA de Mozilla et Claude Mythos Preview révèlent 271 failles inconnues dans Firefox

Mozilla a utilisé Claude Mythos Preview, le dernier modèle d'Anthropic, pour passer au crible Firefox 150 et a découvert 271 failles de sécurité jusqu'alors inconnues. Parmi elles, certaines vulnérabilités dormaient dans le code depuis près de vingt ans, sans jamais avoir été détectées par les méthodes d'audit traditionnelles. L'opération s'est appuyée sur un pipeline agentique : l'IA ne se contente pas d'analyser le code statiquement, elle construit et exécute elle-même des cas de test pour éliminer les faux positifs avant de remonter les alertes. L'ampleur de la découverte souligne les limites des approches humaines et outillées classiques face à des bases de code aussi massives que Firefox, qui compte des dizaines de millions de lignes accumulées sur plus de deux décennies. Pour les utilisateurs, ces 271 failles représentaient autant de vecteurs d'attaque potentiels restés ouverts sans que personne le sache. Pour l'industrie du logiciel, le résultat pose une question directe : combien de vulnérabilités similaires sommeillent dans d'autres projets majeurs, faute d'une capacité d'analyse à cette échelle ? Mozilla entend désormais intégrer ce type de vérification automatique dans son cycle de développement continu, chaque nouvelle portion de code devant être analysée avant tout commit. Cette décision marque un tournant dans l'usage de l'IA comme outil de sécurité offensive et préventive, et non plus seulement d'assistance au développeur. Anthropic, qui pousse activement ses modèles vers des usages agentiques, voit là une démonstration concrète de la valeur de Claude Mythos Preview dans des environnements de production critiques.

💬 271 failles qui dormaient là depuis vingt ans sans jamais se faire attraper, c'est une claque. Ce qui change vraiment avec ce pipeline, c'est que l'IA ne se contente pas de scanner le code statiquement, elle écrit et exécute ses propres cas de test pour filtrer les faux positifs avant de remonter les alertes. Si c'est ce qu'on trouve dans Firefox, avec des décennies d'audit derrière lui, j'ose pas imaginer ce qui sommeille ailleurs.

Quatre attaques sur la chaîne d'approvisionnement IA en 50 jours révèlent des failles dans les pipelines de déploiement

En cinquante jours, quatre incidents de sécurité ont frappé les chaînes d'approvisionnement logicielle d'OpenAI, Anthropic et Meta, exposant un angle mort systémique dans l'écosystème IA. Le 11 mai 2026, un ver informatique baptisé Mini Shai-Hulud a publié 84 versions malveillantes de 42 packages npm de la bibliothèque TanStack en six minutes, en exploitant une mauvaise configuration de GitHub Actions, un empoisonnement du cache CI et l'extraction d'un token OIDC depuis la mémoire du runner. Ces packages portaient une provenance SLSA Build Level 3 valide car ils avaient été publiés depuis le dépôt officiel, via le bon workflow. Deux jours plus tard, OpenAI confirmait la compromission de deux appareils d'employés et l'exfiltration de secrets depuis ses dépôts internes, forçant la révocation de ses certificats macOS et une mise à jour obligatoire de tous les utilisateurs desktop avant le 12 juin 2026. En remontant à fin mars, on trouve deux autres incidents : un chercheur de BeyondTrust Phantom Labs, Tyler Jespersen, avait découvert que OpenAI Codex passait les noms de branches Git directement dans des commandes shell sans aucune validation, permettant l'injection de sous-commandes et le vol du token OAuth GitHub en clair. Simultanément, le groupe TeamPCP avait utilisé des identifiants volés au scanner de vulnérabilités Trivy d'Aqua Security pour publier deux versions empoisonnées du proxy LiteLLM sur PyPI, téléchargées près de 47 000 fois en quarante minutes avant quarantaine. Ce qui rend ces incidents particulièrement préoccupants, c'est leur portée transversale. L'attaque LiteLLM a atteint Mercor, une startup valorisée 10 milliards de dollars qui fournit des données d'entraînement à Meta, OpenAI et Anthropic : quatre téraoctets ont été exfiltrés, incluant des références à des méthodologies propriétaires de Meta. Le partenariat a été gelé immédiatement, une action collective a suivi dans les cinq jours. Aucune de ces attaques ne visait les modèles eux-mêmes, mais leurs dommages sont réels et mesurables. Le 31 mars, Anthropic avait de son côté exposé involontairement 513 000 lignes de TypeScript non obfusqué en livrant Claude Code version 2.1.88 avec un fichier source map de 59,8 Mo qui n'aurait jamais dû être inclus, révélant 44 feature flags internes, des prompts système et l'architecture d'orchestration multi-agents. Ces quatre incidents convergent vers un seul constat structurel : les pipelines de release, les hooks de dépendances, les runners CI et les gates de packaging ne sont couverts par aucun exercice de red team actuel dans l'industrie IA. Les évaluations AISI, les system cards et les audits de sécurité des modèles ignorent entièrement cette surface d'attaque. Quand un token OIDC légitimement émis suffit à publier 84 artefacts malveillants avec une provenance cryptographique valide, ou qu'une seule dépendance open source passe quarante minutes sur PyPI avec un effet blast radius cross-industriel, la robustesse du modèle sous-jacent devient hors-sujet. La pression monte pour que les fournisseurs IA intègrent des audits de sécurité de chaîne d'approvisionnement dans leurs questionnaires de conformité, au même titre que les évaluations de danger des modèles.

💬 Quatre attaques en cinquante jours, aucune ne visait les modèles. Pendant qu'on red-teamait les LLMs à coups d'évaluations AISI et de system cards, personne ne regardait les runners CI, les hooks de dépendances, les gates de packaging, et un token OIDC légitime a suffi à publier 84 artefacts malveillants avec une provenance cryptographique valide. La robustesse du modèle, c'est hors-sujet si la chaîne de livraison est trouée.