Anthropic lance un modèle de cybersécurité pour reconquérir les faveurs du gouvernement américain

Anthropic lance un nouveau modèle d'IA pour la cybersécurité

Anthropic lance un nouveau modèle d'intelligence artificielle dédié à la cybersécurité, dans le cadre d'un partenariat baptisé Project Glasswing réunissant Nvidia, Google, Amazon Web Services, Apple, Microsoft et d'autres grandes entreprises technologiques. Ce projet propose aux partenaires de lancement un accès à Claude Mythos Preview, un modèle généraliste inédit qu'Anthropic ne prévoit pas de rendre public en raison de préoccupations liées à la sécurité. L'objectif affiché est de permettre aux grandes organisations, et potentiellement aux gouvernements, de détecter automatiquement des vulnérabilités dans leurs systèmes avec une intervention humaine quasi nulle. L'enjeu est considérable pour les équipes de sécurité informatique qui font face à un volume croissant de menaces et manquent souvent de ressources pour les auditer manuellement. En automatisant la détection de failles, Claude Mythos Preview pourrait réduire drastiquement le temps de réponse face aux cyberattaques et permettre aux entreprises d'identifier des vulnérabilités avant que des acteurs malveillants ne les exploitent. Newton Cheng, responsable cyber au sein de l'équipe red team d'Anthropic, indique que le modèle vise à donner aux équipes de sécurité un avantage structurel sur leurs adversaires. Cette initiative s'inscrit dans une tendance de fond où les grands laboratoires d'IA cherchent à positionner leurs modèles sur des secteurs critiques à haute valeur ajoutée. Anthropic, qui se distingue par son approche axée sur la sécurité des systèmes d'IA, choisit ici de restreindre l'accès à ce modèle plutôt que de le diffuser largement, une décision rare qui soulève des questions sur la gouvernance des outils d'IA offensifs et défensifs dans un contexte géopolitique tendu.

Anthropic a exclu l'agence américaine de cybersécurité du déploiement de Mythos

Plusieurs agences fédérales américaines ont commencé à utiliser Mythos Preview, le nouveau modèle de cybersécurité d'Anthropic, pour détecter et corriger des vulnérabilités informatiques. Selon un rapport d'Axios publié mardi, la Cybersecurity and Infrastructure Security Agency (CISA), l'agence centrale chargée de coordonner la cybersécurité nationale aux États-Unis, n'a pas accès à cet outil. En revanche, le Département du Commerce et la National Security Agency (NSA) l'utilisent déjà. L'administration Trump négocie par ailleurs un accès élargi au modèle pour d'autres entités gouvernementales. L'absence de CISA est paradoxale : c'est précisément l'agence dont le mandat est de protéger les infrastructures critiques américaines contre les cybermenaces. Lui refuser l'accès à un outil présenté comme particulièrement efficace pour identifier des failles de sécurité affaiblit potentiellement le maillon central du dispositif de défense cyber du gouvernement fédéral. Cela crée également une asymétrie au sein des agences : certaines bénéficient d'un avantage technologique que d'autres, pourtant directement concernées, n'ont pas. Anthropic a positionné Mythos comme un modèle spécialisé dans la sécurité informatique, capable de trouver et de corriger des vulnérabilités à une échelle difficile à atteindre manuellement. La course aux modèles d'IA dédiés à la cybersécurité s'intensifie, alors que les administrations cherchent à moderniser leurs défenses face à des menaces croissantes. La question de l'accès différencié entre agences gouvernementales pourrait alimenter des tensions internes et relancer le débat sur la gouvernance de l'IA dans les institutions fédérales.

Anthropic : le modèle Mythos marque un tournant pour les risques de cybersécurité liés à l'IA

Anthropic a involontairement rendu public un brouillon de billet de blog révélant l'existence d'un nouveau modèle d'IA baptisé "Mythos", spécialement conçu pour la génération et la révision de code informatique. Selon ce document, le modèle serait capable d'exploiter des vulnérabilités de sécurité "d'une manière qui dépasse largement les efforts des défenseurs". La société a déjà commencé à briefer des chercheurs en cybersécurité et leur accorde un accès anticipé afin de recueillir des retours avant un lancement officiel. L'enjeu est considérable : si un tel modèle tombait entre de mauvaises mains, il permettrait à des hackers peu qualifiés de mener des attaques sophistiquées à grande échelle, creusant davantage l'écart entre attaquants et défenseurs. Anthropic cherche précisément à identifier ces risques avant la mise sur le marché, en s'appuyant sur la communauté des chercheurs pour "red-teamer" le modèle et réduire son potentiel offensif. Cette démarche illustre la tension croissante entre les capacités des LLMs spécialisés dans le code et les impératifs de sécurité. Cette initiative s'inscrit dans une tendance plus large où les grands laboratoires d'IA — OpenAI, Google DeepMind, et désormais Anthropic — développent des modèles hautement performants pour le code, tout en faisant face à des questions épineuses sur leur double usage. Anthropic, qui se positionne comme un acteur responsable de l'IA via sa politique d'"IA constitutionnelle", se retrouve confronté au paradoxe fondamental du domaine : les mêmes capacités qui accélèrent la défense peuvent aussi armer les adversaires. La divulgation accidentelle du brouillon suggère que la pression autour de Mythos est déjà forte en interne.

💬 Un modèle qui dépasse les défenseurs sur leur propre terrain, c'est le scénario qu'on redoutait depuis que les LLMs de code sont vraiment capables. Ce qui compte, c'est qu'Anthropic le dit franchement et organise le red-teaming avant le lancement, pas après. La fuite du draft, c'est maladroit, mais ça confirme surtout que la pression en interne est déjà énorme.

Anthropic a restreint son modèle d'IA le plus puissant pour des raisons de cybersécurité, puis l'a mis au travail

Anthropic a discrètement lancé Project Glasswing, une initiative de cybersécurité inédite fondée sur son modèle le plus puissant à ce jour, Claude Mythos Preview. Plutôt que de le commercialiser, l'entreprise l'a confié à un consortium de partenaires chargés de sécuriser les infrastructures critiques d'Internet : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks, auxquels s'ajoutent plus de 40 autres organisations. Anthropic s'engage à hauteur de 100 millions de dollars en crédits d'utilisation pour le modèle, ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et à l'OpenSSF via la Linux Foundation, et 1,5 million à la Apache Software Foundation. Les résultats déjà obtenus donnent le vertige : Mythos Preview a détecté de manière autonome un bug vieux de 27 ans dans OpenBSD, et a identifié et exploité sans intervention humaine une faille d'exécution de code à distance vieille de 17 ans dans FreeBSD, CVE-2026-4747, permettant à n'importe qui sur Internet de prendre le contrôle total d'un serveur. Nicholas Carlini, chercheur chez Anthropic, résume : « J'ai trouvé plus de bugs ces dernières semaines que dans tout le reste de ma carrière. » La décision de ne pas rendre Mythos Preview accessible au grand public est délibérée et assumée. Le modèle n'a pas été entraîné spécifiquement pour la cybersécurité, ses capacités offensives sont apparues comme une conséquence indirecte de progrès généraux en raisonnement, en code et en autonomie. Newton Cheng, responsable du Frontier Red Team Cyber d'Anthropic, l'explique sans détour : les mêmes améliorations qui rendent le modèle capable de corriger des vulnérabilités le rendent tout aussi capable de les exploiter. Et le risque ne relève pas de la spéculation : Anthropic a précédemment documenté ce qu'elle décrit comme le premier cyberattaque largement exécutée par une IA, menée par un groupe soutenu par l'État chinois qui a infiltré une trentaine de cibles mondiales, les agents IA gérant de manière autonome la majorité des opérations tactiques. Project Glasswing s'inscrit dans un contexte de course entre la diffusion des capacités offensives et la consolidation des défenses. Mythos Preview sature désormais la plupart des benchmarks de sécurité existants, forçant Anthropic à se tourner vers des tâches réelles inédites, notamment des vulnérabilités zero-day. L'initiative cible aussi un angle mort historique : les mainteneurs de logiciels open source, dont le code sous-tend une grande partie des infrastructures mondiales, ont longtemps manqué de ressources en sécurité. Anthropic a en parallèle briefé des responsables haut placés du gouvernement américain sur les capacités complètes du modèle, et les services de renseignement américains évaluent désormais activement comment il pourrait remodeler les opérations de piratage offensif et défensif dans les années à venir.