Claude Mythos devient le premier modèle d'IA à réussir toutes les simulations de cyberattaque de l'agence britannique de sécurité de l'IA

GPT-5.5 rivalise avec Claude Mythos dans les tests de cyberattaques, selon l'Institut britannique de sécurité de l'IA

GPT-5.5 d'OpenAI est capable de résoudre de manière autonome une simulation complète d'attaque réseau, selon les évaluations publiées par l'UK AI Security Institute (AISI). C'est seulement le deuxième modèle à franchir ce seuil, aux côtés du Claude Mythos d'Anthropic. GPT-5.5 est d'ores et déjà déployé dans ChatGPT et accessible via l'API d'OpenAI, tandis que Claude Mythos reste réservé à un groupe très restreint de partenaires et testeurs. Cette performance marque un tournant dans le paysage de la cybersécurité. Qu'un modèle accessible au grand public puisse enchaîner de manière autonome les étapes d'une intrusion réseau complète, de la reconnaissance initiale jusqu'à l'exploitation d'une cible, représente une menace concrète pour les entreprises et institutions. Jusqu'ici, ce niveau de capacité restait cantonné à des systèmes expérimentaux à diffusion très limitée. Le fait que GPT-5.5 soit déjà largement déployé soulève des questions urgentes sur le contrôle des aptitudes offensives des modèles commerciaux. L'AISI britannique, créée dans le sillage du sommet de Bletchley Park de novembre 2023, évalue régulièrement les modèles dits frontier avant et après leur mise sur le marché, en testant leurs capacités dans des domaines sensibles comme la cybersécurité ou les armes de destruction massive. Ces évaluations s'inscrivent dans un effort plus large de gouvernance internationale de l'IA, auquel participent notamment la France, le Royaume-Uni et les États-Unis. La convergence de GPT-5.5 et Claude Mythos sur ces benchmarks offensifs va probablement intensifier les débats réglementaires sur les seuils de déploiement acceptables pour les modèles aux capacités les plus avancées.

💬 GPT-5.5 déjà en prod, accessible à tous, capable d'enchaîner une attaque réseau complète de bout en bout. Pendant ce temps Claude Mythos fait la même chose mais reste sous clé chez Anthropic. Le vrai débat, c'est là : OpenAI vient de décider tout seul que ce niveau de capacité offensive est acceptable en déploiement grand public, et personne ne leur a dit non.

Anthropic : le modèle Mythos marque un tournant pour les risques de cybersécurité liés à l'IA

Anthropic a involontairement rendu public un brouillon de billet de blog révélant l'existence d'un nouveau modèle d'IA baptisé "Mythos", spécialement conçu pour la génération et la révision de code informatique. Selon ce document, le modèle serait capable d'exploiter des vulnérabilités de sécurité "d'une manière qui dépasse largement les efforts des défenseurs". La société a déjà commencé à briefer des chercheurs en cybersécurité et leur accorde un accès anticipé afin de recueillir des retours avant un lancement officiel. L'enjeu est considérable : si un tel modèle tombait entre de mauvaises mains, il permettrait à des hackers peu qualifiés de mener des attaques sophistiquées à grande échelle, creusant davantage l'écart entre attaquants et défenseurs. Anthropic cherche précisément à identifier ces risques avant la mise sur le marché, en s'appuyant sur la communauté des chercheurs pour "red-teamer" le modèle et réduire son potentiel offensif. Cette démarche illustre la tension croissante entre les capacités des LLMs spécialisés dans le code et les impératifs de sécurité. Cette initiative s'inscrit dans une tendance plus large où les grands laboratoires d'IA — OpenAI, Google DeepMind, et désormais Anthropic — développent des modèles hautement performants pour le code, tout en faisant face à des questions épineuses sur leur double usage. Anthropic, qui se positionne comme un acteur responsable de l'IA via sa politique d'"IA constitutionnelle", se retrouve confronté au paradoxe fondamental du domaine : les mêmes capacités qui accélèrent la défense peuvent aussi armer les adversaires. La divulgation accidentelle du brouillon suggère que la pression autour de Mythos est déjà forte en interne.

💬 Un modèle qui dépasse les défenseurs sur leur propre terrain, c'est le scénario qu'on redoutait depuis que les LLMs de code sont vraiment capables. Ce qui compte, c'est qu'Anthropic le dit franchement et organise le red-teaming avant le lancement, pas après. La fuite du draft, c'est maladroit, mais ça confirme surtout que la pression en interne est déjà énorme.

De GPT-2 à Claude Mythos : le retour des modèles d'IA jugés trop dangereux à publier

Il y a sept ans, OpenAI avait annoncé en grande pompe que son modèle GPT-2 était « trop dangereux pour être publié », une décision largement moquée par l'industrie, qui y avait vu une opération de communication plus qu'une précaution réelle. Aujourd'hui, Anthropic reproduit le même geste avec Claude Mythos Preview, mais avec une différence de taille : cette fois, des preuves concrètes accompagnent la décision. Le modèle a identifié des milliers de vulnérabilités dans des systèmes d'exploitation et des navigateurs web, en un volume si élevé qu'aucune équipe humaine ne serait en mesure de les examiner dans un délai raisonnable. L'enjeu est fondamentalement différent de 2019. Un modèle capable de découvrir et potentiellement d'exploiter des failles à cette échelle représente une menace asymétrique pour la cybersécurité mondiale : un acteur malveillant disposant d'un tel outil pourrait attaquer des infrastructures critiques bien plus vite que les défenseurs ne pourraient réagir. La question n'est plus théorique, elle est opérationnelle. Ce changement de posture illustre une évolution profonde dans le secteur. La course aux capacités des LLM a produit des modèles dont les aptitudes dépassent désormais les cadres d'évaluation existants. Anthropic, qui a investi massivement dans la recherche sur la sécurité des IA avec son équipe d'« AI Safety », se retrouve dans la position inconfortable de restreindre ses propres créations. La question qui se pose maintenant est de savoir si d'autres laboratoires, sous pression concurrentielle, adopteront la même retenue ou choisiront de publier quand même.

GPT-5.5 égale Mythos Preview dans les nouveaux tests de cybersécurité

Le modèle GPT-5.5 d'OpenAI, mis en accès public la semaine dernière, a obtenu des résultats comparables à ceux de Mythos Preview d'Anthropic lors des évaluations cybersécurité menées par l'AI Security Institute britannique (AISI). Sur les 95 défis de type Capture the Flag testant des compétences en rétro-ingénierie, exploitation web et cryptographie, GPT-5.5 a résolu en moyenne 71,4 % des tâches de niveau "Expert", contre 68,6 % pour Mythos Preview, un écart qui reste dans la marge d'erreur. Sur un défi particulièrement difficile consistant à construire un désassembleur pour décoder un binaire Rust, GPT-5.5 a résolu la tâche en 10 minutes et 22 secondes, sans assistance humaine, pour un coût de 1,73 dollar en appels API. Les deux modèles ont également obtenu des performances similaires sur "The Last Ones" (TLO), un scénario simulant une attaque d'extraction de données en 32 étapes sur un réseau d'entreprise: GPT-5.5 a réussi 3 tentatives sur 10, contre 2 sur 10 pour Mythos Preview. Aucun modèle testé auparavant n'avait jamais réussi ce scénario ne serait-ce qu'une seule fois. Ce résultat fragilise directement la posture d'Anthropic, qui avait présenté Mythos Preview le mois dernier comme un modèle au potentiel cybersécuritaire exceptionnel, justifiant une restriction d'accès aux seuls "partenaires industriels critiques". GPT-5.5 atteint un niveau de capacité équivalent tout en étant disponible publiquement, ce qui soulève des questions sur la cohérence des politiques de déploiement entre les deux laboratoires. Pour les entreprises et les équipes de sécurité, cela signifie que des outils d'attaque automatisés de niveau expert sont désormais accessibles à tous, sans restriction. L'AISI conduit ces évaluations sur les modèles frontier depuis 2023, dans le cadre d'un effort de surveillance indépendante des capacités offensives de l'IA. Le seul scénario sur lequel aucun modèle n'a encore percé est "Cooling Tower", une simulation d'attaque contre le logiciel de contrôle d'une centrale électrique, ce qui indique qu'une limite demeure pour l'instant. Mais la trajectoire est claire: les capacités cybersécuritaires des grands modèles progressent rapidement, et le débat sur leur encadrement devient plus urgent à mesure que la performance rejoint puis dépasse celle des experts humains sur des tâches ciblées.

💬 Ce qui me frappe, c'est pas les scores (71% vs 68%, c'est dans la marge). C'est qu'Anthropic justifiait les restrictions sur Mythos par un risque hors-norme, pendant que GPT-5.5 sort en accès libre avec les mêmes capacités, en réussissant même "The Last Ones", ce scénario d'exfiltration en 32 étapes que personne n'avait jamais passé jusqu'ici. Soit OpenAI sous-estime le danger, soit Anthropic survend sa prudence.