GPT-5.5-Cyber signe un score record en cybersécurité : le nouveau rival de Mythos ?

GPT-5.5 égale Mythos Preview dans les nouveaux tests de cybersécurité

Le modèle GPT-5.5 d'OpenAI, mis en accès public la semaine dernière, a obtenu des résultats comparables à ceux de Mythos Preview d'Anthropic lors des évaluations cybersécurité menées par l'AI Security Institute britannique (AISI). Sur les 95 défis de type Capture the Flag testant des compétences en rétro-ingénierie, exploitation web et cryptographie, GPT-5.5 a résolu en moyenne 71,4 % des tâches de niveau "Expert", contre 68,6 % pour Mythos Preview, un écart qui reste dans la marge d'erreur. Sur un défi particulièrement difficile consistant à construire un désassembleur pour décoder un binaire Rust, GPT-5.5 a résolu la tâche en 10 minutes et 22 secondes, sans assistance humaine, pour un coût de 1,73 dollar en appels API. Les deux modèles ont également obtenu des performances similaires sur "The Last Ones" (TLO), un scénario simulant une attaque d'extraction de données en 32 étapes sur un réseau d'entreprise: GPT-5.5 a réussi 3 tentatives sur 10, contre 2 sur 10 pour Mythos Preview. Aucun modèle testé auparavant n'avait jamais réussi ce scénario ne serait-ce qu'une seule fois. Ce résultat fragilise directement la posture d'Anthropic, qui avait présenté Mythos Preview le mois dernier comme un modèle au potentiel cybersécuritaire exceptionnel, justifiant une restriction d'accès aux seuls "partenaires industriels critiques". GPT-5.5 atteint un niveau de capacité équivalent tout en étant disponible publiquement, ce qui soulève des questions sur la cohérence des politiques de déploiement entre les deux laboratoires. Pour les entreprises et les équipes de sécurité, cela signifie que des outils d'attaque automatisés de niveau expert sont désormais accessibles à tous, sans restriction. L'AISI conduit ces évaluations sur les modèles frontier depuis 2023, dans le cadre d'un effort de surveillance indépendante des capacités offensives de l'IA. Le seul scénario sur lequel aucun modèle n'a encore percé est "Cooling Tower", une simulation d'attaque contre le logiciel de contrôle d'une centrale électrique, ce qui indique qu'une limite demeure pour l'instant. Mais la trajectoire est claire: les capacités cybersécuritaires des grands modèles progressent rapidement, et le débat sur leur encadrement devient plus urgent à mesure que la performance rejoint puis dépasse celle des experts humains sur des tâches ciblées.

💬 Ce qui me frappe, c'est pas les scores (71% vs 68%, c'est dans la marge). C'est qu'Anthropic justifiait les restrictions sur Mythos par un risque hors-norme, pendant que GPT-5.5 sort en accès libre avec les mêmes capacités, en réussissant même "The Last Ones", ce scénario d'exfiltration en 32 étapes que personne n'avait jamais passé jusqu'ici. Soit OpenAI sous-estime le danger, soit Anthropic survend sa prudence.

Anthropic lance un nouveau modèle d'IA pour la cybersécurité

Anthropic lance un nouveau modèle d'intelligence artificielle dédié à la cybersécurité, dans le cadre d'un partenariat baptisé Project Glasswing réunissant Nvidia, Google, Amazon Web Services, Apple, Microsoft et d'autres grandes entreprises technologiques. Ce projet propose aux partenaires de lancement un accès à Claude Mythos Preview, un modèle généraliste inédit qu'Anthropic ne prévoit pas de rendre public en raison de préoccupations liées à la sécurité. L'objectif affiché est de permettre aux grandes organisations, et potentiellement aux gouvernements, de détecter automatiquement des vulnérabilités dans leurs systèmes avec une intervention humaine quasi nulle. L'enjeu est considérable pour les équipes de sécurité informatique qui font face à un volume croissant de menaces et manquent souvent de ressources pour les auditer manuellement. En automatisant la détection de failles, Claude Mythos Preview pourrait réduire drastiquement le temps de réponse face aux cyberattaques et permettre aux entreprises d'identifier des vulnérabilités avant que des acteurs malveillants ne les exploitent. Newton Cheng, responsable cyber au sein de l'équipe red team d'Anthropic, indique que le modèle vise à donner aux équipes de sécurité un avantage structurel sur leurs adversaires. Cette initiative s'inscrit dans une tendance de fond où les grands laboratoires d'IA cherchent à positionner leurs modèles sur des secteurs critiques à haute valeur ajoutée. Anthropic, qui se distingue par son approche axée sur la sécurité des systèmes d'IA, choisit ici de restreindre l'accès à ce modèle plutôt que de le diffuser largement, une décision rare qui soulève des questions sur la gouvernance des outils d'IA offensifs et défensifs dans un contexte géopolitique tendu.

GPT-5.5 rivalise avec Claude Mythos dans les tests de cyberattaques, selon l'Institut britannique de sécurité de l'IA

GPT-5.5 d'OpenAI est capable de résoudre de manière autonome une simulation complète d'attaque réseau, selon les évaluations publiées par l'UK AI Security Institute (AISI). C'est seulement le deuxième modèle à franchir ce seuil, aux côtés du Claude Mythos d'Anthropic. GPT-5.5 est d'ores et déjà déployé dans ChatGPT et accessible via l'API d'OpenAI, tandis que Claude Mythos reste réservé à un groupe très restreint de partenaires et testeurs. Cette performance marque un tournant dans le paysage de la cybersécurité. Qu'un modèle accessible au grand public puisse enchaîner de manière autonome les étapes d'une intrusion réseau complète, de la reconnaissance initiale jusqu'à l'exploitation d'une cible, représente une menace concrète pour les entreprises et institutions. Jusqu'ici, ce niveau de capacité restait cantonné à des systèmes expérimentaux à diffusion très limitée. Le fait que GPT-5.5 soit déjà largement déployé soulève des questions urgentes sur le contrôle des aptitudes offensives des modèles commerciaux. L'AISI britannique, créée dans le sillage du sommet de Bletchley Park de novembre 2023, évalue régulièrement les modèles dits frontier avant et après leur mise sur le marché, en testant leurs capacités dans des domaines sensibles comme la cybersécurité ou les armes de destruction massive. Ces évaluations s'inscrivent dans un effort plus large de gouvernance internationale de l'IA, auquel participent notamment la France, le Royaume-Uni et les États-Unis. La convergence de GPT-5.5 et Claude Mythos sur ces benchmarks offensifs va probablement intensifier les débats réglementaires sur les seuils de déploiement acceptables pour les modèles aux capacités les plus avancées.

💬 GPT-5.5 déjà en prod, accessible à tous, capable d'enchaîner une attaque réseau complète de bout en bout. Pendant ce temps Claude Mythos fait la même chose mais reste sous clé chez Anthropic. Le vrai débat, c'est là : OpenAI vient de décider tout seul que ce niveau de capacité offensive est acceptable en déploiement grand public, et personne ne leur a dit non.

Anthropic : le modèle Mythos marque un tournant pour les risques de cybersécurité liés à l'IA

Anthropic a involontairement rendu public un brouillon de billet de blog révélant l'existence d'un nouveau modèle d'IA baptisé "Mythos", spécialement conçu pour la génération et la révision de code informatique. Selon ce document, le modèle serait capable d'exploiter des vulnérabilités de sécurité "d'une manière qui dépasse largement les efforts des défenseurs". La société a déjà commencé à briefer des chercheurs en cybersécurité et leur accorde un accès anticipé afin de recueillir des retours avant un lancement officiel. L'enjeu est considérable : si un tel modèle tombait entre de mauvaises mains, il permettrait à des hackers peu qualifiés de mener des attaques sophistiquées à grande échelle, creusant davantage l'écart entre attaquants et défenseurs. Anthropic cherche précisément à identifier ces risques avant la mise sur le marché, en s'appuyant sur la communauté des chercheurs pour "red-teamer" le modèle et réduire son potentiel offensif. Cette démarche illustre la tension croissante entre les capacités des LLMs spécialisés dans le code et les impératifs de sécurité. Cette initiative s'inscrit dans une tendance plus large où les grands laboratoires d'IA — OpenAI, Google DeepMind, et désormais Anthropic — développent des modèles hautement performants pour le code, tout en faisant face à des questions épineuses sur leur double usage. Anthropic, qui se positionne comme un acteur responsable de l'IA via sa politique d'"IA constitutionnelle", se retrouve confronté au paradoxe fondamental du domaine : les mêmes capacités qui accélèrent la défense peuvent aussi armer les adversaires. La divulgation accidentelle du brouillon suggère que la pression autour de Mythos est déjà forte en interne.

💬 Un modèle qui dépasse les défenseurs sur leur propre terrain, c'est le scénario qu'on redoutait depuis que les LLMs de code sont vraiment capables. Ce qui compte, c'est qu'Anthropic le dit franchement et organise le red-teaming avant le lancement, pas après. La fuite du draft, c'est maladroit, mais ça confirme surtout que la pression en interne est déjà énorme.