Aller au contenu principal
SécuritéLe Big Data1j· 2 min de lecture

Cette IA open source est aussi puissante que Mythos : comment est-ce possible ?

Source originale ↗·

La société chinoise Z.ai a lancé début juillet un nouveau modèle d'intelligence artificielle à pondération ouverte baptisé GLM-5.2, capable selon Forbes d'effectuer des tâches de programmation à grande échelle et de rivaliser avec les modèles les plus récents d'Anthropic pour détecter des vulnérabilités logicielles. Ce lancement intervient un mois après que l'administration Trump a contraint Anthropic à suspendre ses modèles Mythos 5 et Fable 5 pour des raisons de sécurité nationale, Washington redoutant des failles dans les mécanismes de protection de Fable 5. Un déploiement limité de Mythos 5 a depuis été autorisé, et Fable 5 est de nouveau accessible au public depuis le 1er juillet, mais à un tarif élevé en dehors des abonnements classiques. Contrairement à ces modèles fermés, GLM-5.2 peut être téléchargé librement et exécuté localement sur de nombreuses machines, sans qu'aucun fournisseur ne contrôle son accès ou son utilisation. Des consultants interrogés par Axios affirment que des jailbreaks du modèle circulent déjà sur des forums russophones fréquentés par des cybercriminels, cherchant à supprimer les rares garde-fous encore en place.

Cette disponibilité en accès libre inquiète les experts en cybersécurité, car elle change radicalement l'équation du risque. Un outil capable d'identifier des vulnérabilités logicielles peut tout aussi bien servir à corriger des failles qu'à préparer des attaques, et le contrôle qui existait auparavant via les fournisseurs disparaît entièrement. Comme l'a résumé le consultant Travis Lanham, un attaquant peut désormais exécuter GLM-5.2 localement sans garde-fous de sécurité, l'adapter à ses cibles et agir sans qu'aucun fournisseur ni défenseur ne puisse le surveiller. Les entreprises de sécurité Semgrep et Graphistry, qui ont testé le modèle, confirment ses performances élevées pour détecter des bugs et mener des tâches avancées de cybersécurité. Semgrep a résumé son évaluation en une phrase : « Mythos est désormais chez nous. »

Les chercheurs de Graphistry avancent l'hypothèse que Z.ai aurait utilisé la distillation, une technique consistant à entraîner un modèle moins avancé à partir des réponses produites par des modèles plus performants, en l'occurrence GPT-5.5 d'OpenAI et Opus 4.8 d'Anthropic. Cette explication, si elle se confirme, éclairerait la rapidité avec laquelle la Chine semble avoir comblé son retard en intelligence artificielle. Elle prolonge aussi une série d'alertes déjà lancées par Anthropic, qui a récemment accusé des acteurs liés à Alibaba d'avoir utilisé Claude dans un but similaire, après avoir signalé en février des tentatives comparables impliquant la startup chinoise DeepSeek, ainsi que les laboratoires Moonshot AI et MiniMax.

Impact France/UE

Les entreprises et administrations europeennes figurent parmi les cibles potentielles des cyberattaques facilitees par ce modele en acces libre, depourvu de garde-fous et echappant a tout controle des fournisseurs.

Cet article vous a été utile ?

Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.

À lire aussi

Claude Mythos, une IA vraiment trop puissante pour notre propre bien ?
1Frandroid 

Claude Mythos, une IA vraiment trop puissante pour notre propre bien ?

L'entreprise d'IA Anthropic a annoncé un nouveau grand modèle de langage baptisé Claude Mythos, accompagnant cette sortie d'une mise en garde inhabituelle : le modèle serait capable de "révolutionner la cybersécurité", mais pas nécessairement dans l'intérêt général. Cette déclaration, volontairement alarmante, illustre une stratégie de communication propre à Anthropic, qui publie systématiquement des fiches de sécurité ("system cards") détaillant les risques potentiels de ses modèles avant ou lors de leur lancement. Le signal envoyé est clair : Claude Mythos atteindrait un niveau de compétence suffisant pour assister à la conception ou à l'exploitation de failles de sécurité informatique, ce qui en ferait un outil à double tranchant pour les professionnels du secteur. Pour les entreprises, les gouvernements et les chercheurs en sécurité offensive et défensive, cela signifie que les barrières techniques séparant un attaquant averti d'un novice pourraient se réduire significativement. C'est précisément ce type de capacité, qualifiée d'"uplift" dans le jargon de la sécurité IA, qui inquiète les régulateurs et les experts en biosécurité et cybersécurité depuis plusieurs années. Anthropic se distingue de ses concurrents OpenAI et Google DeepMind par cette transparence proactive sur les risques de ses propres systèmes, une posture cohérente avec son positionnement d'entreprise fondée sur la sécurité IA ("AI safety"). La question qui se pose désormais est celle du contrôle d'accès : quels garde-fous techniques et contractuels Anthropic mettra-t-il en place pour limiter l'usage malveillant de Claude Mythos, et dans quelle mesure ces mesures seront-elles suffisantes face à des acteurs déterminés à contourner les restrictions.

UELes capacités d'"uplift" en cybersécurité de Claude Mythos interpellent les régulateurs européens, qui devront évaluer la suffisance des garde-fous d'Anthropic au regard des exigences de l'AI Act pour les modèles à usage général à haut risque.

💬 Anthropic joue encore la carte de la transparence proactive, et c'est plus rigoureux que les lancements en mode "fais-nous confiance" d'OpenAI. Publier une system card alarmiste sur un modèle qu'on sort quand même, ça couvre les arrières autant que ça informe. La vraie question, tu la connais déjà : qui vérifie que les garde-fous tiennent face à quelqu'un de vraiment motivé ?

SécuritéOpinion
1 source
GPT-5.5 aussi redoutable que Mythos en matière de hacking ? Les tests inquiètent
2Le Big Data 

GPT-5.5 aussi redoutable que Mythos en matière de hacking ? Les tests inquiètent

L'AI Security Institute a publié fin avril 2026 les résultats de tests comparatifs entre GPT-5.5, le dernier modèle d'OpenAI, et Mythos, le modèle phare d'Anthropic, sur des scénarios de cyberattaque simulés. Sur CyberBench et la simulation britannique TLO en 32 étapes, GPT-5.5 atteint 71,4 % de réussite sur des tâches de niveau expert, contre 68,6 % pour Mythos. Plus révélateur encore : GPT-5.5 a réussi à compléter la simulation TLO de bout en bout dans 2 cas sur 10, Mythos dans 3 cas sur 10. Cette simulation reproduit une cyberattaque complète incluant la reconnaissance, l'exploitation de vulnérabilités, l'élévation de privilèges, les mouvements latéraux et l'analyse cryptographique, soit des opérations normalement réservées à des professionnels de la sécurité offensive. Ce franchissement de seuil est significatif parce qu'il marque un glissement qualitatif : ces modèles ne se contentent plus d'assister un humain dans une tâche ponctuelle, ils sont désormais capables d'exécuter des chaînes d'attaque complètes et cohérentes sur plusieurs dizaines d'étapes. Une erreur en cours de séquence suffit normalement à faire échouer l'ensemble de la simulation, ce qui rend la réussite partielle de ces deux systèmes d'autant plus notable. Pour les équipes de sécurité défensive, les entreprises et les gouvernements, cela signifie que des capacités offensives jusqu'ici réservées à des groupes d'attaquants expérimentés pourraient devenir accessibles via des interfaces conversationnelles grand public, abaissant drastiquement le niveau technique requis pour mener des intrusions sophistiquées. Mythos faisait déjà l'objet d'inquiétudes avant la publication de ces résultats : Anthropic lui-même avait appelé à la prudence quant à son déploiement, et la Maison-Blanche avait exprimé des réserves sur les risques d'usage incontrôlé. GPT-5.5 s'invite maintenant dans ce débat avec des performances quasi équivalentes, ce qui complique la gestion du risque : il ne s'agit plus d'un modèle isolé jugé trop puissant, mais d'une tendance de fond touchant les grands laboratoires simultanément. L'écart entre les deux modèles est mince sur les benchmarks, mais GPT-5.5 se distingue par une progression plus régulière à travers les étapes, tandis que Mythos affiche des avancées plus irrégulières. La trajectoire commune des deux systèmes, clairement visible sur les graphiques de l'AI Security Institute, indique que davantage de tokens disponibles se traduit directement par une plus grande profondeur d'exécution dans les simulations d'attaque, ouvrant la question de savoir où se situe la prochaine limite à franchir.

UELes administrations et entreprises européennes font face à un risque accru d'intrusions sophistiquées facilitées par des interfaces grand public, une menace que l'ENISA et les obligations de l'AI Act sur les systèmes à haut risque devront intégrer en urgence.

💬 Le score à 71%, c'est presque secondaire. Ce qui compte, c'est qu'il n'y a plus un modèle isolé à surveiller, les deux plus grands labos arrivent au même résultat simultanément, et ça rend la gestion du risque autrement plus compliquée. 2 fois sur 10, 3 fois sur 10, une chaîne d'attaque complète en 32 étapes sans assistance humaine : le niveau d'entrée pour mener une intrusion sophistiquée vient de baisser d'un cran.

SécuritéOpinion
1 source
Mythos : l’IA d’Anthropic n’a pas piraté la NSA, mais que s’est-il passé au juste ?
3Le Big Data 

Mythos : l’IA d’Anthropic n’a pas piraté la NSA, mais que s’est-il passé au juste ?

Le 14 juin 2026, The Economist publiait un article citant le sénateur américain Mark Warner, vice-président de la commission du renseignement du Sénat, qui rapportait une déclaration du général Joshua Rudd, directeur de la NSA et du Cyber Command. Selon Warner, le modèle Mythos d'Anthropic aurait pénétré "la quasi-totalité des systèmes classifiés" de l'agence, "non pas en quelques semaines, mais en quelques heures". La phrase fait immédiatement le tour de X, Reddit et autres plateformes, où des milliers de publications affirment qu'une IA a réussi à pirater la NSA. En réalité, il s'agissait d'un test de red team entièrement autorisé, mené dans le cadre du projet Glasswing, un programme confidentiel impliquant des agences de renseignement américaines. L'objectif était d'utiliser Mythos pour détecter des vulnérabilités dans des logiciels critiques avant que de vrais attaquants ne puissent les exploiter. Anthropic et la NSA travaillaient ensemble sur une copie contrôlée de l'environnement informatique de l'agence, aucune intrusion réelle n'a eu lieu. Cette confusion révèle un problème de fond dans la communication autour de l'IA en contexte de sécurité nationale. Une distinction pourtant cruciale s'est perdue dans la propagation virale : identifier une vulnérabilité ne revient pas à l'exploiter. Selon un responsable américain cité anonymement par l'Associated Press, Mythos a bien repéré certaines failles en quelques heures, mais dans des conditions soigneusement préparées, avec des outils supplémentaires, loin d'une cyberattaque autonome. Le journaliste de The Economist lui-même, Shashank Joshi, est revenu publiquement sur l'interprétation de ses propos, précisant que son article décrivait un exercice très spécifique et encadré. Que la rumeur soit fausse n'efface pas ses effets : la désinformation a circulé pendant plusieurs jours à grande vitesse, alimentant des craintes sur la dangerosité des modèles d'IA avancés. La performance réelle de Mythos lors de ce test suffit néanmoins à justifier des inquiétudes sérieuses à Washington. Ce mois de juin 2026, Anthropic a reçu l'ordre de suspendre les exportations de ses modèles Mythos et Fable, le gouvernement américain estimant que leur diffusion internationale représente un risque pour la sécurité nationale. Cet épisode illustre la tension croissante entre les ambitions commerciales des grands laboratoires d'IA américains et les impératifs stratégiques de l'État fédéral. Le projet Glasswing lui-même témoigne d'une intégration de plus en plus étroite entre l'intelligence artificielle et les opérations de cybersécurité offensive et défensive. La question n'est plus de savoir si les modèles d'IA peuvent détecter des failles dans des systèmes complexes, mais à quelle vitesse cette capacité va se généraliser, et qui en contrôlera l'accès.

UEL'interdiction d'exportation des modèles Mythos et Fable imposée par Washington risque de priver les entreprises et institutions européennes d'accès aux IA frontier d'Anthropic, accentuant la dépendance technologique de l'UE aux décisions unilatérales américaines en matière de sécurité nationale.

💬 La rumeur s'est propagée plus vite que le démenti, c'est pas une surprise. Mais pendant qu'on débattait d'un prétendu piratage de la NSA, la vraie nouvelle passait inaperçue : les États-Unis ont interdit l'export de Mythos et Fable, signalant que ces modèles sont traités comme des armes, pas comme des services cloud. Pour l'Europe, ça veut dire que l'accès aux IA les plus puissantes peut se couper du jour au lendemain, sur décision de Washington.

SécuritéOpinion
1 source
Anthropic Mythos : une IA trop puissante pour le grand public ?
4Le Big Data 

Anthropic Mythos : une IA trop puissante pour le grand public ?

Avant d'écrire le résumé, je dois signaler un problème sérieux avec cet article source. Cet article contient des affirmations non vérifiées et potentiellement fabriquées. "Anthropic Mythos" n'est pas un produit annoncé par Anthropic. L'article ne cite aucune source nommée, aucune date précise, aucun document officiel. Les affirmations ("s'est échappé de son environnement de test", "génère des exploits zero-day en secondes", "risque systémique pour les banques mondiales") sont présentées avec des formulations vagues ("on murmure que", "il semble que", "des rapports récents pointent"), le signal classique d'un article clickbait ou de désinformation. Publier un résumé de ce texte sur Le Fil IA risque de : - Amplifier de fausses informations sur Anthropic - Nuire à la crédibilité du site auprès de lecteurs tech avertis - Potentiellement violer des standards journalistiques minimaux Ma recommandation : ne pas publier cet article. Si le sujet "IA et cybersécurité offensive" t'intéresse, je peux t'aider à trouver des sources fiables sur les vrais modèles d'Anthropic (Claude 3.7, Claude 4) et leurs politiques de sécurité réelles, ou sur les recherches académiques publiées sur LLMs et pentesting. Veux-tu que je cherche des articles de qualité sur ce sujet à la place, ou tu souhaites quand même le résumé en précisant que c'est du contenu spéculatif ?

SécuritéOpinion
1 source

Recevez l'essentiel de l'IA chaque jour

Une sélection éditoriale quotidienne, sans bruit. Directement dans votre boîte mail.

Recevez l'essentiel de l'IA chaque jour

Gratuit · 1 email le matin, l'essentiel de l'IA · désinscription en un clic