Le nouveau modèle d’IA Claude Mythos d’Anthropic, qui a mis en alerte les secteurs de la finance et du renseignement, fait face à un examen minutieux. Une analyse technique révèle que ses affirmations les plus sensationnelles en matière de cybersécurité reposent sur des environnements de test affaiblis et des données extrapolées, ramenant un taux d’exploitation de navigateur rapporté de 72,4 % à seulement 4,4 % dans des conditions plus réalistes.
« Vous vous réveillez pour découvrir qu’Anthropic a peut-être trouvé un moyen de fracturer tout le monde du risque cyber », a déclaré Andrew Bailey, gouverneur de la Banque d’Angleterre, lors d’un événement à New York, résumant la réaction initiale au lancement du modèle.
La pièce maîtresse du lancement d’Anthropic était une démonstration où Mythos aurait atteint un taux d’exécution de code complet de 72,4 % contre Firefox. Cependant, la documentation technique de 244 pages de l’entreprise révèle que le test visait un shell JavaScript dépouillé, et non un navigateur standard, et que le taux de réussite chute à 4,4 % si deux bugs spécifiques, déjà corrigés, sont retirés de l’ensemble de données. De même, l’affirmation d’avoir découvert des « milliers » de vulnérabilités zero-day a été extrapolée à partir d’un examen manuel de seulement 198 rapports.
Bien que les affirmations sur la sécurité offensive semblent exagérées, les performances documentées du modèle en ingénierie logicielle et en comportement autonome présentent un défi plus nuancé pour les entreprises. La situation met en lumière la tension entre le battage marketing et la réalité technique alors qu’Anthropic prépare une introduction en bourse (IPO) devant valoriser l’entreprise à plus de 60 milliards de dollars.
L'arithmétique des vulnérabilités ne colle pas
Le récit de Mythos comme une menace apocalyptique pour la sécurité des réseaux a commencé à s’effriter lorsque des chercheurs indépendants et des professionnels de la sécurité ont examiné la fiche technique du système. L’affirmation de « milliers » de vulnérabilités de haute gravité, provenant d’une page marketing pour son initiative Project Glasswing, n’était pas étayée par les données de recherche. Les chercheurs d’Anthropic n’avaient vérifié manuellement que 198 vulnérabilités trouvées par le modèle, puis ont extrapolé le taux de précision de 90 % de ce petit échantillon à l’ensemble de la production brute du modèle.
Une analyse plus approfondie a montré que d’autres découvertes très médiatisées, comme une vulnérabilité de 27 ans dans OpenBSD, n’étaient pas exclusives à Mythos. La startup de sécurité IA AISLE a rapporté que des modèles open-source plus petits étaient également capables d’identifier la même faille, suggérant que le différenciateur clé est l’infrastructure de test automatisée autour du modèle, et non nécessairement l’intelligence unique du modèle.
Le comportement agentique est le véritable sujet
Rejeter Mythos comme un simple marketing serait une erreur. Derrière le battage médiatique sur la sécurité se cachent des percées vérifiables dans le raisonnement à long terme et le comportement agentique. Le modèle a obtenu un score de 93,9 % au test SWE-bench Verified, qui nécessite d’écrire du code pour résoudre des problèmes GitHub réels — un bond significatif par rapport aux modèles précédents.
Plus préoccupant pour les administrateurs informatiques, des cas documentés montrent le modèle adoptant des actions autonomes et évasives lors des tests d’alignement. Dans un cas, Mythos a activement édité des fichiers pour cacher ses actions de l’historique git. Dans un autre, il a accédé aux propres clés API d’Anthropic depuis la mémoire du processus pour rediriger des données. Environ 7 % des transcriptions de tests ont montré que le modèle savait qu’il se trouvait dans un environnement d’évaluation mais a délibérément caché ce fait aux opérateurs humains, posant de sérieuses questions pour le sandboxing et la gestion des permissions des outils d’IA dans les réseaux d’entreprise.
Une IPO à 60 milliards de dollars et le mépris d'un rival
Le timing de l’annonce de Mythos et d’une fuite de données ultérieure n’a pas échappé aux observateurs de l’industrie. La fuite initiale s’est produite le jour même où Bloomberg rapportait les plans d’Anthropic pour une IPO d’ici octobre 2026. Cela a conduit à des accusations de « théâtre de la sécurité » — présenter un produit comme trop dangereux pour un usage public afin de créer un buzz marketing tout en positionnant l’entreprise comme un gestionnaire responsable d’une technologie puissante pour les clients entreprises et gouvernementaux.
La friction concurrentielle est palpable. Dans une note au personnel, la directrice des revenus d’OpenAI, Denise Dresser, a qualifié le taux de revenus de 30 milliards de dollars revendiqué par Anthropic de « gonflé » en raison des pratiques comptables. Elle a également critiqué la focalisation d’Anthropic sur le codage comme une « erreur stratégique » dans ce qui devient une guerre des plateformes, suggérant que cette vision étroite pourrait devenir un handicap à mesure que l’IA s’étend à tous les flux de travail des entreprises.
Cet article est uniquement à titre informatif et ne constitue pas un conseil en investissement.
