« Claude Mythos »: Anthropic sort un nouveau modèle qui suscite la peur de ses créateurs

Anthropic a mis au point une nouvelle version surpuissante de Claude. Cette nouvelle itération, considérée le modèle « de loin le plus puissant » jamais entraîné par la start-up, suscite même les inquiétudes d’Anthropic. Selon l’entreprise, Mythos pose des « risques de cybersécurité significatifs ».

Ce jeudi 26 mars 2026, Anthropic a commis une petite erreur sur son blog. À cause d’une « erreur humaine » de configuration sur le CMS de la start-up, une large quantité de brouillons et documents internes ont été mis en ligne par le biais d’une URL publique non sécurisée. Sans surprise, de nombreux curieux se sont mis à fouiller dans les documents mis en ligne par mégarde par Anthropic.

Deux chercheurs en cybersécurité, à savoir Roy Paz de LayerX Security et Alexandre Pauwels de l’université de Cambridge, découvrent ces documents publics et les envoient au magazine Fortune. Informée par Fortune, Anthropic coupe ensuite l’accès aux documents. La start-up reconnaît « un problème avec un outil CMS externe » et confirme qu’il s’agit de « premières versions de contenus envisagés pour publication ».

Un nouveau modèle d’IA surpuissant dans les cartons d’Anthropic

Parmi les documents, on trouve un billet de blog au sujet d’un tout nouveau modèle d’intelligence artificielle, Claude Mythos, nom de code en interne Capybara. Le billet de blog décrit Claude Mythos comme « de loin le modèle d’IA le plus puissant » jamais développé par Anthropic. En matière de performances, le modèle va plus loin que Claude Opus 4.6, le dernier fleuron d’Anthropic. Le billet de blog en ligne par erreur évoque des résultats « nettement supérieurs » sur des tests de programmation académique et de raisonnement. La start-up y affirme que Mythos représente « un nouveau palier de modèles », notamment dans le domaine de la cybersécurité.

Anthropic confirme officiellement avoir entraîné et commencé à tester ce nouveau modèle. Celui-ci est en test chez un petit groupe de clients en accès anticipé. Particulièrement coûteux à faire tourner, le modèle n’est pas prêt pour un lancement grand public. Dans les documents divulgués par erreur, Anthropic admet que sa future IA pose en effet des risques en matière de cybersécurité.

Des « risques de cybersécurité significatifs »

Ce modèle est « actuellement très en avance sur tout autre modèle d’IA en capacités cyber », détaille le brouillon. Selon Anthropic, le modèle Mythos pose des « risques de cybersécurité significatifs ». Concrètement, le modèle d’IA est capable « d’exploiter des vulnérabilités d’une manière qui dépasse largement les efforts des défenseurs ». Entre les mains de cybercriminels, Claude Mythos pourrait donc servir de point de départ à des cyberattaques. Selon Anthropic, ces attaques reposant sur Mythos ne pourront pas être parées par les défenseurs.

Le modèle va plus loin dans la recherche de vulnérabilités, et leur exploitation, que Claude Opus 4.6. Le modèle actuel est pourtant déjà parvenu à plus de 500 failles zero-day critiques dans des projets open source, dont 22 dans le navigateur Firefox de Mozilla. Il s’était par contre montré nettement moins bon dans l’exploitation pure et dure des vulnérabilités. D’après les essais menés par Anthropic, l’IA peine dans la majorité des cas à identifier des exploits réellement exploitables. Malgré des centaines de tentatives, elle n’est parvenue à générer un programme d’attaque fonctionnel que pour deux vulnérabilités. Plus puissant et plus sophistiqué, Mythos peut à la fois débusquer les failles et proposer des méthodes d’exploitation. C’est du pain béni pour les hackers.

C’est pourquoi Anthropic a décidé de faire preuve de prudence dans le déploiement de Mythos. Dans un premier temps, la société a donné accès à l’IA à des organisations de défense. Celles-ci sont invitées à se préparer à l’arrivée du modèle et à une « vague imminente d’exploits pilotés par IA ».

« Nous voulons agir avec une prudence accrue et comprendre les risques qu’il pose — au‑delà de ce que nous apprenons dans nos propres tests. En particulier, nous voulons comprendre les risques potentiels à court terme dans le domaine de la cybersécurité et partager les résultats pour aider les défenseurs à se préparer », déclare Anthropic.