Pendant des décennies, la recherche de vulnérabilités logicielles a été une quête artisanale, un art réservé à une élite de chercheurs en sécurité. Un travail méticuleux, lent, souvent frustrant. Mais un changement de paradigme vient de se produire. Imaginez une intelligence capable de scanner des millions de lignes de code avec une diligence surhumaine, de raisonner comme un expert et de découvrir des failles cachées depuis l’aube de l’internet. Cette entité existe désormais, et elle se nomme Claude Mythos.
Dévoilé par la société d’IA Anthropic, ce nouveau modèle de langage n’est pas une simple évolution. Il représente une rupture, une force capable d’identifier et d’exploiter des vulnérabilités zero-day à une échelle jamais vue. Face à cette puissance, Anthropic a immédiatement lancé une initiative défensive d’envergure, le Project Glasswing, pour tenter de garder une longueur d’avance sur les menaces futures.
La genèse d’une capacité cybernétique sans précédent
La puissance de Claude Mythos ne vient pas d’un entraînement ciblé sur la cybersécurité. Ses capacités stupéfiantes sont une conséquence émergente de l’amélioration générale de ses compétences en raisonnement, en codage et en autonomie. Là où les modèles précédents, comme Opus 4.6, étaient bien meilleurs pour corriger les failles que pour les exploiter, Mythos se situe dans une tout autre catégorie.
Les tests internes d’Anthropic sont éloquents : alors qu’Opus 4.6 ne parvenait que très rarement à développer des exploits fonctionnels, Mythos a démontré un taux de succès spectaculaire, transformant des failles théoriques en armes logicielles fonctionnelles. Cette même intelligence qui lui permet de patcher le code avec une efficacité redoutable lui confère la capacité de le briser. Le résultat est la découverte de milliers de vulnérabilités critiques dans tous les systèmes d’exploitation et navigateurs majeurs.
Découvertes archéologiques : des failles vieilles de plusieurs décennies exhumées
La portée de Claude Mythos s’étend jusque dans le passé du code, exhumant des failles que des décennies d’audits humains et automatisés avaient manquées. Ces découvertes ne sont pas triviales ; elles touchent au cœur de logiciels réputés pour leur robustesse.
Un exemple frappant est une faille vieille de 27 ans dans OpenBSD, un système d’exploitation dont la réputation en matière de sécurité n’est plus à faire. Mythos a identifié une vulnérabilité subtile dans l’implémentation du protocole SACK (Selective Acknowledgment) de TCP. En exploitant un dépassement d’entier signé, une condition jugée impossible par les développeurs, l’IA a pu provoquer un crash du noyau, permettant une attaque par déni de service à distance contre n’importe quelle machine OpenBSD vulnérable.
Un autre cas concerne FFmpeg, la bibliothèque de traitement multimédia omniprésente sur le web. Mythos a découvert une vulnérabilité de 16 ans dans le décodeur H.264. Une collision entre une valeur sentinelle et un compteur de tranches de 16 bits permettait à un attaquant de provoquer une écriture hors limites, entraînant un crash du processus. Cette faille avait échappé à d’innombrables sessions de fuzzing, une technique de test automatisé pourtant intensive.
De la découverte à l’exploitation : l’autonomie créative de mythos en action
La véritable puissance de Mythos ne réside pas seulement dans sa capacité à trouver des bugs, mais dans son autonomie à les transformer en exploits fonctionnels. L’IA n’a pas besoin d’un guide humain ; elle conçoit des chaînes d’attaques complexes qui auraient demandé des semaines de travail à un expert humain.
L’exécution de code à distance sur freebsd : une chorégraphie d’exploits
De manière totalement autonome, Mythos a identifié et exploité une faille de 17 ans dans le serveur NFS de FreeBSD, permettant un accès root complet et à distance sans authentification (CVE-2026-4747). L’attaque est une démonstration de créativité technique. L’IA a d’abord trouvé un moyen de contourner l’authentification en récupérant des informations système via un autre appel non authentifié. Ensuite, elle a exploité un dépassement de tampon classique.
La difficulté était que la charge utile de l’attaque, une chaîne ROP (Return-Oriented Programming), était trop longue pour le tampon. Mythos a résolu ce problème en fragmentant son attaque sur six requêtes RPC séquentielles, assemblant la charge utile en mémoire morceau par morceau avant de déclencher l’exécution finale. Une véritable chorégraphie d’exploitation.
L’escalade de privilèges sur linux : une chaîne de vulnérabilités complexe
Sur le noyau Linux, réputé pour ses multiples couches de défense, Mythos a prouvé sa capacité à enchaîner plusieurs vulnérabilités distinctes pour atteindre son but. Une seule faille est souvent insuffisante pour contourner des protections comme KASLR (Kernel Address Space Layout Randomization), qui rend la position du code en mémoire imprévisible.
Dans un scénario, Mythos a utilisé une première faille pour obtenir une fuite d’information et contourner KASLR. Il a ensuite utilisé une deuxième vulnérabilité pour lire une structure de données critiques, puis une troisième pour écrire dans un objet mémoire préalablement libéré. Le tout a été combiné à une technique de “heap spray” pour placer une structure de données malveillante au bon endroit, lui octroyant finalement les privilèges root. Cet enchaînement de failles démontre un niveau de planification stratégique remarquable.
Project glasswing : la course pour armer les défenseurs
Consciente des risques immenses posés par de telles capacités, Anthropic a choisi de ne pas rendre Claude Mythos publiquement accessible. À la place, l’entreprise a lancé le Project Glasswing, une collaboration d’urgence visant à utiliser la puissance de Mythos à des fins défensives. L’objectif est de sécuriser les logiciels les plus critiques au monde avant que des acteurs malveillants ne développent des capacités similaires.
L’initiative rassemble un consortium de géants de la technologie et d’organisations clés de l’open source. Ces partenaires auront un accès contrôlé au modèle pour renforcer leurs propres défenses.
- Amazon Web Services
- Apple
- Broadcom
- Cisco
- CrowdStrike
- JPMorgan Chase
- La Fondation Linux
- Microsoft
- NVIDIA
- Palo Alto Networks
Le projet représente une tentative de renverser la dynamique traditionnelle de la cybersécurité. En donnant aux défenseurs un accès anticipé à des outils de découverte de failles de nouvelle génération, Anthropic espère créer un nouvel équilibre où la correction des bugs pourra enfin prendre le pas sur leur exploitation. Les détails techniques de ces tests sont également essentiels à comprendre pour la communauté de la sécurité, et Anthropic a fourni un aperçu technique détaillé pour les chercheurs.
Qu’est-ce qu’une vulnérabilité « zero-day » ?
Une vulnérabilité « zero-day » (ou jour zéro) est une faille de sécurité dans un logiciel qui est inconnue du développeur ou du public. Les attaquants peuvent l’exploiter avant qu’un correctif ne soit disponible, d’où son nom : le développeur a eu ‘zéro jour’ pour la corriger.
En quoi Claude Mythos est-il différent des autres IA ?
La principale différence réside dans son autonomie et son efficacité à non seulement découvrir des failles complexes et anciennes, mais aussi à créer de manière autonome des exploits fonctionnels pour ces failles. Ses capacités ne sont pas le fruit d’un entraînement spécifique mais ont émergé de l’amélioration de ses capacités générales de raisonnement et de codage.
Claude Mythos est-il accessible au public ?
Non. En raison de son potentiel d’abus, Anthropic a décidé de ne pas rendre ce modèle publiquement accessible. L’accès est limité à un consortium d’entreprises et d’organisations partenaires dans le cadre du Project Glasswing, à des fins défensives.
Quel est l’objectif du Project Glasswing ?
Le Project Glasswing est une initiative d’Anthropic visant à utiliser les capacités de Claude Mythos pour renforcer la cybersécurité. L’objectif est de permettre à des acteurs majeurs de la technologie de trouver et de corriger des vulnérabilités dans leurs logiciels critiques avant que des outils similaires ne tombent entre de mauvaises mains.
