Claude Mythos : l'IA d'Anthropic trop dangereuse pour le public vient d'être piratée

Claude Mythos : l'IA "trop dangereuse" d'Anthropic s'est retrouvée dans la nature

Le 7 avril 2026, Anthropic annonçait en grande pompe le lancement ultra-restreint de Claude Mythos, son modèle de cybersécurité le plus avancé. Le même jour, un groupe d'utilisateurs non autorisés y accédait discrètement depuis un serveur Discord. Deux semaines plus tard, Bloomberg et The Verge confirment la fuite : le modèle jugé trop risqué pour être rendu public s'est baladé librement entre de mauvaises mains. Voilà où on en est en 2026.

Ce qu'est vraiment Claude Mythos

Un modèle conçu pour trouver ce que les humains ratent

Claude Mythos n'est pas un simple assistant boosté aux stéroïdes. C'est un modèle de cybersécurité de nouvelle génération, capable d'identifier et d'exploiter des vulnérabilités dans chaque système d'exploitation majeur et chaque navigateur web du marché, dès qu'un utilisateur le lui demande. Ce n'est pas une hyperbole marketing : c'est la description qu'Anthropic elle-même a donnée dans ses communications officielles.

Ce qui rend Mythos proprement vertigineux, c'est sa capacité à repérer des failles que des équipes entières de développeurs ont manquées pendant des années. Avant même son déploiement officiel, le modèle avait déjà identifié des milliers de vulnérabilités dans des logiciels massivement utilisés. L'exemple qui circule dans les cercles spécialisés donne une idée concrète de l'ampleur : une faille critique dans un logiciel vidéo, passée au travers de plus de cinq millions de tests humains sans jamais être détectée, a été trouvée par Mythos.

Le Projet Glasswing : quand les géants tech font front commun

Face à la puissance de feu de Mythos, Anthropic n'a pas joué solo. La société a monté le Projet Glasswing, un partenariat fermé et strictement contrôlé avec une liste de noms qui ressemble à un Who's Who de la tech mondiale : Amazon Web Services, Apple, Google, Microsoft et Nvidia, auxquels s'ajoutent des spécialistes de la cybersécurité comme CrowdStrike et Palo Alto Networks.

L'objectif du projet est clair : permettre à ces acteurs de colmater les brèches identifiées par Mythos avant qu'un modèle concurrent, moins scrupuleux, ne les exploite à des fins offensives. Les gouvernements, dont celui des États-Unis, suivent l'évolution du dossier de très près. La décision de ne pas rendre Mythos accessible au grand public, une mesure rare dans le secteur, dit tout sur ce qu'Anthropic perçoit comme le niveau de menace réel.

Le hack : une faille humaine, comme souvent

Discord, un prestataire tiers et un peu de déduction

Le scénario du hack est, d'une certaine façon, encore plus inquiétant que s'il avait impliqué une attaque sophistiquée. Il n'y a pas eu d'intrusion spectaculaire dans les serveurs d'Anthropic. Un prestataire externe travaillant pour l'entreprise a ouvert la porte, probablement sans le vouloir. En combinant ses accès privilégiés avec des outils de recherche classiques disponibles sur le web, le groupe a pu localiser Mythos en ligne.

Pour affiner leur recherche, ces utilisateurs se sont appuyés sur des données issues d'une fuite précédente, celle de Mercor, qui leur a permis de "deviner" avec précision l'emplacement du modèle. Le groupe, actif sur un serveur Discord dédié à la traque des IA non encore sorties, a depuis fourni des captures d'écran et des démonstrations en direct à Bloomberg pour prouver leur accès. Ils affirment ne pas exploiter les capacités de cybersécurité de l'outil, pour éviter de déclencher les systèmes de surveillance d'Anthropic.

"Nous enquêtons sur un rapport faisant état d'un accès non autorisé à Claude Mythos Preview via l'environnement d'un de nos prestataires tiers." Porte-parole d'Anthropic, déclaration à Bloomberg

Anthropic précise qu'à ce stade, rien n'indique que l'accès non autorisé dépasse l'environnement du prestataire concerné, ni qu'il affecte les systèmes internes de l'entreprise. Mais le mal est fait : d'autres modèles non sortis d'Anthropic auraient également été consultés par ce même groupe.

Ce que ça dit de notre rapport aux données en 2026

Franchement, cette affaire n'est pas une surprise totale. Elle est la confirmation de ce qu'on savait déjà mais qu'on préférait ne pas regarder en face. Nos données ont toujours fini dans la nature, d'une façon ou d'une autre. Les grandes fuites se suivent et se ressemblent depuis des années. Ce qui change ici, c'est l'échelle de ce qui peut être fait avec les informations ainsi obtenues.

À force de centraliser massivement nos données sur des infrastructures interconnectées, on a construit un système où le moindre maillon faible, qu'il soit humain ou technique, devient une menace pour l'ensemble. Un sous-traitant avec trop d'accès, une vieille fuite qui refait surface, et c'est l'outil numérique le plus redouté de 2026 qui se retrouve partagé sur un salon de discussion privé.

Et ça ne va pas s'arranger. Plus les modèles d'IA gagnent en puissance, plus le coût d'une fuite devient astronomique. Le Projet Glasswing est une réponse sérieuse, portée par des acteurs sérieux. Mais si un groupe d'utilisateurs non autorisés sur Discord peut accéder à Mythos deux semaines après son lancement restreint, en utilisant des outils classiques et les restes d'une ancienne fuite, la notion de "sécurité absolue" n'existe tout simplement plus. Ce n'est pas une question de moyens techniques, c'est une question de confiance dans la chaîne humaine entière, et cette chaîne a toujours des maillons fragiles.

Et toi, tu penses qu'on peut encore parler de cybersécurité crédible quand les outils les plus sensibles fuient via Discord en moins de deux semaines ? Dis-le en commentaires.