Anthropic prépare le successeur d’Opus, le meilleur modèle de langage actuellement proposé aux utilisateurs de Claude. Nommé « Mythos », il est logiquement plus puissant que son prédécesseur, mais la différence est telle que son concepteur a décidé de… ne pas le rendre public. Les premiers tests menés en interne ont prouvé de telles capacités que ce modèle a été jugé trop dangereux pour être publié à l’heure actuelle. Il est si bon qu’il a déjà trouvé des failles de sécurité majeures, parfois vieilles de plusieurs décennies. Au lieu de le rendre accessible à tout le monde au risque d’exposer des milliers de projets, l’entreprise américaine annonce le projet Glasswing avec plusieurs partenaires, dont Apple.
Si l’on en croit les informations fournies par son concepteur, Mythos franchit une nouvelle étape, avec des résultats bien supérieurs. Sur les mesures de performance fournies par Anthropic, ce nouveau-venu laisse Opus 4.6 et ses concurrents loin derrière : sur le test SWE-bench Pro spécialisé dans l’écriture de code, il monte quasiment à 78 %, contre 53 % pour l’ancien modèle. Pour donner une idée de l’écart avec la concurrence, GPT-5.4 avait été mesuré à 57,7 % et Gemini 3.1 Pro revendiquait 54,2 %. Cet écart important illustre le passage à une toute nouvelle génération, avec des conséquences potentiellement inquiétantes.
Comme le souligne le créateur de Mythos : ce « modèle généraliste de nouvelle génération […] met en évidence un constat frappant : les modèles d’IA ont désormais atteint un niveau de compétence en programmation leur permettant de dépasser tous les humains, sauf les plus experts, pour identifier et exploiter des vulnérabilités logicielles. » C’est un problème croissant : les LLM excellent à repérer des failles de sécurité dans des bases de code. Même si des projets ont été noyés sous les mauvaises contributions, les progrès récents améliorent significativement la détection de vrais problèmes.
Des projets open source saturés par des (mauvaises) contributions générées par IA
Le principal développeur de curl, l’un des outils les plus utilisés au monde, a ainsi relevé que les rapports de sécurité générés par des IA s’étaient nettement améliorés. Il parle d’un tsunami de correctifs valides à appliquer, ce qui est très complexe pour un projet de cette taille. Mythos est apparemment encore bien meilleur sur cette tâche, au point d’être dangereux s’il était utilisé par des acteurs malveillants. D’autant que le modèle ne se contente pas de trouver les brèches, il est aussi très bon pour générer du code afin de les exploiter dans la foulée.
Lors de ses tests menés en interne, Anthropic a ainsi identifié « des milliers de vulnérabilités zero-day (c’est-à-dire des failles jusque-là inconnues des développeurs du logiciel), dont beaucoup critiques, dans tous les principaux systèmes d’exploitation et tous les principaux navigateurs web, ainsi que dans de nombreux autres logiciels importants. » Dans le lot, une faille traînait depuis 27 ans dans le code source d’OpenBSD, un système d’exploitation très utilisé notamment dans les infrastructures réseau et qui a la réputation d’être très sécurisé. Ce n’est pas une petite erreur en plus : la faille découverte par Mythos, et corrigée depuis par les développeurs du projet, permettait de faire planter une machine à distance.
Le noyau de Linux, FFmpeg (encodage et décodage de vidéos), Firefox et bien d’autres projets extrêmement populaires ont été corrigés de la même manière, mais il reste certainement des milliers d’autres vulnérabilités à découvrir. In fine, c’est pour cette raison qu’Anthropic a décidé de ne pas publier son modèle et de le confier plutôt aux plus gros acteurs du monde informatique, pour leur permettre de trouver et corriger les bugs avant l’arrivée de modèles concurrents tout aussi compétents. Apple fait partie de ces partenaires, tout comme Microsoft, la fondation Linux, Google, AWS (serveurs Amazon), Cisco, Nvidia ou encore Broadcom.
Mythos ne sera pas rendu public, seuls les organismes qu’Anthropic juge suffisamment dignes de confiance y auront accès. Dans un premier temps, l’entreprise ne fera pas payer les chercheurs en sécurité et elle annonce plusieurs dons à des organisations open-source, dont la fondation Apache qui maintient l’un des serveurs web les plus populaires. La prochaine étape est d’améliorer Opus grâce aux enseignements de ce nouveau modèle, tout en prévoyant des garde-fous pour limiter sa dangerosité. Au-delà, le créateur de Claude espère que l’on pourra mieux protéger tout le code qui fait tourner le monde contre les attaques générées par IA… en utilisant également des IA, bien entendu.
Anthropic a publié un très long article technique sur Mythos et ses capacités en matière de sécurité. Parmi les particularités de ce modèle, son autonomie est un point clé. Il est capable de prendre bien plus de décisions sans consignes, ce qui lui permet de dénicher plusieurs failles anodines séparément, mais dévastatrices une fois assemblées. Les modèles précédents avaient besoin d’être davantage accompagnés et ils étaient ainsi nettement moins efficaces sur ce genre de tâches.
