🌐 Contexte

Publié le 13 avril 2026 par la Cloud Security Alliance (CSA), SANS Institute, [un]prompted et l’OWASP Gen AI Security Project, ce document de stratégie (version 0.4) analyse l’émergence de Claude Mythos (Preview) d’Anthropic comme point d’inflexion majeur dans la découverte automatisée de vulnérabilités et l’exploitation offensive par IA.

⚡ Événement déclencheur : Claude Mythos & Project Glasswing

Anthropic a annoncé le 7 avril 2026 le modèle Claude Mythos Preview, accompagné du Project Glasswing, décrit comme le plus grand effort de coordination multi-parties de l’histoire pour la divulgation de vulnérabilités. Mythos se distingue par :

  • Découverte de milliers de zero-days sur tous les principaux OS et navigateurs
  • 72% de taux de succès d’exploitation
  • Génération de 181 exploits fonctionnels sur Firefox (contre 2 pour Claude Opus 4.6 dans les mêmes conditions)
  • Capacité “one-shot” (prompt unique sans scaffolding complexe)
  • Découverte d’un bug OpenBSD vieux de 27 ans
  • Identification de vulnérabilités composées de primitives chaînées (ex : multiples bugs de corruption mémoire)

📅 Chronologie des capacités offensives IA (2025-2026)

  • Juin 2025 : XBOW devient n°1 sur le leaderboard HackerOne, premier système autonome à surpasser tous les hackers humains
  • Août 2025 : Google Big Sleep découvre 20 zero-days réels (FFmpeg, ImageMagick) ; DARPA AIxCC trouve 54 vulnérabilités en 4h sur 54M lignes de code
  • Septembre 2025 : Heather Adkins (Google) et Gadi Evron (Knostic) publient un avertissement sur une singularité imminente
  • Novembre 2025 : Anthropic divulgue qu’un groupe étatique chinois a utilisé Claude Code pour orchestrer des chaînes d’attaque complètes (recon → exfiltration) contre ~30 cibles mondiales
  • Février 2026 : Claude Opus 4.6 signale 500+ vulnérabilités haute sévérité dans l’open source ; AISLE trouve 12 zero-days OpenSSL dont un CVSS 9.8 datant de 1998 ; Sysdig documente une attaque IA atteignant l’accès admin en 8 minutes ; Gambit publie un rapport sur la compromission d’infrastructures gouvernementales mexicaines
  • Mars 2026 : Les rapports de bugs du noyau Linux passent de 2 à 10/semaine (désormais tous vérifiés réels) ; lancement du Zero Day Clock (temps d’exploitation < 1 jour)
  • Avril 2026 : Annonce de Claude Mythos Preview et Project Glasswing

🎯 Impact structurel identifié

Le rapport identifie une asymétrie structurelle : l’IA réduit le coût et le niveau de compétence requis pour découvrir et exploiter des vulnérabilités plus vite que les organisations ne peuvent patcher. La fenêtre entre découverte et weaponisation est désormais réduite à quelques heures. Le CVE system pourrait ne pas passer à l’échelle face aux taux de découverte IA.

🛡️ Programme de sécurité “Mythos-ready” recommandé

Le document propose un registre de risques structuré (5 risques CRITIQUES, 7 HIGH, 1 MEDIUM) et 11 actions prioritaires sur 3 horizons temporels :

  • Immédiat : pointer des agents LLM sur son propre code, formaliser l’adoption d’agents IA, mettre à jour les modèles de risque
  • 45 jours : défendre les agents déployés, préparer le patching continu (vague Glasswing), inventaire de la surface d’attaque
  • 6-12 mois : construire une capacité VulnOps, automatiser la réponse aux incidents, renforcer l’architecture réseau

📋 Type d’article

Document de type recommandation de sécurité / analyse de menace, produit collectivement par des CISOs et chercheurs de premier plan, visant à outiller les équipes sécurité face à l’accélération des capacités offensives IA.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • Groupe étatique chinois (non nommé) (state-sponsored) —

TTP

  • T1587.004 — Develop Capabilities: Exploits (Resource Development)
  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1595 — Active Scanning (Reconnaissance)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1210 — Exploitation of Remote Services (Lateral Movement)

Malware / Outils

  • Claude Code (tool)
  • XBOW (tool)
  • raptor (tool)
  • AISLE (tool)
  • Big Sleep (tool)
  • OpenAnt (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ⬜ labs.cloudsecurityalliance.org — source non référencée (0pts)
  • ✅ 55864 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 6 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : Groupe étatique chinois (non nommé) (5pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://labs.cloudsecurityalliance.org/wp-content/uploads/2026/04/mythosreadyv4.pdf