🗞️ Contexte

Source : The Verge (Jess Weatherbed), publié le 22 avril 2026, relayant un rapport Bloomberg. L’article couvre un incident de sécurité impliquant Anthropic et son modèle d’IA confidentiel Claude Mythos Preview.

🔍 Incident

Le 7 avril 2026, jour de l’annonce par Anthropic de la mise à disposition limitée de Mythos, un groupe non identifié d’utilisateurs non autorisés a accédé illicitement au modèle. L’accès a été obtenu via :

  • L’exploitation des accès d’un sous-traitant tiers d’Anthropic
  • Des outils courants de recherche sur internet (« internet sleuthing tools »)
  • Des connaissances sur les formats de modèles d’Anthropic obtenues lors d’une fuite de données chez Mercor, permettant de deviner l’emplacement en ligne du modèle

🎯 Cible et périmètre

Claude Mythos Preview est décrit par Anthropic comme capable d’identifier et d’exploiter des vulnérabilités dans tous les principaux systèmes d’exploitation et navigateurs web. L’accès officiel est restreint à un nombre limité d’entreprises via le programme Project Glasswing : Nvidia, Google, Amazon Web Services, Apple et Microsoft. Des gouvernements s’y intéressent également.

📊 Impact

  • Le groupe utilise Mythos régulièrement depuis l’accès initial, sans usage cybersécurité déclaré (pour éviter la détection)
  • Des captures d’écran et une démonstration en direct ont été fournies à Bloomberg comme preuves
  • D’autres modèles non publiés d’Anthropic auraient également été accédés
  • Anthropic indique n’avoir aucune preuve d’impact sur ses propres systèmes, l’incident semblant confiné à l’environnement du prestataire tiers
  • Le groupe opère via un canal Discord dédié à la recherche d’informations sur des modèles IA non publiés

📌 Type d’article

Article de presse généraliste relayant un rapport Bloomberg sur un incident de sécurité impliquant un accès non autorisé à un actif IA hautement sensible via une chaîne d’approvisionnement tierce.

🧠 TTPs et IOCs détectés

TTP

  • T1078.003 — Valid Accounts: Local Accounts (Initial Access)
  • T1199 — Trusted Relationship (Initial Access)
  • T1589 — Gather Victim Identity Information (Reconnaissance)
  • T1530 — Data from Cloud Storage (Collection)

🟡 Indice de vérification factuelle : 38/100 (moyenne)

  • ⬜ theverge.com — source non référencée (0pts)
  • ✅ 2743 chars — texte partiel (fulltext extrait) (13pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 4 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.theverge.com/ai-artificial-intelligence/916501/anthropic-mythos-unauthorized-users-access-security