📅 Contexte : Article d’analyse publié le 2 mai 2026 sur flyingpenguin.com par Davi Ottenheimer, analyste senior en cybersécurité, portant sur le lancement par Anthropic du Project Glasswing et Claude Mythos Preview annoncé le 7 avril 2026.

🔍 Affirmations d’Anthropic sur Mythos :

  • Capacité à identifier et exploiter des zero-day vulnerabilities dans tous les systèmes d’exploitation et navigateurs majeurs
  • Découverte d’une vulnérabilité vieille de 27 ans dans OpenBSD et d’un bug de 16 ans dans FFmpeg
  • Identification de chaînes d’escalade de privilèges dans le noyau Linux
  • Accès restreint à un consortium : Microsoft, Apple, Google, Amazon Web Services, JPMorgan Chase, Nvidia
  • Coût : 5 fois celui d’Opus 4.6 selon le rapport CETAS de l’Alan Turing Institute

⚠️ Critiques et contre-preuves apportées :

  • L’équipe AISLE (Stanislav Fort) a reproduit les résultats sur les mêmes vulnérabilités avec des modèles open-weight petits et bon marché : 8/8 vulnérabilités détectées, dont par un modèle de 3,6 milliards de paramètres à 0,10$ par million de tokens
  • Un modèle de 5,1 milliards de paramètres a reproduit la chaîne OpenBSD
  • Eric Hartford / Lazarus AI a publié Clearwing, scanner de vulnérabilités open-source sous licence MIT reproduisant les capacités de Glasswing
  • Quatre concurrents open-source ont été publiés : Strix, AISLE, Clearwing, Codex Security (OpenAI)

📊 Données sectorielles citées :

  • Edgescan 2025 : 45,4% des vulnérabilités découvertes dans les grandes entreprises restent non patchées après 12 mois
  • Veracode 2024 : délai moyen de correction d’une faille critique = 252 jours (+47% en 5 ans) ; 2/3 des organisations ont des backlogs > 100 000 findings
  • Pearce et al. (NYU/Stanford) : 40% du code généré par Copilot contient des vulnérabilités CWE
  • Veracode multi-LLM : 45% d’échec aux tests de sécurité, 86% contre XSS
  • Tihanyi et al. : 62% de 330 000 programmes C générés par LLMs contiennent au moins une vulnérabilité
  • Apiiro (juin 2025) : les développeurs assistés par IA génèrent 3-4x plus de code et 10x plus de findings de sécurité
  • Bitsight : taux de remédiation mensuel composé = 5%
  • Gartner / InformationWeek : moins de 1% des vulnérabilités surfacées par Mythos ont été patchées

🏛️ Réactions d’experts :

  • Bruce Schneier a co-signé le papier CSA “Mythos-Ready” avec d’anciens dirigeants de la CISA et NSA, puis a co-écrit dans IEEE Spectrum en parlant d’“étape incrémentale”
  • Peter Swire (Georgia Tech) : “une grande fraction des professeurs en cybersécurité considère que c’est globalement ce qui était attendu”
  • Ciaran Martin (ex-NCSC UK) : accord avec cette évaluation

🎯 Type d’article : Analyse critique et de menace. But principal : déconstruire les allégations marketing d’Anthropic sur Mythos en les confrontant à des données empiriques et à des résultats de recherche indépendants, dans le contexte plus large de l’échec structurel de l’industrie de l’analyse statique à résoudre le problème de remédiation.

🧠 TTPs et IOCs détectés

TTP

  • T1587.004 — Develop Capabilities: Exploits (Resource Development)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)

Malware / Outils

  • Clearwing (tool)
  • Claude Mythos (tool)
  • Codex Security (tool)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ flyingpenguin.com — source non référencée (0pts)
  • ✅ 15000 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.flyingpenguin.com/anthropic-mythos-as-valuable-as-a-firehose-in-a-blizzard/