📰 Contexte

Article publié le 25 mai 2026 par Eduard Kovacs sur SecurityWeek. Il rapporte les résultats publiés par Anthropic concernant les capacités de découverte de vulnérabilités de son modèle IA Claude Mythos Preview, déployé dans le cadre du programme Project Glasswing.

🔍 Résultats clés de Claude Mythos

Le modèle Claude Mythos Preview a analysé plus de 1 000 projets open source (OSS) et produit les résultats suivants :

  • 23 000+ vulnérabilités potentielles identifiées au total
  • 1 900 soumises à des firmes de sécurité externes pour revue
  • 1 726 confirmées, dont plus de 1 000 classées haute ou critique
  • Estimation d’Anthropic : ~3 900 vulnérabilités critiques/hautes confirmées sur la base des résultats actuels
  • Projection finale : jusqu’à 6 200 vulnérabilités sévères à mesure que les scans progressent
  • 1 100+ findings non vérifiés déjà signalés aux vendeurs
  • 75 issues critiques/hautes patchées, 65 advisories publiés

🏢 Accès et partenaires

L’accès à Mythos Preview est restreint à environ 50 organisations via Project Glasswing, en raison des risques d’abus potentiels :

  • Mozilla : 271 vulnérabilités Firefox découvertes
  • Palo Alto Networks : dizaines de failles identifiées
  • XBOW (firme de sécurité offensive autonome) : résultats jugés probants
  • Gouvernement britannique : bons résultats rapportés
  • Google : accès accordé, lien avec la hausse des détections Chrome non confirmé
  • Curl : une seule vulnérabilité de faible sévérité trouvée, résultat controversé

⚠️ Limites et contexte de divulgation

Anthropicexplique le faible nombre de patches par trois facteurs :

  1. La fenêtre de 90 jours de Coordinated Vulnerability Disclosure est encore en cours
  2. Certains patches sont déployés sans advisory public
  3. Le rythme de divulgation surcharge déjà l’écosystème de sécurité

Anthropicreconnaît ne pas avoir développé de safeguards suffisants contre les abus de Mythos et travaille à élargir l’accès progressivement.

🛠️ Outil complémentaire

En réponse à la montée en puissance de la découverte de vulnérabilités par IA, Anthropic a lancé Claude Security, un scanner de codebase destiné aux développeurs.

📌 Nature de l’article

Article de presse spécialisée relatant une publication de recherche/annonce d’Anthropic sur les capacités offensives de son modèle IA en matière de découverte de vulnérabilités dans l’open source.

🧠 TTPs et IOCs détectés

Malware / Outils

  • Claude Mythos (tool)
  • Claude Security (tool)

🟡 Indice de vérification factuelle : 45/100 (moyenne)

  • ✅ securityweek.com — source reconnue (liste interne) (20pts)
  • ✅ 8451 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ⬜ aucune TTP identifiée (0pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.securityweek.com/anthropic-mythos-detected-23000-potential-vulnerabilities-across-1000-oss-projects