Anthropic : Claude Mythos Preview became the first AI model to complete a full simulated corporate network attack, résolvant 73 % des tâches de cybersécurité de niveau expert qu’aucun système d’IA précédent n’avait pu résoudre, selon le UK AI Security Institute (AISI).
Évaluation cyber de l’AISI
L’AISI, un organisme de recherche au sein du Department for Science, Innovation and Technology du gouvernement britannique, ran deux séries de tests sur le modèle après son annonce par Anthropic le 7 avril.
L’entreprise a choisi de ne pas diffuser largement Claude Mythos, préférant granting un accès limité à des sociétés spécialisées en recherche sur la sécurité.
Dans des évaluations de type capture-the-flag, Claude Mythos a atteint un taux de réussite de 73 % sur des tâches de niveau expert.
Aucun modèle n’avait résolu l’une de ces tâches avant avril 2025. L’AISI a également conçu une simulation d’attaque de réseau d’entreprise en 32 étapes, appelée « The Last Ones », pensée pour prendre environ 20 heures à des professionnels humains. Claude Mythos a mené à bien l’intégralité de la simulation lors de 3 tentatives sur 10 et a réalisé en moyenne 22 étapes sur 32, contre 16 pour Claude Opus 4.6, le deuxième meilleur modèle.
« Le succès de Mythos Preview sur un cyber range indique qu’il est au moins capable d’attaquer de manière autonome de petits systèmes d’entreprise, faiblement défendus et vulnérables, lorsqu’un accès au réseau a déjà été obtenu », a déclaré l’AISI.
À lire aussi : Crypto Funds Pull $1.1B In Best Week Since January As Risk Appetite Returns
Exploits de failles zero-day
L’équipe de red team interne d’Anthropic a constaté que Claude Mythos peut détecter et exploiter des vulnérabilités zero-day sur tous les principaux systèmes d’exploitation et navigateurs web majeurs lorsqu’un utilisateur lui demande explicitement de le faire. L’entreprise a indiqué que plus de 99 % des vulnérabilités découvertes restent non corrigées.
« Nous sommes limités dans ce que nous pouvons révéler ici. Il serait irresponsable de notre part de divulguer des détails à leur sujet », a indiqué Anthropic.
Les capacités du modèle ont déjà reached les cercles de décision politique.
Selon Reuters, le secrétaire au Trésor américain Scott Bessent et le président de la Federal Reserve, Jerome Powell, held une réunion d’urgence avec les PDG de grandes banques pour discuter des risques cyber potentiels liés au modèle.
Réponse sécurité d’Anthropic
Anthropic a lancé Project Glasswing en parallèle de l’annonce du modèle, le présentant comme un effort visant à utiliser Claude Mythos pour contribuer à sécuriser les logiciels critiques. L’entreprise présente cette initiative comme une préparation à une ère où les équipes de sécurité devront garder une longueur d’avance sur des attaquants dopés à l’IA. L’AISI a recommandé aux organisations de prioriser les mesures fondamentales de cybersécurité, notamment les correctifs réguliers, des contrôles d’accès stricts, le durcissement des configurations et une journalisation complète.
L’annonce du 7 avril a suivi plusieurs mois de préoccupations croissantes concernant le rôle de l’IA dans la cybersécurité. Les précédents modèles de pointe montraient des capacités offensives limitées, mais aucun n’avait atteint les seuils de référence CTF de niveau expert ni mené à bien des simulations d’attaque en plusieurs étapes avant Claude Mythos.
À lire ensuite : RaveDAO Just Exploded 1,194% In A Week — Here's The Real Story Behind The Crypto That Turns Raves Into Blockchain