L'IA non publiée d'Anthropic a découvert des bugs dans Linux et OpenBSD que les humains ont manqués pendant des décennies – Actualités Bitcoin

Points clés :

• La prévisualisation de Claude Mythos d’Anthropic a obtenu 83,1 % sur Cybergym, découvrant des milliers de zero-days sur tous les principaux systèmes d’exploitation et navigateurs.
• Le projet Glasswing a été lancé le 7 avril 2026, avec 11 partenaires fondateurs et jusqu’à $100 millions de crédits d’utilisation de Mythos pour les défenseurs.
• Une faille OpenBSD de 27 ans et un bug FFmpeg de 16 ans ont survécu à des millions de tests automatisés jusqu’à ce que Mythos les détecte en quelques heures.

Claude Mythos AI a obtenu 83 % sur Cybergym et a trouvé des failles critiques sur tous les principaux navigateurs et systèmes d’exploitation

Le modèle, que Anthropic décrit comme la plus grande avancée en capacité d’un seul modèle dans l’histoire de l’IA de frontière, a terminé sa formation et a été annoncé publiquement le 7 avril 2026, après que des détails internes ont été révélés fin mars via un système de gestion de contenu mal configuré qui a exposé environ 3 000 fichiers internes.

Anthropic ne publie pas la prévisualisation de Claude Mythos au public ni via son API générale. La société a restreint l’accès à un groupe sélectionné de partenaires après que le modèle a démontré sa capacité à découvrir et exploiter des failles logicielles inconnues, auparavant à une vitesse et une échelle surpassant à la fois des experts humains et des systèmes d’IA antérieurs.

Sur les benchmarks de cybersécurité, l’écart entre Mythos et Claude Opus 4.6 est difficile à ignorer. Mythos a obtenu 83,1 % sur Cybergym contre 66,6 % pour Opus 4.6, et 93,9 % contre 80,8 % sur SWE-bench Verified. Sur SWE-bench Pro, il a affiché 77,8 % contre 53,4 % — un écart de 24 points. Il a atteint 56,8 % lors de Humanity’s Last Exam sans outils, contre 40,0 % pour son prédécesseur.

Le modèle n’a pas besoin d’une formation spécifique en cybersécurité pour détecter ces bugs. Ses progrès proviennent d’avancées plus générales en raisonnement, planification multi-étapes et comportement autonome d’agent. En disposant d’un code cible dans un conteneur isolé, il lit le code source, formule des hypothèses sur les failles de sécurité mémoire, compile et exécute le logiciel, utilise des débogueurs comme Address Sanitizer, classe les fichiers par probabilité de vulnérabilité, et produit des rapports de bugs validés avec des exploits de preuve de concept fonctionnels.

Certains de ces exploits nécessitaient presque aucune direction humaine. Tomshardware.com rapporte qu’une vulnérabilité TCP SACK d’OpenBSD de 27 ans, un dépassement d’entier subtil permettant à un attaquant de faire planter à distance n’importe quel hôte répondant en créant des paquets malveillants, a été trouvée de manière autonome après environ 1 000 exécutions à un coût total inférieur à 20 000 $. Une faille FFmpeg H.264 vieille de 16 ans a survécu à plus de cinq millions de tests automatisés et à plusieurs audits avant que Mythos ne la détecte.

Les résultats sur les navigateurs ont attiré une attention particulière. Sur le test du moteur JavaScript Firefox 147, Mythos a produit 181 exploits complets de shell et 29 cas de contrôle de registre. Claude Opus 4.6 a produit deux exploits de shell sur le même ensemble de tests. Le modèle a également construit des chaînes d’escalade de privilèges du noyau Linux fonctionnelles, passant d’utilisateur à root sur des serveurs, après avoir filtré 100 CVEs récents pour en réduire à 40 les candidats exploitables, en exploitant avec succès plus de la moitié.

Des validateurs humains ont examiné 198 rapports de vulnérabilités du modèle et ont été d’accord avec ses évaluations de gravité 89 % du temps, avec un accord de 98 % dans un niveau de gravité adjacent.

Projet Glasswing

Moins de 1 % des bugs identifiés ont été entièrement corrigés jusqu’à présent. Anthropic coordonne une divulgation responsable, publie des engagements cryptographiques SHA-3 pour les problèmes non corrigés, et suit un calendrier de plus de 90 + 45 jours avant de révéler tous les détails. La faille d’exécution de code à distance du serveur NFS de FreeBSD, CVE-2026-4747, vieille de 17 ans, donnant un accès root complet non authentifié, fait partie des exemples déjà en divulgation.

Le projet Glasswing, annoncé en même temps que le modèle, est la tentative d’Anthropic d’orienter ces capacités vers la défense avant que des outils similaires ne deviennent largement disponibles. Les partenaires fondateurs incluent Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia, et Palo Alto Networks. L’accès est étendu à plus de 40 autres organisations de logiciels critiques.

Anthropic a engagé $4 millions de dollars en dons pour la sécurité open-source : 2,5 millions de dollars à Alpha-Omega via l’OpenSSF par la Linux Foundation, et 1,5 million de dollars à la Apache Software Foundation.

L’entreprise reconnaît que des outils d’IA comme Mythos abaissent la barrière pour découvrir et exploiter des vulnérabilités, et signale un risque à court terme provenant d’acteurs étatiques, de la Chine, de l’Iran, de la Corée du Nord, de la Russie, et de groupes criminels si des capacités similaires se répandent sans contrôle. Elle décrit une période de troubles transitoires avant que les défenseurs n’intègrent pleinement la technologie.

Anthropic a indiqué que les prochaines versions de Claude Opus incluront des mesures pour détecter et bloquer les sorties dangereuses en cybersécurité, et prévoit de lancer un Programme de Vérification Cybernétique pour les professionnels de la sécurité vérifiés. Un rapport public sur les découvertes des partenaires et les vulnérabilités corrigées est attendu dans les 90 jours.