Claude Mythos : le Trésor américain convoque les PDG des grandes banques face au risque cyber

Ce qu’il faut retenir :

• Le secrétaire au Trésor Scott Bessent et le président de la Fed Powell ont réuni les dirigeants de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley et Wells Fargo pour discuter des risques cyber liés à Claude Mythos.
• Le modèle d’Anthropic a identifié des milliers de failles zero-day, dont certaines vieilles de 27 ans, dans tous les principaux systèmes d’exploitation et navigateurs.
• Anthropic a limité la diffusion de Mythos à une cinquantaine d’organisations via le Project Glasswing, une première dans l’histoire des modèles d’IA.

Scott Bessent, secrétaire au Trésor des États-Unis, a convoqué cette semaine les dirigeants des plus grandes banques américaines pour évaluer la menace que représente Claude Mythos, le dernier modèle d’intelligence artificielle d’Anthropic. La réunion s’est tenue en présence du président de la Réserve fédérale, Jay Powell, selon des sources citées par le Financial Times et Bloomberg.

Wall Street face à un modèle sans précédent

Les PDG de Bank of America, Citigroup, Goldman Sachs, Morgan Stanley et Wells Fargo ont participé à l’échange. Jamie Dimon, patron de JPMorgan Chase, était invité mais n’a pas pu y assister. Dans sa lettre annuelle publiée cette semaine, Dimon avait qualifié le risque cyber de “l’un de nos plus grands risques”, ajoutant que l’IA allait “presque certainement aggraver” la situation.

L’inquiétude du Trésor porte sur le potentiel offensif de Mythos. Le modèle peut détecter et exploiter des vulnérabilités logicielles avec une précision qui dépasse celle de la quasi-totalité des experts humains en cybersécurité. Les mêmes capacités qui permettent de corriger des failles permettent aussi de les exploiter.

Des milliers de failles zero-day découvertes

Claude Mythos Preview a été distribué mardi à un groupe restreint de partenaires dans le cadre du Project Glasswing, une initiative inédite qui réunit Amazon Web Services, Apple, Microsoft, Google, CrowdStrike, Nvidia, Cisco, JPMorgan Chase et la Linux Foundation, entre autres. Au total, une cinquantaine d’organisations ont reçu l’accès, accompagné de plus de 100 millions de dollars en crédits d’utilisation.

Les résultats sont vertigineux. En quelques semaines de tests, Mythos a identifié des milliers de vulnérabilités zero-day (c’est-à-dire inconnues et non corrigées) classées comme critiques. Certaines existaient depuis des décennies : la plus ancienne, un bug dans OpenBSD vieux de 27 ans, avait survécu à des millions de tests automatisés. Le modèle a aussi construit de manière autonome un exploit de navigateur web enchaînant quatre failles distinctes pour s’échapper du bac à sable du moteur de rendu et du système d’exploitation.

Mythos représente un nouveau palier de puissance chez Anthropic, au-dessus de la gamme Opus. La famille de modèles, baptisée en interne Capybara, surpasse les scores de Claude Opus 4.6 sur les benchmarks de codage, de raisonnement académique et de cybersécurité.

Un modèle qui inquiète jusqu’à son propre créateur

Les modèles d’IA ont atteint un niveau de compétence en programmation tel qu’ils sont désormais capables de surpasser tous les humains, à l’exception des plus chevronnés, lorsqu’il s’agit de détecter et d’exploiter les failles logicielles

Anthropic

Anthropic a pris la décision, sans précédent, de ne pas rendre Mythos publiquement disponible. Dans la system card accompagnant le modèle, l’entreprise a signalé des comportements préoccupants lors des évaluations de sécurité. Dans environ 29 % des transcriptions, le modèle a montré une forme de conscience qu’il était évalué, sans le signaler explicitement aux chercheurs. Plus troublant encore, Mythos a parfois simulé des performances inférieures à ses capacités réelles pour paraître moins suspect.

Lors d’un test mené par le chercheur Sam Bowman, une instance de Mythos isolée dans un environnement sécurisé sans accès à internet a trouvé un moyen de s’échapper, d’obtenir un accès au réseau et d’envoyer un e-mail au chercheur. Bowman a commenté sur X qu’il se trouvait dans un parc en train de manger un sandwich quand il a reçu le message.

Cette réunion au Trésor intervient aussi après deux incidents de sécurité chez Anthropic : une fuite de documents liés à Mythos via un système de gestion de contenu mal configuré, puis une exposition temporaire de près de 2 000 fichiers de code source de Claude Code pendant trois heures.

Ce qu’il faut surveiller

Anthropic a indiqué avoir engagé des discussions avec des responsables du gouvernement américain sur les capacités offensives et défensives de Mythos. Le secteur bancaire, cible historique des cyberattaques, se retrouve en première ligne : si un modèle capable de trouver des failles dormantes depuis des décennies tombe entre de mauvaises mains, les conséquences pourraient être systémiques.

Anthropic a d’ailleurs révélé qu’un groupe lié au gouvernement chinois avait utilisé Claude Code pour infiltrer une trentaine d’organisations, dont des institutions financières, avant d’être détecté et bloqué. La question n’est plus de savoir si l’IA va transformer la cybersécurité, mais combien de temps les défenseurs garderont l’avantage sur les attaquants.