Mythos, GPT-Cyber : des modèles d’IA spécialisés en cybersécurité déployés avec prudence

Intelligence artificielle et cybersécurité

En avril 2026, Anthropic et OpenAI ont annoncé des déploiements restreints pour leurs nouveaux modèles d’IA capables de détecter des milliers de failles informatiques, suscitant l’inquiétude des institutions financières et gouvernementales face aux risques de cyberattaques.

Au cours du mois d’avril 2026, deux acteurs majeurs de l’intelligence artificielle ont successivement annoncé le report ou la limitation du déploiement de leurs modèles spécialisés en cybersécurité. Cela n’est pas inédit dans la commercialisation des systèmes d’intelligence artificielle avancés : à la sortie du nouveau modèle GPT 2, en février 2019, OpenAI avait ainsi restreint la publication de son code source par crainte de potentiels usages malveillants. Mais ici, le domaine d’application de ces modèles touche directement à la cybersécurité. Le 7 avril, la start-up américaine Anthropic a révélé qu’elle renonçait à commercialiser son nouveau modèle Claude Mythos auprès du grand public ; une semaine plus tard, son concurrent OpenAI annonçait à son tour un lancement restreint pour GPT-5.4-Cyber, une variante destinée aux professionnels de la sécurité informatique.

Projet Glasswing

Cette prudence des deux acteurs américains de l’intelligence artificielle trouve son origine, côté Anthropic, dans les résultats impressionnants obtenus par Claude Mythos lors de tests internes. Le modèle, initialement conçu comme un modèle généraliste, aurait détecté plusieurs milliers de vulnérabilités dites « zero-day », c’est-à-dire des failles informatiques jusqu’alors inconnues et non corrigées dans des logiciels publiés et parfois très largement utilisés — systèmes d’exploitation, progiciels de gestion, etc. Selon Adam Meyers, vice-président de l’entreprise de cybersécurité CrowdStrike, l’une de ces vulnérabilités dormait depuis vingt-sept ans dans un système d’exploitation utilisé comme socle de produits grand public, dont la console Playstation. Cette découverte aurait échappé pendant près de trois décennies à de nombreux experts qui avaient pourtant scruté ce code de manière répétée.

Face à ces capacités inattendues, Anthropic a créé le « Projet Glasswing » (« aile de verre »), un consortium rassemblant une quarantaine d’organisations triées sur le volet. Des géants technologiques américains comme Nvidia, Amazon, Apple, Microsoft et la banque J.P. Morgan Chase ont ainsi reçu un accès exclusif à Mythos pour sécuriser leurs infrastructures critiques. Guillaume Princen, directeur général de la branche Europe-Moyen-Orient-Asie d’Anthropic, affirme que ce modèle « commence à dépasser la capacité des humains dans le monde du cyber » et qu’il est capable de déceler des failles informatiques dans des systèmes testés par des experts humains et des automates sans jamais avoir été découvertes auparavant.

Le secteur bancaire s’inquiète pour la sécurité de ses infrastructures

L’option retenue par OpenAI, pour sa part, limite un peu moins l’accès à GPT-5.4-Cyber, l’entreprise ouvrant son modèle à un public plus large que celui trié sur le volet par Anthropic, et incluant cette fois des prestataires de sécurité, diverses organisations et chercheurs approuvés - ainsi que le grand public, mais dans une mouture restreinte. L’entreprise menée par Sam Altman justifie ce lancement en déclarant qu’il ne serait « ni praticable, ni approprié » de décider de manière centralisée de qui détiendrait le droit d’employer un modèle permettant de se défendre contre les cybermenaces. Le modèle permet aux professionnels d’analyser des logiciels afin d’évaluer leur potentiel malveillant, leurs vulnérabilités et leur robustesse sécuritaire, avec moins de restrictions que les versions destinées au grand public.

Ces annonces ont suscité de vives préoccupations au sein du système bancaire américain. Plusieurs dirigeants de grandes banques ont rencontré le secrétaire au Trésor Scott Bessent et le président de la Réserve fédérale Jerome Powell pour discuter des dangers que ces modèles représentent pour le secteur financier. Le gouvernement britannique et l’Union européenne ont également sollicité Anthropic pour obtenir davantage d’informations sur les capacités réelles de Claude Mythos. Ces inquiétudes portent sur un double risque : la possibilité que des acteurs malveillants exploitent ces outils pour identifier des vulnérabilités avant leur correction, et la crainte que les infrastructures existantes ne soient pas suffisamment robustes face à ces nouvelles capacités de détection automatisée.

Les motifs d’Anthropic jugés flous par certains observateurs

La situation soulève également des questions géopolitiques. Aucune entreprise européenne ne figure parmi les testeurs du Projet Glasswing, alors même que l’Europe constitue la région connaissant la croissance la plus forte pour Anthropic. Cette asymétrie interroge la préparation du reste du monde face à des modèles dont les capacités offensives ne connaissent pas de frontières nationales. Guillaume Princen reconnaît cette limitation et évoque une réflexion en cours sur les « prochaines vagues d’ouverture », tout en admettant qu’il ne s’agit « sûrement pas d’un modèle qui va être ouvert au grand public bientôt pour des raisons évidentes ».

Certains observateurs adoptent néanmoins une posture plus circonspecte. La chercheuse Heidy Khlaaf souligne l’absence de comparaison avec les outils d’analyse existants et le fait que le taux de faux positifs - des segments de code incorrectement identifiés comme des failles alors qu’ils sont valides - n’a pas été publié. Mythos n’étant pas ouvert au public, les affirmations d’Anthropic n’ont pu être répliquées de manière indépendante, alimentant les soupçons selon lesquels l’entreprise pourrait surévaluer les dangers d’une technologie qu’elle commercialise activement. Ces annonces surviennent d’ailleurs alors que des rumeurs bruissent sur l’intention d’Anthropic d’entrer en Bourse dans le courant de l’année, ce qui pourrait constituer un motif stratégique pour médiatiser les prouesses de ses modèles.

Cette situation illustre un dilemme classique dans le développement actuel de l’intelligence artificielle avancée : d’un côté, ces modèles offrent des capacités défensives remarquables pour améliorer la sécurité des systèmes informatiques ; de l’autre, leur puissance même pose des risques de détournement à des fins offensives. Guillaume Princen défend la transparence d’Anthropic sur ces risques, estimant qu’ils doivent faire l’objet d’une « conversation entre les acteurs technologiques comme nous, qui ont un certain nombre de données, le monde académique, le monde politique et le monde des économistes ». Cette approche de gouvernance collaborative reste toutefois à concrétiser, alors que la course technologique entre les principaux acteurs du secteur continue de s’accélérer.

Raphaël Deuff

Testez votre mémoire : quiz sur la cybersécurité à l’ère de l’IA

Report de Claude Mythos. —

En avril 2026, la start-up Anthropic a reporté la commercialisation de son modèle d’intelligence artificielle Claude Mythos après avoir découvert qu’il détectait des milliers de failles informatiques. Quel nom porte le consortium créé pour tester ce modèle auprès d’organisations sélectionnées ?

A. Projet Sentinel. — B. Projet Glasswing. — C. Projet Zéroday.

Projet Glasswing

Vulnérabilité historique découverte. —

Selon Adam Meyers de CrowdStrike, Claude Mythos a découvert une faille informatique dormant depuis plusieurs décennies dans un système d’exploitation utilisé notamment pour la console Playstation. Depuis combien d’années cette vulnérabilité était-elle présente ?

A. 12 ans. — B. 27 ans. — C. 34 ans.

27 ans

Stratégie d’OpenAI face à Anthropic. —

Une semaine après l’annonce d’Anthropic concernant Claude Mythos, OpenAI a lancé son propre modèle spécialisé en cybersécurité. Quelle approche OpenAI a-t-elle adoptée pour se distinguer de son concurrent ?

A. Un déploiement totalement public et gratuit. — B. Un accès restreint mais plus ouvert, incluant prestataires de sécurité et chercheurs approuvés. — C. Un accès limité uniquement aux agences gouvernementales.

Un accès restreint mais plus ouvert, incluant prestataires de sécurité et chercheurs approuvés

Préoccupations du secteur financier. —

Les annonces d’Anthropic et OpenAI concernant leurs modèles spécialisés en cybersécurité ont suscité l’inquiétude du secteur bancaire américain. Quelles personnalités les dirigeants de grandes banques ont-ils rencontrées pour discuter de ces dangers ?

A. Le président Joe Biden et la secrétaire d’État. — B. Le secrétaire au Trésor Scott Bessent et le président de la Réserve fédérale Jerome Powell. — C. Le directeur de la NSA et le secrétaire à la Défense.

Le secrétaire au Trésor Scott Bessent et le président de la Réserve fédérale Jerome Powell

Absence européenne dans le consortium. —

Bien que l’Europe constitue la région connaissant la croissance la plus forte pour Anthropic, le Projet Glasswing présente une particularité géographique notable. Combien d’entreprises européennes font partie des testeurs de Claude Mythos ?

A. Aucune. — B. Trois entreprises allemandes. — C. Une dizaine, principalement françaises et allemandes.

Aucune

Pour aller plus loin : ressources en ligne

Ressource : Assessing Claude Mythos Preview’s cybersecurity capabilities (red.anthropic.com)

Ressource : Trusted access for the next era of cyber defense (openai.com)

Ressource : Project Glasswing. Securing critical software for the AI era (anthropic.com)

Entités liées

Intelligence artificielle, Cybersécurité, Vulnérabilité zero-day, Anthropic, OpenAI, Modèle de langage, Détection de failles, Infrastructure critique, Gouvernance technologique

Entités nommées fréquentes : OpenAI, Anthropic, Claude Mythos, Princen, Glasswing, Trésor Scott Bessent, Réserve, Jerome Powell, Projet Glasswing.