Le gouvernement américain vient d'autoriser Anthropic à diffuser Claude Mythos 5, présenté par le laboratoire comme son modèle le plus puissant en cybersécurité. La décision, prise le 26 juin, lève en partie un blocage à l'exportation imposé quelques semaines plus tôt. L'accès reste réservé à une centaine d'entreprises et d'agences fédérales jugées de confiance.
Un feu vert sous conditions strictes
Début juin, le département du Commerce avait ordonné un blocage à l'exportation visant Mythos, par crainte que le modèle ne tombe entre de mauvaises mains. Le secrétaire au Commerce Howard Lutnick a finalement estimé que des garde-fous appropriés étaient en place pour permettre un accès encadré.
Concrètement, seules une centaine d'organisations triées sur le volet, des défenseurs en cybersécurité et des opérateurs d'infrastructures critiques, pourront utiliser Mythos 5. L'autorisation ne couvre pas Fable, une version moins puissante du modèle, qui reste pour l'heure bloquée.
Pourquoi ce modèle inquiète
Anthropic décrit des capacités offensives rarement observées. Lors de ses propres évaluations, Mythos a identifié des failles de type zero-day dans tous les grands systèmes d'exploitation et navigateurs, certaines dormantes depuis des décennies, dont un bug vieux de 27 ans dans OpenBSD. Le modèle a aussi mis au jour des milliers de vulnérabilités critiques sur des projets open source.
- Sur une série de failles de Firefox, le modèle Opus 4.6 ne réussissait qu'environ deux exploits ; Mythos en a produit 181.
- Plus de 99% des failles découvertes ne sont pas encore corrigées, ce qui pousse Anthropic à ne pas en publier les détails.
- Ces capacités, selon le laboratoire, ne viennent pas d'un entraînement dédié mais ont émergé avec les progrès généraux du modèle.
"Ces capacités sont apparues très vite", note Anthropic, qui y voit une arme à double tranchant. Entre de mauvaises mains, un tel outil accélère la découverte de failles exploitables. Côté défense, il promet d'aider les équipes de sécurité à colmater les brèches plus rapidement.
Ce que ça change
Cette décision illustre la nouvelle ligne de crête de la régulation américaine : laisser circuler des modèles de pointe tout en filtrant qui peut les utiliser. Pour les entreprises de cybersécurité retenues, c'est un avantage concret. Pour le reste de l'écosystème, c'est un signal clair. Les modèles capables de trouver et d'exploiter des failles par eux-mêmes ne sont plus une hypothèse, et leur diffusion devient un sujet de sécurité nationale.
