Claude Mythos : l'IA la plus puissante qu'Anthropic refuse de vendre

Un modèle si puissant qu'Anthropic a peur de le vendre

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview. Pas de disponibilité publique. Pas d'API ouverte. Juste une liste de 40 partenaires privilégiés — AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks et la Linux Foundation.¹

Arrêtez-vous deux secondes sur cette phrase. Un éditeur d'IA qui refuse de commercialiser son modèle le plus avancé. En 2026. Alors que le marché mondial vise les 500 milliards de dollars d'ici 2028.

Pourquoi ? Parce qu'en quelques semaines de tests, Mythos a identifié des milliers de vulnérabilités zero-day (failles inconnues des éditeurs) dans tous les systèmes d'exploitation majeurs et tous les navigateurs web majeurs.² Où Claude Opus 4.6 échouait à produire un exploit JavaScript fonctionnel sur Firefox dans 99% des cas, Mythos réussissait 181 fois sur plusieurs centaines de tentatives.

Project Glasswing : consortium de défense ou verrou marketing ?

Anthropic appelle cette initiative Project Glasswing. Concrètement, les 40 organisations autorisées reçoivent 100 millions de dollars en crédits d'usage, plus 2,5 M$ pour Alpha-Omega et OpenSSF, plus 1,5 M$ pour l'Apache Software Foundation.¹ Le but affiché : identifier et patcher les failles critiques avant que l'équivalent open-source (qui arrivera en 12 à 18 mois) ne tombe entre de mauvaises mains.

Est-ce un geste altruiste ? Partiellement. C'est aussi un positionnement commercial brillant. Anthropic se transforme en arbitre de la sécurité mondiale, pendant qu'OpenAI vend un abonnement à 100 dollars par mois.³ Devinez lequel des deux CEO sera reçu à l'Élysée cet été.

Axios rapporte qu'Anthropic a privé les hauts responsables du gouvernement américain d'une mise en garde claire : Mythos rend les cyberattaques à grande échelle significativement plus probables cette année.² Ce n'est plus de la prospective. C'est un avertissement opérationnel.

Ce que ça révèle du capacity overhang

Concept clé : le "capacity overhang" (écart entre les capacités techniques d'un modèle et ce que le marché sait en faire). Mythos prouve que ce gap est colossal.

Un même modèle, entraîné sans finalité cybersécuritaire explicite, a émergé avec des capacités offensives de niveau nation-state. Ce n'est pas un bug. C'est la conséquence directe du scaling des capacités générales de raisonnement et d'autonomie.

Traduction pour un DSI : le modèle que vous évaluez en POC aujourd'hui (Claude Opus 4.6, GPT-5, Gemini 3) contient des capacités que vous ne mesurez pas. Sous la bonne forme de prompt, avec les bonnes tools, il peut faire des choses que vos red teams ne savent pas tester.

Anthropic passe $30 milliards de run-rate — ce n'est pas une coïncidence

Axios annonce le 13 avril 2026 qu'Anthropic vient de franchir les 30 milliards de dollars de revenu annualisé, contre 19 milliards début mars et 9 milliards fin 2025.⁴ Une croissance que le média qualifie d'unique dans l'histoire américaine.

Le positionnement Mythos + Glasswing est cohérent avec cette trajectoire. Anthropic vend la sécurité et la responsabilité. OpenAI vend le consumer. Google vend l'intégration suite. Mistral vend la souveraineté.

Pour un CODIR français, le choix d'un fournisseur LLM en 2026 n'est plus technique. Il est politique. Et Anthropic se positionne comme le fournisseur des entreprises qui veulent pouvoir dormir la nuit.

Ce qu'il faut retenir

Ce que ça change pour votre entreprise

Trois conséquences concrètes dans les 90 prochains jours :

1. Votre red team doit intégrer l'IA offensive dans son périmètre. Les pentesters traditionnels ne savent pas tester ce qu'un modèle comme Mythos trouve en 3 heures. Les entreprises régulées (assurance, banque, santé) doivent revoir leurs scénarios de test d'intrusion. L'ANSSI préparerait un guide sur le sujet pour Q3 2026.

2. Votre politique d'accès aux LLM doit se durcir. Si un modèle public + les bonnes tools = capacité offensive, vos règles d'accès depuis des postes utilisateurs internes doivent être révisées. Nous voyons apparaître chez nos clients du top 10 bancaire français des "LLM firewalls" qui filtrent les prompts sortants.

3. Votre charte de gouvernance IA doit couvrir l'asymétrie capacitaire. Le modèle que vos équipes utilisent aujourd'hui en production pourrait bénéficier demain d'un jailbreak qui débloque des capacités dormantes. L'audit périodique (trimestriel, pas annuel) devient la norme.

Un grand groupe mutualiste que nous accompagnons a ajouté une clause "capacité émergente" dans sa charte IA interne : toute mise à jour majeure d'un modèle déclenche un pentest ciblé avant remise en production. C'est exactement le bon réflexe.

Conclusion

Mythos n'est pas un fantasme de chercheur. C'est un modèle commercial que 40 entreprises utilisent aujourd'hui. La question n'est plus "quand l'IA aura-t-elle des capacités offensives de niveau étatique ?". C'est "combien de temps avant qu'un équivalent open-source sorte sur Hugging Face ?".

Simon Willison estime ce délai à 12 à 18 mois.⁵ Nous partageons cette lecture. Les DSI français qui n'ont pas de charte IA opérationnelle d'ici fin 2026 seront en retard d'une bataille.

Votre gouvernance IA est-elle prête pour l'ère post-Mythos ? Parlons-en concrètement.