Temps de lecture : 2mn45
Hello,
Anthropic a sorti le modèle le plus puissant jamais construit. Et refuse de le vendre.
On vous raconte tout dans notre Focus. Avant ça, GPT Image 2 a fuité sur Arena. Et Perplexity remplit vos impôts.
Théo & Nathanaël
Claude Mythos, leur nouveau modèle de frontière, trouve des failles critiques dans absolument tout. Tout seul. Anthropic a décidé de ne pas le commercialiser.
L'essentiel :
Claude Mythos Preview est le modèle le plus puissant jamais construit par Anthropic, un cran au-dessus de Claude Opus. Score : 93,9 % sur SWE-bench Verified et 87,3 % sur SWE-bench Multilingual.
En quelques semaines de tests, il a trouvé des milliers de vulnérabilités zero-day dans tous les principaux OS et navigateurs. Dont une faille RCE de 17 ans dans FreeBSD (CVE-2026-4747), une de 27 ans dans OpenBSD, et une de 16 ans dans FFmpeg que cinq millions de campagnes de fuzzing n'avaient jamais repérée.
Plutôt que de le vendre, Anthropic lance Project Glasswing. Une coalition défensive de 40 organisations partenaires (Apple, Google, Microsoft, AWS, NVIDIA, JPMorgan Chase, Broadcom, Cisco, CrowdStrike, Palo Alto Networks, Linux Foundation) reçoit un accès limité au modèle, avec 100 millions de dollars de crédits d'usage et 4 millions pour la sécurité open-source.
C'est la première fois qu'un laboratoire reconnaît publiquement qu'un modèle est trop dangereux à libérer, non pas à cause d'un risque théorique, mais parce qu'il fonctionne trop bien.
Trois modèles mystères sont apparus sur LMArena le week-end du 4-5 avril. OpenAI les a retirés en quelques heures. Trop tard.
L'essentiel :
Les trois modèles s'appelaient maskingtape-alpha, gaffertape-alpha et packingtape-alpha. Les testeurs ont vite compris : c'était GPT Image 2, le successeur non annoncé du modèle image d'OpenAI.
Les exemples qui ont circulé sont cassants. Photos de magasins IKEA indiscernables de vraies photos. Selfies de plage avec trois personnes, éclairage naturel, mains correctement dessinées. Reflets dans les lunettes de soleil précis au pixel près.
Le vrai saut n'est pas dans l'esthétique. C'est dans la crédibilité du banal : le modèle sait maintenant générer des screenshots fonctionnels, du texte manuscrit lisible, des documents qui passent pour vrais. Pieter Levels et Justine Moore ont tweeté des tests qui ont cassé le fil.
Le fait qu'OpenAI teste trois variantes en parallèle sur un bench public, c'est ce qu'on fait avec un modèle qui s'apprête à sortir, pas avec un prototype.
Perplexity a lancé "Computer for taxes". Un agent IA qui télécharge vos documents fiscaux, pose les bonnes questions, et remplit les formulaires fédéraux américains à votre place. Pour l'instant, ça ne marche qu'aux États-Unis.
L'essentiel :
Vous sélectionnez "Navigate my taxes" dans Perplexity Computer. L'agent vous demande vos W-2, vos 1099, vos déductions. Il applique le code fiscal américain en vigueur. Il remplit les formulaires.
C'est le premier produit grand public où un agent IA attaque une tâche administrative complète. Pas un gadget, pas une démo : un produit fini qui remplace un workflow existant (TurboTax, H&R Block) facturé 100 à 200 dollars par an.
Sur CNBC, Jim Cramer a dit que Perplexity allait taper Intuit. Quand l'animateur vedette de la chaîne fait cette prédiction sur une entreprise du S&P 500, le marché écoute.
En France, ça ne marche pas (le code fiscal français n'est pas supporté). Et même aux États-Unis, la version actuelle est limitée aux déclarations fédérales simples. Les cas complexes (revenus multi-états, auto-entrepreneurs, gains en capital) restent hors-scope. Pour cette année.
Focus : Claude Mythos
Le 7 avril, Anthropic a fait quelque chose qu'aucun laboratoire d'IA n'avait jamais fait. Ils ont annoncé un modèle. Et dans la foulée, ils ont annoncé qu'ils ne le mettraient pas en vente. Le modèle s'appelle Claude Mythos Preview. C'est leur meilleur, un cran au-dessus d'Opus. Ils l'ont testé pendant quelques semaines. Et ce qu'ils ont vu les a suffisamment fait peur pour verrouiller l'accès.
À suivre :
Ce que Mythos a trouvé en quelques semaines.
Pourquoi Anthropic refuse de le vendre.
Ce qu'est Project Glasswing.
Pourquoi ça change la sécurité pour tous.
Ce qu'il a trouvé
L'histoire la plus parlante vient d'un post interne d'Anthropic. Des ingénieurs ont demandé à Mythos de chercher des failles d'exécution de code à distance dans FreeBSD, un système d'exploitation qui fait tourner une bonne partie du web (Netflix notamment, pour ses serveurs de streaming), puis sont allés se coucher.
Au matin, un exploit fonctionnel les attendait sur leur écran.
Le bug en question est une faille de 17 ans dans le serveur de partage de fichiers (NFS) de FreeBSD. Elle permet à n'importe qui sur Internet d'obtenir un accès complet (root) à un serveur, sans avoir besoin de s'authentifier. Elle est référencée sous CVE-2026-4747.
Mais Mythos ne s'est pas arrêté là. En quelques semaines de tests, il a trouvé des milliers d'autres vulnérabilités zero-day. Un bug de 27 ans dans OpenBSD, un autre système d'exploitation. Un bug de 16 ans dans FFmpeg, le logiciel qui fait tourner la lecture vidéo sur la moitié du web, que cinq millions d'heures de tests automatisés n'avaient jamais découvert. Des failles dans tous les navigateurs majeurs. Des exploits dans tous les systèmes d'exploitation majeurs.
Sauf qu'il ne s'est pas contenté de les lister. Dans certains cas, il a écrit les exploits correspondants, en autonomie complète, pour moins de 1 000 dollars de calcul. Quatre vulnérabilités chaînées dans un navigateur, avec une technique qui contourne à la fois les protections internes du navigateur et celles du système d'exploitation.
Selon Anthropic, 99 % de ces failles ne sont toujours pas patchées. Lisez ça doucement. Mythos connaît plus de failles critiques que n'importe quel humain vivant.
Pourquoi Anthropic refuse de le vendre
Le calcul qu'Anthropic a fait est le suivant. Si Mythos peut trouver toutes ces failles en quelques jours d'usage normal, alors n'importe quelle organisation malveillante avec un accès API pourrait faire la même chose. Sauf qu'elle utiliserait ces failles, pas les corriger.
La fenêtre entre découverte et correction, qui était de plusieurs mois dans le monde humain, tombe à quelques heures avec un modèle de ce niveau. Les défenseurs n'ont pas le temps de patcher. Les attaquants ont tout le temps d'exploiter.
Dario Amodei, le CEO d'Anthropic, l'a dit en une phrase : Mythos n'est que le début. Ce qui veut dire que le prochain sera encore plus dangereux.
Sauf que refuser de vendre un modèle ne veut pas dire le garder dans un tiroir. Il fallait trouver un moyen de l'utiliser pour défendre, pas pour attaquer. C'est là qu'intervient la partie la plus intéressante de l'annonce.
Project Glasswing
Anthropic a sélectionné 40 organisations partenaires. La liste est sérieuse : Apple, Google, Microsoft, AWS, NVIDIA, JPMorgan Chase, Cisco, CrowdStrike, Broadcom, Palo Alto Networks, Linux Foundation. Des géants du cloud, des banques, des équipementiers réseau, les mainteneurs du noyau Linux.
Chaque organisation reçoit un accès limité à Mythos Preview, avec un mandat défensif strict : trouver les failles dans son propre périmètre, puis les patcher. Anthropic met 100 millions de dollars de crédits d'usage sur la table, plus 4 millions pour financer le travail de sécurité sur des projets open-source critiques.
C'est un effort de défense massif, concerté, et calibré pour prendre une longueur d'avance. Pendant que Mythos fouille FreeBSD pour Apple, il fouille aussi le kernel Linux pour Red Hat, les navigateurs pour Google, les infrastructures cloud pour AWS. Des couches de logiciels qui font tourner Internet. Toutes auditées simultanément, par la même IA, en quelques jours.
Sauf que cette stratégie a un angle mort évident. Toutes les organisations du monde ne sont pas dans la coalition. Les petites entreprises, les gouvernements hors US, les mainteneurs indépendants de logiciels libres n'ont pas accès à Mythos. Si un attaquant finit par avoir un modèle équivalent, ces cibles seront en première ligne.
Ce que ça change pour nous
Le moment Claude Mythos est un point de bascule symbolique. Pour la première fois, un laboratoire d'IA dit publiquement qu'il a construit une chose si puissante que la laisser circuler serait irresponsable. Pas à cause d'un risque théorique ou d'un scénario de science-fiction. À cause de ce qu'elle fait déjà.
Ce qui veut dire que la frontière entre "trop dangereux pour exister" et "utilisé dans votre navigateur" n'est plus une question d'années. C'est une question de mois, de semaines parfois. La décision de publier un modèle est devenue une décision de politique publique.
Les défenseurs ont aussi changé de statut. Avant, la sécurité informatique, c'était un métier de spécialistes avec des outils spécialisés. Maintenant, c'est un métier qui nécessite un modèle de frontière. Et ces modèles n'existent qu'à Anthropic, OpenAI, Google et quelques autres. Ce qui concentre la capacité défensive entre les mains d'un tout petit nombre d'acteurs.
Sauf que concentrer la défense, c'est aussi concentrer la confiance. Il faut maintenant croire qu'Anthropic ne va pas changer d'avis, qu'aucun des 40 partenaires ne va abuser de l'accès, qu'aucun employé avec un badge Glasswing ne va divulguer des informations qu'il ne devrait pas. Ça fait beaucoup de maillons humains dans une chaîne censée tenir debout.
Pour nous, utilisateurs finaux, le changement va se voir à retardement. Dans quelques mois, les patchs de sécurité vont tomber plus vite. Les failles exposées depuis 20 ans vont disparaître d'un coup. Les logiciels qu'on utilise tous les jours vont devenir, par bricolage automatisé, sensiblement plus sûrs.
Et on ne saura probablement jamais combien de fois Claude Mythos nous aura sauvé la mise.
Ces ads sont issues du réseau d’ad de Beehiiv, la plateforme qu’on utilise pour gérer FreeA. Malheureusement, elles ne sont pas modifiables, et sont donc en anglais.
Par contre, elles rémunèrent au nombre de clicks, donc un moyen simple de nous soutenir est d’aller voir si le sujet vous intéresse !
On ne choisit que des partenaires qu’on utilise déjà ou pourrait utiliser :)
Your AI is resolving tickets. Is it keeping customers?
Resolution rates look great. But Gladly's 2026 Customer Expectations Report reveals the metric most CIOs are missing — and what the data says about where AI investments actually translate into retention, not just throughput.
PS : Cette newsletter a été écrite à 100% par un humain. Ok, peut-être 80%.
