Le 18 mai, Anthropic a modifié sa politique : auparavant, les partenaires utilisant Mythos pour découvrir des vulnérabilités devaient les traiter en interne ; désormais, ils peuvent les partager entre eux, avec les régulateurs, les médias et même publiquement.
Ce changement constitue une correction significative de la logique de l'ensemble du programme Mythos.
La politique précédente était fermée
Mythos a été lancé le 7 avril – un modèle d'IA entraîné sur Claude, spécialisé dans la découverte d'attaques, qui scanne les logiciels courants pour trouver des vulnérabilités inconnues. Il n'a pas été vendu directement au public, mais distribué via le Project Glasswing, un programme contrôlé avec 40 entreprises participantes, dont Amazon, Microsoft, Nvidia et Apple. L'objectif était de contrôler la diffusion – une IA capable de trouver des vulnérabilités pourrait être utilisée comme outil d'attaque en cas de mauvaise utilisation.
Selon les conditions initiales, les partenaires ne pouvaient traiter les vulnérabilités découvertes qu'en interne. Cela a créé une situation embarrassante :
Palo Alto Networks a récemment utilisé Mythos pour scanner ses propres produits, découvrant 75 vulnérabilités en un mois – sept fois son rythme normal.
Si Palo Alto ne pouvait pas partager ses découvertes, le niveau de sécurité de l'ensemble du secteur n'augmentait qu'au sein de Glasswing, laissant les autres entreprises utilisant les mêmes produits vulnérables sans connaissance du problème.
Ce qui a changé et avec qui partager
Selon un porte-parole d'Anthropic à Reuters :
« Nous soutenons pleinement nos partenaires dans le partage des découvertes entre eux et avec des entreprises extérieures à Glasswing pour trier les vulnérabilités. »
Les partenaires peuvent désormais partager les informations sur les vulnérabilités découvertes par Mythos avec :
- Les autres membres de Glasswing
- Les entreprises extérieures à Glasswing (fournisseurs concernés)
- Les organisations professionnelles
- Les régulateurs et les gouvernements
- Les mainteneurs de logiciels open source
- Les médias
- Le public
À condition de respecter les normes de divulgation responsable – c'est-à-dire accorder aux fournisseurs une fenêtre de correction avant la divulgation publique.
Pourquoi ce changement maintenant
Ce n'est pas une initiative d'Anthropic, mais une demande des partenaires. Ils craignaient que le fait de connaître une vulnérabilité seul les rende une cible. Par exemple, si l'entreprise A utilisait Mythos pour trouver un zero-day dans une base de données populaire, selon les anciennes règles, elle ne pouvait que corriger silencieusement son propre déploiement. Mais les attaquants pourraient déduire la vulnérabilité à partir du correctif, exposant instantanément toutes les autres entreprises utilisant la même base de données.
Par conséquent, l'assouplissement de la politique transforme essentiellement l'« information de défense » d'un bien privé en un bien public – en accord avec le consensus de la communauté de sécurité sur une divulgation précoce, large et coordonnée.
Les régulateurs aussi se manifestent
Selon les rapports de PYMNTS et BusinessToday, Anthropic a accepté de faire un briefing spécial au Conseil de stabilité financière (FSB) sur les capacités et les découvertes de Mythos. Cela fait suite aux préoccupations des gouverneurs de banques centrales, de Powell et de Bessent après le lancement de Mythos en avril-mai, et à l'intérêt des régulateurs financiers asiatiques et européens qui voulaient tester l'outil mais n'y avaient pas accès. Anthropic a désormais ouvert un canal de communication.
Ce que cette étape signifie
En regardant la chronologie :
- 7 avril : Lancement de Mythos, test fermé
- Avril–mai : Les membres de Glasswing divulguent leurs découvertes, les banques centrales alarmées
- 18 mai : Inversion de politique, les découvertes peuvent être partagées
En seulement 40 jours, Anthropic est passé d'un « contrôle strict de la diffusion » à un « encouragement au partage » – le facteur clé a été les données réelles des partenaires qui ont prouvé que la capacité de découverte d'attaques de Mythos est structurellement supérieure, et non accidentelle.
La prochaine question est de savoir si Glasswing sera élargi. Si Anthropic passe de 40 à 100 ou 200 entreprises, le programme passera d'un « projet pilote de vitrine » à une « infrastructure industrielle ».
Une question que personne n'avait envisagée il y a quelques années est désormais sur la table de toutes les grandes entreprises : si votre équipe de sécurité n'utilise pas l'IA, et que vos adversaires l'utilisent, quel est votre plan ?
Sources : Anthropic to let partners share Mythos cybersecurity findings with others (Reuters via Investing.com / KFGO / CGTN) ; Anthropic Will Update Regulators on Mythos' Cyber Vulnerability Findings (PYMNTS) ; Anthropic's Mythos AI raises banking cyber risk concerns, FSB briefing planned (BusinessToday) ; CocoLoop ; Anthropic's Mythos Feature Enhances Cyber Threat Sharing (DevDiscourse)