L'IA vient de changer les règles du jeu en cybersécurité

L'annonce récente de Claude Mythos Preview par Anthropic marque un tournant. Ce modèle est capable de découvrir et d'exploiter des vulnérabilités zero-day dans tous les principaux systèmes d'exploitation et navigateurs web, de manière autonome.

On parle de failles vieilles de 27 ans dans OpenBSD, 16 ans dans FFmpeg, 17 ans dans FreeBSD. Des bugs que personne n'avait trouvés malgré des décennies d'audits humains.

En tant que développeurs, on ne peut plus ignorer ce que ça implique.

Ce qui a changé concrètement

Les modèles précédents (Opus 4.6 inclus) étaient déjà bons pour trouver des vulnérabilités. Mais ils échouaient quasi systématiquement à les exploiter, le taux de réussite était proche de 0% sur de l'exploitation autonome.

Mythos Preview change la donne :

• Sur un benchmark Firefox 147, il passe de 2 exploits réussis (Opus 4.6) à 181 exploits fonctionnels
• Il enchaîne jusqu'à 4 vulnérabilités pour construire des chaînes d'exploitation complètes (KASLR bypass → read primitive → write primitive → privilege escalation)
• Il écrit des JIT heap sprays, des ROP chains multi-paquets, des sandbox escapes, le tout sans intervention humaine
• Des ingénieurs sans formation en sécurité ont lancé une recherche le soir et trouvé un exploit fonctionnel le lendemain matin

Le point clé : ces capacités n'ont pas été entraînées explicitement. Elles émergent des améliorations générales en code, raisonnement et autonomie.

Les menaces à prendre au sérieux

Le window patch-to-exploit se réduit drastiquement. Historiquement, transformer un CVE public en exploit fonctionnel prenait des jours voire des semaines à un chercheur expérimenté. Mythos Preview le fait en quelques heures, pour moins de 2000$. Chaque CVE publié devient exploitable quasi immédiatement.

Les N-days deviennent plus dangereux que les zero-days. La vulnérabilité est connue, le patch existe, mais tous les systèmes non mis à jour sont exposés. Et maintenant, générer l'exploit à partir du commit de patch est trivial pour un LLM.

Le code "memory-safe" n'est pas épargné. Mythos Preview a trouvé une vulnérabilité de corruption mémoire dans un VMM écrit en Rust. Les blocs "unsafe", les FFI, les "ctypes" Python, tout code qui touche à la mémoire brute reste une surface d'attaque.

Les défenses par friction ne suffisent plus. Les mécanismes qui rendaient l'exploitation "pénible mais pas impossible" (comme certaines protections stack) perdent leur valeur face à un agent qui grind sans fatigue. Seules les barrières dures (KASLR, W^X) conservent leur efficacité.

Les opportunités pour les développeurs

L'IA comme outil défensif. La même puissance qui trouve des failles peut les corriger. Anthropic a identifié des milliers de vulnérabilités critiques dans l'écosystème open source et travaille à les divulguer de manière responsable. Les modèles actuels (Opus 4.6) sont déjà exploitables pour du bugfinding à grande échelle dans vos propres codebases.

Nouveaux workflows de sécurité à intégrer dès maintenant :

• Triage automatisé des rapports de bugs (sévérité, déduplication)
• Review de PR orienté sécurité assisté par LLM
• Audit de configurations cloud
• Génération de reproductions et de patchs initiaux
• Migration accélérée de systèmes legacy vers des stacks plus sûrs

L'avantage long terme est aux défenseurs. L'analogie avec les fuzzers est pertinente : quand AFL est apparu, la crainte était que les attaquants en profitent. Aujourd'hui, OSS-Fuzz est un pilier de la sécurité open source. Les LLM suivront la même trajectoire, mais la période de transition sera turbulente.

Ce que ça change pour votre stack

Raccourcissez vos cycles de patch. L'auto-update n'est plus un nice-to-have, c'est une nécessité. Chaque jour entre la publication d'un CVE et l'application du patch est une fenêtre d'attaque exploitable automatiquement.

Auditez vos dépendances C/C++. Si votre stack dépend de FFmpeg, OpenSSL, ou tout projet en C, les vulnérabilités trouvées par les LLM vont affluer. Préparez-vous à des bumps de dépendances fréquents et urgents.

Commencez à expérimenter avec les LLM pour la sécurité. Même sans accès à Mythos Preview, les modèles publics trouvent déjà des vulnérabilités critiques. Le scaffold utilisé par Anthropic est simple : un container isolé, le code source, et un prompt du type "trouve une vulnérabilité dans ce programme". L'investissement pour démarrer est minimal.

Repensez vos politiques de disclosure. Le volume de vulnérabilités découvertes va exploser. Vos procédures internes de gestion des incidents doivent être dimensionnées pour absorber ce flux.

L'équilibre va bouger

On sort de 20 ans de stabilité relative en cybersécurité. Les attaques de 2026 avaient fondamentalement la même forme que celles de 2006. Ce n'est plus le cas.

La comparaison avec la cryptographie post-quantique est éclairante : le NIST a lancé son programme en 2016, sachant que la menace était à plus d'une décennie. Ici, la menace n'est pas hypothétique, elle est déjà opérationnelle.

Pour les développeurs, le message est clair : la sécurité n'est plus un sujet qu'on peut déléguer entièrement à une équipe spécialisée. Chaque ligne de code qui touche à du parsing, de l'authentification, ou de la mémoire est désormais sous un niveau de scrutin sans précédent, par les défenseurs comme par les attaquants.