Les mathématiques de la gestion des vulnérabilités en cybersécurité sont stables depuis des décennies. Une vulnérabilité est divulguée. Un correctif est publié. Les attaquants mettent des jours ou des semaines à développer une exploitation. Les défenseurs disposent d’une fenêtre — le « patch gap » — pour déployer le correctif avant que la version armée ne soit diffusée dans la nature.
L’équipe rouge d’Anthropic vient de réécrire cette équation. Dans un article de recherche publié le 8 juin sur leur blog d’équipe rouge, ils ont démontré que Claude Mythos Preview peut transformer des vulnérabilités N-day en exploits fonctionnels en moins d’une heure — compressant un délai qui prenait historiquement des semaines ou des mois aux experts humains en l’espace d’une pause déjeuner.
Les chiffres qui devraient inquiéter chaque RSSI
L’équipe de recherche — Winnie Xiao, Tim Abbott, Nicholas Carlini et cinq autres — a confronté Mythos Preview à deux cibles réelles : Windows et Firefox. Ils ont fourni au modèle uniquement les informations de correctif publiquement disponibles et lui ont demandé de construire des exploits fonctionnels.
Les résultats :
- Premier exploit fonctionnel : moins d’une heure. Mythos Preview a produit un exploit d’exécution de code contre une vulnérabilité Windows fraîchement corrigée en moins de 60 minutes.
- Huit exploits distincts en environ 12 heures. Sur 16 correctifs de sécurité Windows, Mythos a construit 8 exploits fonctionnels, la chaîne d’exploitation la plus longue prenant environ 5,7 heures.
- Firefox : 8 sur 18. Sur 18 correctifs de sécurité Firefox, Mythos a de nouveau produit 8 exploits d’exécution de code fonctionnels.
Pour contexte : l’analyse marquante de Mandiant en 2020 a révélé que 16 des 25 vulnérabilités réelles ont pris un mois ou plus aux attaquants humains pour être exploitées. C’était la référence. Mythos Preview vient de réduire « un mois ou plus » à « une heure ou moins ».
Pas des Zero-Days — ce qui rend la situation pire
Crucialement, la recherche n’a pas impliqué de zero-days. Chaque vulnérabilité exploitée par Mythos avait déjà été divulguée et corrigée par l’éditeur. Il s’agissait de N-days — des vulnérabilités connues avec des correctifs disponibles — la catégorie même où les défenseurs se sont historiquement sentis le plus en sécurité.
Cette distinction est importante car les N-days sont omniprésents. L’entreprise moyenne met 60 à 90 jours à déployer complètement les correctifs critiques sur son infrastructure. Avec les modèles de classe Mythos, l’intervalle entre la publication du correctif et la disponibilité de l’exploit passe de mois à heures. Une organisation qui n’a pas automatisé son cycle de correctifs fonctionne désormais sur du temps emprunté, mesuré en pauses-café.
Le fossé générationnel des modèles
La recherche a également quantifié le fossé de capacités entre les générations de modèles :
| Modèle | Exploits fonctionnels créés (Windows) |
|---|---|
| Mythos Preview | 8 |
| Opus 4.8 | 2 |
| Opus 4.6 | 1 |
| Sonnet 4.6 | 1 |
| Tous les autres modèles testés | 0 |
Le saut d’Opus 4.8 (2 exploits) à Mythos Preview (8) n’est pas incrémental — c’est un changement de phase. Et comme Anthropic l’a souligné à plusieurs reprises, Mythos est le modèle qu’ils ont choisi de ne pas publier. Le génie n’est pas encore totalement sorti de la bouteille — mais la recherche démontre que les barrières de capacité tombent plus vite que la plupart des équipes de sécurité ne l’avaient anticipé.
Le lien avec le Verizon DBIR
L’article sur les N-days arrive dans un contexte plus large. Anthropic s’est associé à Verizon pour inclure certaines de ses découvertes sur les vulnérabilités liées à l’IA dans le Rapport d’enquête sur les violations de données Verizon 2026 (DBIR) — la publication annuelle la plus citée de l’industrie de la cybersécurité. Cette collaboration signale que l’exploitation assistée par l’IA n’est plus une préoccupation théorique ; elle est désormais suivie aux côtés des ransomwares, du phishing et des attaques de la chaîne d’approvisionnement comme un vecteur de menace mesurable.
Ce qui change pour les défenseurs
Les implications pratiques ne sont pas subtiles :
-
Les cycles de correctifs mesurés en semaines sont morts. Si un N-day peut être armé en moins d’une heure, la fenêtre « raisonnable » pour déployer les correctifs critiques s’effondre. La correction automatisée continue passe de meilleure pratique à exigence de survie.
-
La divulgation des vulnérabilités devient plus risquée. La divulgation coordonnée repose sur le fait de donner aux éditeurs le temps de corriger avant que les détails ne deviennent publics. Si les modèles d’IA peuvent rétro-concevoir des exploits à partir des seules différences de correctifs, la fenêtre de divulgation se réduit considérablement, indépendamment des intentions des chercheurs.
-
La défense en profondeur devient non négociable. Les organisations qui comptent sur le timing des correctifs comme principale couche de défense ont besoin de contrôles compensateurs — segmentation réseau, protection runtime, architectures zero-trust — actifs depuis hier.
-
L’IA pour la défense est le contrepoids. Les mêmes capacités Mythos qui accélèrent les exploits accélèrent également la découverte de vulnérabilités. Project Glasswing, désormais étendu à environ 200 organisations dans 15 pays, a déjà révélé plus de 10 000 vulnérabilités de haute sévérité dans les bases de code des infrastructures critiques. La course aux armements est symétrique, mais la vitesse à laquelle elle évolue est désormais dictée par les cycles de l’IA, et non par ceux des humains.
En résumé
La recherche d’Anthropic n’est pas alarmiste — elle est empirique. L’entreprise a mesuré ce que son modèle le plus performant peut faire et a publié les résultats. La conclusion est frappante : le patch gap, l’hypothèse fondamentale de la gestion des vulnérabilités depuis 30 ans, se referme à un rythme exponentiel.
Pour les équipes de sécurité, le message est : quel que soit votre SLA de correctifs, il est désormais trop lent. Pour les décideurs politiques, c’est : la fenêtre entre la divulgation des vulnérabilités et l’exploitation s’est réduite au point que les politiques de divulgation conçues dans les années 1990 nécessitent une réécriture. Et pour l’industrie de l’IA, c’est la confirmation que la montée en capacité en cybersécurité n’est pas une courbe lisse — c’est un escalier, et Mythos Preview vient de franchir une grande et rapide étape vers le haut.
Sources : Anthropic Red Team — N-days (8 juin 2026) ; SecurityWeek — Claude Mythos Turns N-Days Into N-Hours ; Axios — Anthropic’s Mythos can exploit new flaws in hours ; Analyse Mandiant (2020) sur les N-days.