AI-FirstAI-First
Rejoins-nousPrendre contact
Retour au blog
strategie-ia
29 mai 2026
9 min de lecture

Claude Mythos en production : ce que révèlent les premières entreprises de Project Glasswing

Anthropic ouvre progressivement Mythos 1 via Claude Code et Claude Security. Voici ce que les 40+ partenaires de Glasswing ont trouvé, ce que l'Europe rate, et ce que ça implique pour les PME.

Vincent

Vincent

Expert IA — AI-First

Mythos 1 apparaît dans Claude Code. 10 000+ vulnérabilités trouvées, 93,9% SWE-bench, BNP qui construit son alternative. Analyse et verdict.

Anthropic avait promis que Mythos resterait sous clé. Huit semaines plus tard, des chaînes de caractères mentionnant « Mythos 1 » apparaissent dans le code de production de Claude Code. Le modèle qui devait rester restreint à 40 organisations est en train de passer en mode commercial.

Je suis les développements de Mythos depuis le leak accidentel de mars 2026, et ce que les premières entreprises de Project Glasswing rapportent change la lecture qu'on peut avoir de la cybersécurité par IA. Les benchmarks sont spectaculaires, les implications géopolitiques sérieuses, et la question pour les PME est plus concrète qu'il n'y paraît.

  • 🔥 Mythos 1 en production : des chaînes UI dans Claude Code confirment un lancement commercial imminent.
  • 📊 10 000+ failles critiques : trouvées par Glasswing en 8 semaines sur des logiciels open source majeurs.
  • 🌍 L'Europe négocie dans le vide : la Commission n'a toujours pas accès, BNP construit avec Mistral.
  • ⚠️ PME concernées : la cybersécurité automatisée va redéfinir le standard minimum de protection.

Ce que Glasswing a produit en 8 semaines

Quels résultats concrets les partenaires ont-ils obtenus ?

Quand Anthropic a lancé Project Glasswing le 7 avril 2026, le programme réunissait 12 grands acteurs tech et plus de 40 organisations partenaires sélectionnées : AWS, Apple, Google, Microsoft, NVIDIA, CrowdStrike, JPMorgan Chase, entre autres. La mission était précise : scanner des infrastructures critiques et des projets open source à la recherche de vulnérabilités zero-day.

Les résultats sont arrivés vite. Selon CyberSecurityNews, Mythos a identifié plus de 10 000 vulnérabilités de sévérité haute ou critique sur des logiciels open source largement utilisés. L'AI Security Institute (AISI) britannique a publié une évaluation indépendante : Mythos remporte 73 % des tâches cyber de niveau expert qu'aucun modèle ne savait résoudre avant avril 2025, d'après tech-insider.org.

Ce n'est pas un exercice de laboratoire. Les exploits fonctionnels générés par Mythos marchent dès la première tentative dans 83 % des cas, un taux qui dépasse régulièrement celui d'équipes humaines spécialisées en pentest, selon les données relayées par Clubic.

Comment se situe Mythos face aux autres modèles ?

Les benchmarks bruts donnent le vertige. Le system card de 158 pages publié par Anthropic détaille les scores : 93,9 % sur SWE-bench Verified (contre 80,8 % pour Claude Opus 4.6, soit +13,1 points), 97,6 % sur USAMO 2026, et 83,1 % sur CyberGym. Sur les 18 comparaisons publiées dans le system card, Mythos mène sur 17.

Benchmark Claude Opus 4.6 Mythos Preview Tendance
SWE-bench Verified 80,8 % 93,9 % ↑ +13,1 pts
CyberGym ~55 % (est.) 83,1 % ↑ saut majeur
USAMO 2026 ~72 % (est.) 97,6 % ↑ +25 pts
Tâches cyber AISI < 30 % 73 % ↑ première fois

SOURCE : System card Anthropic 158 p. + évaluation AISI · MAJ 04/2026

C'est la première fois qu'un LLM devance systématiquement les meilleurs humains sur des défis CTF avancés. La distance avec les modèles concurrents (GPT-5.5, Gemini 2.5 Pro) est telle que la question n'est plus « quel modèle est le meilleur en cyber », mais « qui a accès à celui-ci ».

Pourquoi Anthropic lâche du lest maintenant

Qu'est-ce que Mythos 1 change par rapport à Mythos Preview ?

Pendant deux mois, la ligne officielle d'Anthropic était claire : Mythos reste en accès restreint tant que les « garde-fous » ne sont pas en place. La formulation exacte du rapport Glasswing mis à jour est plus souple : « les modèles de classe Mythos pourraient atteindre le public une fois les bonnes protections installées ». Le conditionnel a remplacé l'interdit.

Ce qui a bougé concrètement, c'est l'apparition de références à claude-mythos-1-preview dans le code source de Claude Code, accompagnées d'une interface Claude Security redessinée qui affiche des tableaux de bord de triage de vulnérabilités. Selon AI Weekly, les chaînes UI mentionnent explicitement « Access to the Claude Mythos model in Claude Code and Claude Security ».

En parallèle, Claude Opus 4.8 est en évaluation chez des partenaires sélectionnés. Opus 4.6 en novembre 2025, Opus 4.7 le 16 avril 2026, Opus 4.8 fin mai 2026 : Anthropic compresse sa cadence. Mythos 1 s'inscrit dans cette accélération comme un tier premium, pas comme un prototype isolé.

Pourquoi ce timing est stratégique ?

La pression vient de trois directions. OpenAI pousse Codex et GPT-5.5 sur le segment développeur. Google DeepMind cible les mêmes budgets entreprise avec Gemini 2.5. Les modèles open-weight (Llama 4, Mistral) montent en qualité sur les tâches de code.

J'observe la même dynamique chez mes clients PME : un outil qui reste en beta trop longtemps perd sa fenêtre. Le passage de « jamais public » à « bientôt disponible sous conditions » n'est pas un changement de philosophie, c'est du pragmatisme commercial.

L'Europe négocie dans le vide

Pourquoi la Commission européenne n'a-t-elle pas accès ?

La liste des partenaires Glasswing est éloquente : AWS, Apple, Google, Microsoft, CrowdStrike, JPMorgan Chase. Des entreprises américaines, avec quelques banques américaines. Selon Clubic, Anthropic a mis Mythos à disposition d'une quarantaine à cinquantaine d'organisations, essentiellement du secteur tech US et des acteurs liés à la sécurité nationale américaine. Aucune banque européenne n'y figure.

La Commission européenne négocie avec Anthropic depuis avril 2026. Des responsables espagnols ont publiquement décrit la situation comme « bloquée ». La position d'Anthropic repose sur un argument de risque : une diffusion plus large transformerait Mythos en arme potentielle.

L'argument est recevable sur le fond, mais le résultat est le même : l'Europe n'a pas accès au meilleur outil de cybersécurité IA au monde.

Comment BNP et Mistral répondent-ils ?

Face à ce mur, BNP Paribas a fait un choix pragmatique : collaborer avec Mistral AI pour développer un modèle dédié à la cybersécurité bancaire. Le raisonnement est logique. Si Anthropic refuse de partager, autant construire avec un acteur français dont on contrôle la chaîne de valeur.

Cette initiative illustre un schéma que je vois se répéter dans d'autres secteurs. Quand un outil américain n'est pas accessible ou pose des problèmes de souveraineté, les grands groupes européens construisent des alternatives locales. Le problème, c'est le delta de performance. Mistral produit d'excellents modèles généralistes, mais reproduire les capacités cyber spécifiques de Mythos (83 % d'exploits fonctionnels au premier essai, 73 % des tâches expert AISI) prendra du temps.

Pour les PME françaises qui n'ont ni le budget de BNP ni l'accès à Glasswing, la question est plus terre-à-terre : quand Mythos 1 sera-t-il disponible via l'API publique d'Anthropic, et à quel prix ? D'après les données que j'avais analysées précédemment, le tarif estimé de 125 $/MTok place Mythos hors de portée pour un usage quotidien, mais parfaitement viable pour des audits de sécurité ponctuels.

Ce que ça change concrètement pour les entreprises

Faut-il attendre Mythos pour sécuriser ses systèmes ?

Non. Et c'est peut-être la conclusion la plus importante de cet article. Mythos est spectaculaire, mais il fonctionne dans un cadre très spécifique : des équipes de sécurité structurées, avec des pipelines de triage existants, qui cherchent des zero-day sur des codebases massives.

Pour une PME de 50 personnes, le vrai gain n'est pas dans le modèle. J'accompagne des dirigeants de PME sur l'intégration IA depuis deux ans, et la leçon se confirme à chaque mission : la valeur est dans l'intégration aux workflows existants, pas dans la puissance brute du modèle. Un Claude Opus 4.6 bien connecté au back-office, au CRM et aux logs de sécurité fait déjà 80 % du travail que Mythos fait mieux.

Ce qui va changer avec l'arrivée de Mythos 1 dans Claude Code, c'est le standard minimum de ce qu'on considère comme une protection acceptable. Si votre concurrent utilise Mythos pour auditer son code en continu et que vous n'avez même pas d'audit annuel, l'écart se creuse. Le risque n'est pas technique, il est concurrentiel.

Quel plan d'action retenir ?

Pour la cybersécurité, le plan d'action est le même que pour toute intégration IA :

  1. Auditer l'existant avec les outils disponibles aujourd'hui (Snyk, Veracode, ou Claude Opus via l'API).
  2. Structurer un pipeline de triage pour que, le jour où Mythos 1 devient accessible, l'intégration prenne des jours et non des mois.
  3. Suivre les annonces Anthropic sur le pricing API de Mythos 1, car le modèle commercial déterminera si c'est un outil de grande entreprise ou un outil accessible.

Le danger serait d'attendre Mythos comme on attend un sauveur. Les PME qui gagnent avec l'IA sont celles qui commencent avec des agents précis sur des tâches mesurables, pas celles qui attendent le prochain modèle miracle.

« La vraie valeur n'est pas dans le modèle, mais dans ce que vous branchez dessus. Mythos ne fera rien pour une entreprise qui n'a pas de pipeline de sécurité. »

Vincent, mai 2026

Ce que Mythos révèle sur la prochaine vague IA

En quoi Mythos change-t-il le paysage concurrentiel ?

Le JDN a soulevé un point que peu de commentateurs ont repris : Mythos intègre une architecture de consolidation mémorielle asynchrone via les systèmes KAIROS et AutoDream, découverts dans le leak de Claude Code en mars 2026. L'agent analyse ses échecs, consolide sa mémoire entre sessions, et affine ses stratégies de manière autonome. Selon le Journal du Net, c'est « la première IA persistante, autonome et furtive ».

Cette architecture pose des questions réglementaires sérieuses. L'AI Act européen entre en application progressive, et un agent autonome sans supervision humaine risque de tomber sous la catégorie « haut risque ». L'OCDE estime que 47 % des emplois dans ses pays membres sont exposés à l'automatisation par IA. Ce chiffre prend une autre dimension quand l'IA peut travailler 24h/24 sans supervision.

Anthropic a créé un outil que ses propres conditions de déploiement peinent à encadrer. Le system card de 158 pages et le crédit de 100 millions de dollars montrent que l'entreprise prend le sujet au sérieux. Reste à savoir si la vitesse de commercialisation laissera le temps aux garde-fous de tenir.

Pour les PME françaises, mon conseil reste le même : ne vous laissez pas paralyser par la hype. Les modèles existants, bien intégrés dans vos process, créent déjà de la valeur mesurable. Mythos 1 arrivera. Les entreprises qui en profiteront le plus seront celles qui ont déjà leurs workflows en ordre, pas celles qui découvriront l'IA ce jour-là.

Foire aux questions

Quand Claude Mythos 1 sera-t-il accessible au grand public ?

Aucune date officielle n'a été communiquée par Anthropic. Les signaux de production (chaînes UI dans Claude Code, dashboard Claude Security) suggèrent un lancement par phases au second semestre 2026. Le rapport Glasswing mis à jour parle de « modèles de classe Mythos pouvant atteindre le public une fois les bonnes protections en place », sans échéance précise.

Combien coûtera Mythos 1 via l'API Anthropic ?

Les estimations tournent autour de 125 $/MTok en entrée, soit environ 8 fois le prix de Claude Opus 4.6. Ce tarif positionne Mythos comme un outil d'audit ponctuel ou de tâches critiques, pas comme un modèle de production quotidienne pour les PME. Le pricing final dépendra du tier de lancement choisi par Anthropic.

Les PME européennes peuvent-elles utiliser Mythos aujourd'hui ?

Non. L'accès reste limité aux partenaires Glasswing, essentiellement américains. Les négociations entre la Commission européenne et Anthropic sont au point mort depuis avril 2026. BNP Paribas construit une alternative avec Mistral AI, mais elle cible la cybersécurité bancaire et ne sera pas publique.

Mythos remplace-t-il les outils de cybersécurité classiques ?

Pas dans sa forme actuelle. Mythos excelle dans la découverte de vulnérabilités et la génération d'exploits, mais il s'intègre dans un pipeline existant (triage, remédiation, monitoring). Les outils comme Snyk, Veracode ou CrowdStrike couvrent des fonctions complémentaires que Mythos ne remplace pas. La valeur de Mythos est dans la détection, pas dans la protection en temps réel.

Quel lien entre Mythos et Claude Code pour un développeur ?

Les chaînes UI découvertes mentionnent un accès Mythos directement dans Claude Code. Pour un développeur, cela signifie un audit de sécurité intégré au workflow de codage : vous codez, Mythos scanne en arrière-plan. C'est l'intégration la plus naturelle possible, et celle qui créera le plus de valeur pour les équipes techniques.

Vidéos YouTube

Articles & ressources

Passez à l'action avec AI-First

Transformez votre PME avec l'IA. Audit, implémentation et suivi par des experts certifiés.

Demander un audit →

Autres articles

OpenClaw en PME : faut-il vraiment franchir le pas ?

16% des entreprises utilisent l'IA, mais 84% des PME restent sur le banc. OpenClaw peut changer la donne, à condition de bien s'y prendre.

De Claude Pro à Claude Team : à quel volume une PME doit basculer (et ce que ça change vraiment)

Claude Team à 20 $/siège depuis mai 2026 : à partir de combien d'utilisateurs une PME doit quitter Pro, et ce que ça change en pratique.

OpenClaw PME : prêt pour juin 2026 ou encore trop risqué ?

OpenClaw cumule 220 000 étoiles GitHub et promet l'automatisation totale. Mais est-il assez mature pour les PME françaises en juin 2026 ? Cas d'usage, RGPD, coûts et projections S2.

Contactez-nous

Prêt à passer à l'IA ?

Répondez à quelques questions ou réservez directement un appel avec un de nos experts.

Envoyez-nous un message

Réservez un appel découverte

30 minutes avec un expert IA pour identifier vos opportunités d'automatisation. Sans engagement.

Réserver mon créneau

Pourquoi AI-First ?

Approche basée sur l'audit de vos vrais besoins
Implémentation selon les derniers standards
Suivi post-déploiement inclus