Qu'est-ce que Mythos d'Anthropic ?

Mythos est le modèle cyber d'Anthropic annoncé le 7 avril 2026. Anthropic le présente comme un watershed moment pour la cybersécurité et restreint son accès via Project Glasswing à une quarantaine d'organisations critiques (Apple, Microsoft, AWS, JPMorgan) pour 100 millions de dollars en crédits d'usage.

Qu'a dit Mozilla sur Mythos ?

Dans son communiqué The zero-days are numbered publié le 21 avril 2026, Mozilla confirme avoir patché 271 vulnérabilités Firefox via Mythos Preview. Mais Bobby Holley, CTO de Mozilla, précise qu'aucun bug trouvé n'était hors de portée d'un chercheur humain expérimenté. Le saut est quantitatif, pas qualitatif.

Pourquoi Sam Altman parle de fear-based marketing ?

Sur le podcast Core Memory épisode 67, Altman qualifie le pitch Mythos de marketing par la peur. Sa formule : Anthropic construit une bombe, prévient qu'elle va tomber, puis vend l'abri anti-bombe pour 100 millions. Une accusation rare entre PDG de labos concurrents.

Qu'est-ce que Project Glasswing ?

Project Glasswing est le programme d'accès restreint à Mythos lancé par Anthropic. Il réserve le modèle à une quarantaine d'organisations critiques contre 100 millions de dollars en crédits API, plus 4 millions de dons à l'écosystème open-source. Logique affichée : patcher les systèmes critiques avant que les capacités ne se diffusent.

Mythos est-il vraiment une rupture ?

Sur le volume, oui : 271 bugs en quelques jours contre 22 bugs sur Firefox 148 avec Opus 4.6, soit un facteur 12. Sur la qualité, non selon Mozilla : aucune catégorie de vulnérabilité inédite. C'est un facteur de productivité significatif, pas un seuil franchi.

Mythos Anthropic vs Mozilla : la promesse et la réalité

271 failles Firefox corrigées par une IA en quelques jours. Anthropic appelle ça un watershed moment pour la cybersécurité. Mozilla, qui a fait le travail, ajoute une ligne en bas du communiqué : aucune n'était hors de portée d'un humain compétent.

Les deux phrases sortent le même jour, le 22 avril 2026. Et entre les deux, Sam Altman débarque sur un podcast pour accuser Anthropic de "fear-based marketing". La même journée. Sur le même produit. Le pitch d'un côté, le verdict opérationnel de l'autre, et le concurrent qui sort le revolver au milieu.

Ce que dit Anthropic

Mythos est annoncé le 7 avril 2026. Anthropic ne mâche pas ses mots : "watershed moment for security", "substantial leap" dans les capacités cyber des modèles de prochaine génération.

Le post sur red.anthropic.com aligne les démos. Un exploit Linux kernel pour moins de 2 000 dollars d'API. Un FreeBSD pour moins de 50 dollars. Des chercheurs sans formation sécurité qui lancent une requête le soir et trouvent un exploit fonctionnel au matin.

Le narratif est cohérent : on franchit un seuil, donc on ne peut pas livrer le modèle au public. À la place, Anthropic lance Project Glasswing, qui restreint l'accès à une quarantaine d'organisations critiques (Apple, Microsoft, AWS, JPMorgan…). 100 millions de dollars en crédits d'usage. 4 millions en dons aux orgas open-source. La logique : patcher d'abord les systèmes qui comptent, avant que les capacités ne se diffusent.

C'est un beau récit. Il a un public. Il a aussi un prix.

Ce que dit Mozilla

Le 21 avril, Mozilla publie The zero-days are numbered. Firefox 150 inclut 271 correctifs identifiés via Mythos Preview. Le chiffre fait son petit effet, surtout comparé à la collab précédente sur Opus 4.6, qui avait sorti 22 bugs sur Firefox 148. Le saut quantitatif est réel : ×12 entre deux versions du modèle.

Mais Bobby Holley, CTO de Mozilla, est l'un des premiers utilisateurs à parler en son nom. Et la phrase qu'il glisse au milieu du communiqué est lourde :

"We also haven't seen any bugs that couldn't have been found by an elite human researcher."

Et plus loin : "So far we've found no category or complexity of vulnerability that humans can find that this model can't."

Traduction : Mythos est rapide. Il est efficace. Il n'est pas surhumain. Il fait en quelques jours ce qu'une équipe de chercheurs élites ferait en plusieurs mois, sans découvrir de catégorie de faille inédite.

L'écart est précis. Anthropic vend un seuil, Mozilla observe un facteur de productivité. Ce sont deux promesses très différentes. Et celle de Mozilla est la seule qui s'appuie sur une utilisation publique documentée.

Ce que dit Altman, le même jour

Le 21 avril, Sam Altman passe sur le podcast Core Memory, épisode 67. La conversation dérape vite vers Anthropic, et la formule fait mouche :

"We have built a bomb, we are about to drop it on your head. We will sell you a bomb shelter for 100 million dollars."

C'est sa lecture du pitch Mythos en deux phrases. Du marketing par la peur, en clair.

Et un peu plus tôt dans l'échange : "There are people in the world who, for a long time, have wanted to keep AI in the hands of a smaller group of people."

Altman n'est pas désintéressé. OpenAI a tout intérêt à descendre la ligne narrative qui fait d'Anthropic le labo "responsable". Mais retirer l'attaque parce qu'elle vient du concurrent, c'est passer à côté du fait qu'elle décrit assez bien la mécanique. Construire un outil offensif, le présenter comme trop dangereux pour être public, et ensuite vendre l'accès défensif à un cercle restreint contre crédits API : c'est un modèle économique. Il n'est pas illégitime, mais il faut le nommer.

La validation Mozilla et l'attaque Altman se renforcent par effet ciseau. L'une dit "le saut technique est plus modeste qu'annoncé", l'autre dit "le pitch sert d'abord à justifier la rareté manufacturée". Les deux peuvent être vraies en même temps.

Pourquoi le moment compte

Trois choses changent dans cette journée du 22 avril.

D'abord, Mozilla devient la première grande organisation indépendante à publier un retour terrain non lissé sur Mythos. Jusqu'ici, on n'avait que les démos d'Anthropic et les commentaires d'experts en cybersécurité réagissant au draft fuité de mars. Là, on a un opérateur qui dit ce qu'il a vu, sans en faire trop ni en faire trop peu.

Ensuite, OpenAI sort du pacte de non-agression public qui structurait l'écosystème. Les piques entre labos existaient (annonces concurrentes pendant le Super Bowl, débauchages, désaccords sur la sécurité), mais Altman qui qualifie publiquement la stratégie d'Anthropic de marketing par la peur, c'est un cran au-dessus. Ça arrive trois mois avant l'IPO d'Anthropic, ce qui n'est probablement pas une coïncidence.

Enfin, le doom-marketing devient un objet identifié. Pas un soupçon vague de l'écosystème. Une accusation précise, formulée par le PDG du concurrent direct, lue par tout le monde. À partir d'aujourd'hui, chaque communiqué Anthropic qui parle de "responsable scaling" et de "capacités trop dangereuses" sera lu à travers cette grille.

Ce que ça vaut, concrètement

Pour les équipes sécurité, le résultat Mozilla est intéressant en soi. Un facteur de productivité ×10 ou ×12 sur la chasse aux bugs, c'est un changement opérationnel significatif. Ça ne demande pas de croire au "watershed moment" pour exister. Holley lui-même est plutôt enthousiaste sur l'usage défensif : "ultimately great news for defenders". Personne ne dit que Mythos n'a pas de valeur.

Mais c'est exactement parce que la valeur est réelle que la sur-vente est un problème. Quand un labo confond saut quantitatif et saut qualitatif dans son communiqué, on perd le repère collectif sur ce que l'IA fait et ne fait pas. Et c'est ce repère qui sert ensuite à arbitrer les politiques publiques, les budgets cyber des entreprises, les clauses des contrats d'assurance, les régulations à venir.

Quand le vendeur écrit le benchmark, on peut au moins demander à l'utilisateur ce qu'il en a retiré. Aujourd'hui, Mozilla a répondu. La question reste de savoir qui répondra demain pour les 39 autres organisations dans Project Glasswing.