Claude Mythos : la panique crypto qui cache une bonne nouvelle
Depuis dix jours, le consensus médiatique est formel : Claude Mythos, le nouveau modèle d'Anthropic, va vider les protocoles DeFi, détruire les ponts cross-chain et ramener le Web3 à l'âge de pierre. Certains le comparent à une menace quantique. D'autres parlent de milliards qui s'évaporent. L'ambiance est à la catastrophe imminente.
Sauf qu'on a déjà vu ce film. Mot pour mot.
Février 2019. OpenAI présente GPT-2 et refuse de le publier. Trop dangereux. Le monde entier relaie l'alerte. Fake news industrielles, élections manipulées, journalisme détruit. Neuf mois plus tard, GPT-2 est public. Les catastrophes promises ? Jamais venues. L'industrie s'est adaptée plus vite que les alarmistes ne l'avaient prédit.
L'homme qui pilotait cette communication « too dangerous to release » chez OpenAI en 2019 s'appelle Jack Clark. Il dirige aujourd'hui le Public Benefit d'Anthropic. Même homme. Même script. Sept ans plus tard. Simon Willison, commentateur respecté du secteur, l'a écrit sans détour début avril : annoncer qu'un modèle est trop dangereux pour être publié est une excellente façon de créer du buzz. Il juge la prudence d'Anthropic légitime, mais reconnaît explicitement la mécanique marketing qui se rejoue.
Maintenant, regardons les faits concrets. Anthropic a publié les découvertes de Mythos. Une faille dans OpenBSD qui dormait depuis 27 ans. Une autre dans FFmpeg, la bibliothèque média la plus testée au monde, âgée de 16 ans. Une troisième dans FreeBSD exploitée automatiquement par le modèle : 17 ans d'existence sans être détectée.
Question qu'on refuse de poser : depuis combien de temps ces failles étaient déjà exploitées en silence par ceux qui ne publient pas leurs découvertes ? Les services de renseignement étatiques, les groupes APT et les hackers les plus sophistiqués avaient déjà les moyens de trouver ce type de vulnérabilité. Pas à l'échelle industrielle de Mythos, certes. Mais ils l'avaient. C'est dans ce monde-là que la crypto évolue depuis 2014.
Mythos ne crée pas ces trous. Il les rend visibles. Pour la première fois, les défenseurs disposent d'un outil qui correspond à ce que les attaquants sophistiqués avaient déjà dans leur arsenal. Nicholas Carlini, chercheur sécurité chez Anthropic, l'a dit sans filtre : il a trouvé plus de bugs en deux semaines avec Mythos que dans toute sa carrière précédente. Ces bugs vont être patchés. Ces failles vont disparaître.
Anthropologic n'a pas lâché Mythos dans la nature. Le modèle est déployé chez onze partenaires triés sur le volet : Apple, Google, Microsoft, AWS, JPMorgan, Cisco, Broadcom, NVIDIA, CrowdStrike, Palo Alto Networks et la Linux Foundation. Le programme Project Glasswing mobilise 100 millions de dollars en crédits compute et 4 millions versés directement à la sécurité open source. C'est l'audit de sécurité le plus massif que l'industrie ait jamais financé, et la crypto en bénéficie gratuitement.
L'asymétrie offensive/défensive qui pénalisait les protocoles depuis des années est en train de basculer. Dans le bon sens.
Ce que ça change : Mythos n'est pas une menace pour la DeFi, c'est le premier outil de défense qui rivalise enfin avec les attaquants. La panique de ces dix jours révèle surtout à quel point l'industrie crypto confond bruit médiatique et analyse de risque réelle.
