Le Claude Mythos d'Anthropic a découvert de façon autonome des milliers de vulnérabilités zero-day à travers les principaux systèmes d'exploitation et navigateurs, atteignant un taux de succès de développement d'exploits de 72,4% sans supervision humaine. Le modèle peut prendre un identifiant CVE et un hash de commit git, puis produire des exploits fonctionnels en quelques heures. Ceci s'ajoute à une liste croissante de recherche de vulnérabilités assistée par IA : Big Sleep de Google a trouvé 20 zero-days dans des projets open source, tandis qu'OpenClaw de Sophos a compressé la reconnaissance Active Directory de trois jours à trois heures lors de tests internes.
Les chiffres racontent la vraie histoire. Le temps d'exploitation a chuté de 61 jours en 2024 à 28,5 jours en 2025, avec le temps médian entre la divulgation et la liste Known Exploited Vulnerabilities de CISA qui rétrécit de 8,5 à 5 jours. L'exploitation confirmée de vulnérabilités de haute sévérité a doublé à 146 cas en 2025. Ce n'est pas juste de la recherche plus rapide — c'est un changement fondamental dans l'économie de la découverte de vulnérabilités que les défenseurs n'ont pas encore rattrapé.
Ce qui manque dans la réponse de l'industrie de la sécurité, c'est une reconnaissance honnête de l'écart de capacité. Pendant que Rapid7 et CSA se concentrent sur corriger plus rapidement, Sophos utilise réellement ces outils en interne et voit l'impact de première main. Leur exercice OpenClaw a produit 23 découvertes exploitables incluant des chemins d'escalade Domain Admin à partir d'un seul compte sans privilèges. Ce n'est pas théorique — c'est de l'offense prête pour la production.
Pour les développeurs qui construisent des systèmes IA, cela signifie que la sécurité ne peut plus être une réflexion après coup. Vous avez besoin de révisions de sécurité assistées par IA dans les pipelines CI/CD maintenant, pas quand votre prochain audit de sécurité arrivera. La vieille supposition que vous avez des semaines pour répondre aux vulnérabilités est morte.