Anthropic a publié cette semaine un update Project Glasswing reportant que Claude Mythos — son LLM autonome de découverte de vulnérabilités introduit en avril 2026 — a identifié 10 000+ failles à travers 1 000+ projets open-source en environ deux mois. Les chiffres complets : 23 019 issues totales, 6 202 ratées high ou critical severity, 1 752 validées à date avec un taux true-positive confirmé excédant 90%. Les partenaires de co-scanning incluent Cloudflare, Mozilla et d'autres. La disclosure suit un embargo de 90 jours coordonné avec les mainteneurs — les findings wolfSSL, par exemple, sont patchés mais les détails restent withheld. Pour les builders qui shippent quoi que ce soit par-dessus des dépendances OSS, le takeaway est concret : une portion non-triviale de la supply chain vient de se faire mass-auditée, et les 90 prochains jours révéleront le patch trail.
Le framing architectural est délibérément thin dans le release. Anthropic ne divulgue pas si Mythos est un modèle standalone, un harness d'agent, ou une composition spécifique Glasswing — seulement qu'il scan, valide, et produit des exploits de manière autonome. Le taux true-positive 90%+ sur 1 752 issues validées est le chiffre headline sur lequel se focaliser ; c'est le taux au-dessus duquel un outil arrête de générer du busywork et commence à générer des queues de remédiation réelles. Compare avec ce que Microsoft a shippé plus tôt cette semaine — MDASH, un pipeline de 100+ agents spécialisés (scan/debate/validate/dedupe/exploit) scorant 88,45% sur CyberGym sur 1 507 vulns réelles — et t'as deux des plus gros labs AI US qui atterrissent des releases d'autonomous-vulnerability-research dans les sept jours l'un de l'autre. La catégorie agent-driven vuln research est réelle et compete maintenant en public, les deux tested-internally à très grande échelle (Microsoft sur Windows/Hyper-V/Azure, Anthropic sur 1 000+ projets OSS).
Le framing d'accès et safety c'est la partie que les builders doivent lire avec attention. L'accès Mythos aujourd'hui est partner-gated à travers Project Glasswing (AWS, Apple, Google, Microsoft, etc.) plus une beta publique de "Claude Security" pour clients enterprise. Anthropic dit explicitement "no company has developed safeguards strong enough to prevent such models from being misused" et tient les "Mythos-class models" back en attente de safeguards plus forts. C'est une admission inhabituellement directe. La lecture honnête c'est que le même modèle qui trouve 10K vulns peut aussi être utilisé pour écrire des exploits au même rythme — le partner-gating est la couche de friction jusqu'à ce que l'alignement s'améliore. Pour les security researchers indépendants et les small-shop builders, ça veut dire attendre ; pour les équipes security enterprise déjà sur Glasswing ou Claude Security, la capability est là maintenant.
Lundi matin : si tu maintiens un projet open-source de n'importe quelle taille, expect du traffic email de coordinated-disclosure pendant les 90 prochains jours depuis des findings découverts par Mythos — Cloudflare et Mozilla sont déjà dans la loop. Si tu shippes un produit downstream de dépendances OSS, build l'assumption dans ta cadence de patch : le mass-audit de la supply chain se passe maintenant, et la longue queue de patches va atterrir continuellement pendant le reste de Q2. Si t'évalues du tooling autonomous-vuln-research pour ta propre pipeline, Mythos (gated) et MDASH (private preview) sont les deux reference points publiés cette semaine — le pattern architectural (pipelines autonomous scan-validate-exploit) est reproductible depuis les détails publics même sans accès à aucune des deux plateformes. La question honnête non-adressée : comment les 23 019 issues se break down par catégorie (memory safety, injection, auth bypass, logic bugs), puisque le release public ne divulgue que le severity tier. Des données class-level laisseraient les builders prioritiser leur propre scanning.