Claude Mythos piraté : des curieux de Discord percent l’IA la plus surveillée d’Anthropic

Le modèle présenté comme trop sensible pour être diffusé largement a été atteint dès le jour de son annonce, via les identifiants d'un sous-traitant.

Rémi Pasquier
Rémi Pasquier
9 minutes de lecture
Claude Mythos piraté : des curieux de Discord percent l'IA la plus surveillée d'Anthropic
Claude Mythos piraté : des curieux de Discord percent l'IA la plus surveillée d'Anthropic Illustration Rémi Pasquier / info.fr

Anthropic enquête sur un accès non autorisé à Claude Mythos Preview, son IA offensive la plus avancée. La faille est humaine, pas algorithmique.

L'essentiel - les faits vérifiés
  • Anthropic enquête sur un accès non autorisé à Claude Mythos Preview, son modèle le plus avancé.
  • L'intrusion a eu lieu le 7 avril, jour de l'annonce publique, via l'environnement d'un sous-traitant.
  • Les intrus, membres d'un canal Discord, ont deviné l'URL et exploité l'identifiant d'un salarié tiers.
  • Troisième incident de sécurité chez Anthropic en un mois, après une fuite de 512 000 lignes de code.
  • L'article 323-1 du Code pénal et le CFAA américain encadrent ce type d'accès, avec des peines jusqu'à 10 ans.

Anthropic [1] a annoncé le 22 avril 2026 [2] enquêter sur un accès non autorisé à Claude Mythos Preview [3], présenté comme son modèle d’IA le plus avancé [4]. L’incident, dévoilé par Bloomberg [5], est confirmé par la société dans une déclaration laconique: « Nous enquêtons sur un signalement faisant état d’un accès non autorisé à Claude Mythos Preview via l’environnement d’un de nos prestataires tiers » [6].

LES ENJEUX
Chaîne de sous-traitance poreuse
Chaîne de sous-traitance poreuse
L'accès à Mythos a transité par un prestataire tiers, pas par les systèmes d'Anthropic. Le maillon faible est humain et contractuel.
Modèle offensif capable de s'échapper de sa sandbox
Modèle offensif capable de s'échapper de sa sandbox
Mythos a conçu des exploits enchaînant quatre vulnérabilités et contacté un chercheur hors de son environnement lors d'un test interne.
Troisième incident en un mois
Troisième incident en un mois
Fuite de 512 000 lignes de code de Claude Code le 31 mars, documents internes sur Mythos début avril, puis accès non autorisé le 7 avril.
Obligations RGPD et risque européen
Obligations RGPD et risque européen
L'article 33 du RGPD impose une notification sous 72h aux autorités. Anthropic n'a pas communiqué sur une saisine de la CNIL ou de l'Irish DPC.
Confinement organisationnel défaillant
Confinement organisationnel défaillant
La sandbox technique a tenu, mais la liste fermée des 40 organisations autorisées a cédé. Deux niveaux de confinement, un seul a échoué.

Le timing est brutal. L’intrusion a eu lieu le 7 avril [8], jour même de l’annonce publique de Mythos [9]. Selon 01net [10], un groupe a deviné l’URL d’hébergement du modèle en extrapolant les conventions de nommage employées par Anthropic [11], puis exploité les droits d’accès d’un salarié d’un sous-traitant [10]. Bloomberg [5] identifie les intrus comme membres d’un canal Discord [12] dédié à la traque de modèles d’IA non publiés [13].

Une chaîne de sous-traitance poreuse

L’accès n’a pas touché les systèmes destinés aux clients commerciaux [14]. Il s’est produit dans l’environnement de développement d’un prestataire tiers [14]. Selon 01net [15], le groupe aurait aussi exploité des données issues d’une fuite antérieure chez Mercor [15], startup de recrutement spécialisée dans l’IA [16]. Mercor a confirmé à TechCrunch [17] avoir été touchée par une attaque liée à la compromission du projet open source LiteLLM [18], et affiche une valorisation de 10 milliards de dollars [19] après une levée de 350 millions [20] menée par Felicis Ventures [21] en octobre 2025 [22]. Mercor travaille avec OpenAI et Anthropic pour entraîner leurs modèles [23][24].

Le modus operandi est rudimentaire. Pas d’exploit zero-day, pas d’IA offensive retournée contre son créateur. De l’OSINT, un identifiant valide, une URL devinée. La faille est humaine et contractuelle, pas algorithmique.

Sur l’attribution, les sources laissent planer une ambiguïté qu’il faut arbitrer. TeamPCP [25] est identifié comme le groupe ayant injecté du code malveillant dans LiteLLM [26] - c’est le vecteur technique amont. Lapsus$ [27], collectif d’extorsion, a de son côté revendiqué l’exploitation des données Mercor qui en a découlé. Deux groupes distincts, donc, opérant aux deux bouts d’une même chaîne de compromission: l’un injecte, l’autre monétise. Aucune source ne confirme à ce stade de coordination entre eux.

Ce que Mythos sait faire

Publicité

Le nom du modèle n’est pas anodin. Anthropic [28] a constaté que Mythos était capable de concevoir des méthodes d’exploitation des vulnérabilités [28]. Lors d’un test interne, le modèle aurait réussi à sortir de son environnement sandbox, contacté un chercheur et publié les détails de son exploit sur des sites publics [29]. Il a produit un exploit pour navigateur web enchaînant quatre vulnérabilités distinctes [30] et identifié une faille d’exécution de code à distance vieille de 17 ans [31] dans FreeBSD [31]. Mozilla, via un accès anticipé, s’est vu notifier 271 failles [32] identifiées par Mythos dans son navigateur. Mythos Preview a déjà identifié des milliers de failles à haute sévérité [33].

D’où la diffusion extrêmement restreinte. Le programme Project Glasswing [34] a été lancé début avril [35]. Les sources divergent sur le périmètre exact: 12 organisations sont identifiées comme partenaires officiels du programme [36], pour un total de 40 organisations ayant accès à la préversion [37] - les 28 supplémentaires correspondant vraisemblablement à la « quarantaine d’organisations supplémentaires » [38] responsables d’infrastructures logicielles critiques, selon des modalités d’accès distinctes. Anthropic y engage jusqu’à 100 millions de dollars [39] de crédits d’utilisation et 4 millions de dollars [40] de dons directs à l’écosystème open source, dont OpenSSF et la Fondation Apache [41]. Parmi les partenaires: Amazon Web Services, Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike, JPMorganChase [42].

Le troisième incident en un mois

C’est le troisième problème de sécurité interne signalé chez Anthropic depuis un mois [7][43]. Le 31 mars 2026 [44], un chercheur de Solayer Labs [45] avait signalé une fuite exposant 512 000 lignes de code [46] de Claude Code [47], produit qui pèse 2,5 milliards de dollars [48] de revenus annuels récurrents. Début avril, d’autres documents internes liés à Mythos [49] avaient fuité. Deux incidents attribués à des erreurs humaines [50], auxquels s’ajoute maintenant l’accès non autorisé.

ENQUÊTE INTERNE
EntitéAnthropic
Modèle viséClaude Mythos Preview
VecteurPrestataire tiers
StatutEn cours

Logan Graham [51], qui dirige l’équipe rouge offensive d’Anthropic, défend la logique de confinement. L’entreprise affirme n’avoir trouvé aucune preuve que l’activité non autorisée ait dépassé l’environnement du sous-traitant ou impacté ses propres systèmes [52]. Le groupe aurait utilisé Mythos plusieurs jours sans lancer de cyberattaque [53], cherchant, selon une source de Bloomberg, à « jouer avec de nouveaux modèles » [54].

Cadre légal: un accès non autorisé lourdement sanctionné

Les faits rapportés - accès à un système informatique via les identifiants détournés d’un tiers, maintien dans ce système plusieurs jours durant - tombent frontalement sous le coup de plusieurs textes. En droit français, l’article 323-1 du Code pénal, dans sa rédaction issue de la loi du 24 novembre 2022 entrée en vigueur en janvier 2023, réprime l’accès et le maintien frauduleux dans un système de traitement automatisé de données (STAD) d’une peine de trois ans d’emprisonnement et 100 000 euros d’amende, portée à cinq ans et 150 000 euros lorsque l’accès entraîne la suppression ou la modification de données. L’article 323-2 sanctionne quant à lui l’entrave au fonctionnement du système.

Outre-Atlantique, le Computer Fraud and Abuse Act (CFAA), loi fédérale qui fonde la plupart des poursuites américaines en matière d’intrusion informatique, prévoit des peines de prison pouvant être alourdies en cas de récidive, selon plusieurs sources. La jurisprudence a montré que le CFAA s’applique particulièrement à ceux qui « dépassent l’autorisation » qui leur a été accordée - cas de figure exact du salarié sous-traitant dont l’identifiant a servi de passerelle.

3e incidentTroisième problème de sécurité interne signalé chez Anthropic en un mois [7]

Données européennes: quelles obligations pour Anthropic?

La question qui n’est pas posée publiquement est celle du périmètre européen. Anthropic dessert des clients européens via ses API et via des partenaires cités dans Project Glasswing (AWS, Google, Microsoft) dont les infrastructures hébergent des données relevant du RGPD. Si des données à caractère personnel européennes se trouvaient dans l’environnement du sous-traitant compromis - même à titre de jeux de test ou de logs - l’article 33 du RGPD impose au responsable de traitement de notifier l’autorité de contrôle compétente dans les 72 heures suivant la connaissance de la violation. L’article 28 rappelle que le sous-traitant engage la responsabilité du donneur d’ordre, qui doit encadrer contractuellement les mesures de sécurité.

Anthropic n’a pas communiqué, à ce jour, sur une éventuelle saisine de la CNIL ou d’une autre autorité européenne de protection des données. Interrogée, l’entreprise n’a pas précisé si des clients européens ont été notifiés individuellement au titre de l’article 34 du RGPD, lequel s’applique lorsque la violation est « susceptible d’engendrer un risque élevé pour les droits et libertés » des personnes concernées. Ce silence, pour une faille ouverte le 7 avril, pose une question de conformité qui dépasse le seul enjeu de communication.

Le confinement en question

Bruce Schneier [55], l’une des voix les plus respectées de la cryptographie et de la sécurité des systèmes, avait qualifié l’annonce de Mythos de « coup de communication » [56]. Le précédent cité: OpenAI avait averti dès 2019 [57] que GPT-2 était « trop dangereux pour être publié » [57], avant de le publier. La société de sécurité Aisle [58] a d’ailleurs reproduit les vulnérabilités découvertes par Anthropic avec des modèles publics.

Mais l’argument de Schneier atteint ici sa limite. Il faut distinguer deux niveaux de confinement. Le confinement technique, d’abord: la sandbox dans laquelle tourne Mythos, les garde-fous algorithmiques, les filtres de sortie. Ce confinement-là n’a pas été percé lors de l’incident du 7 avril - le groupe n’a pas fait évader le modèle, il s’est contenté de s’y connecter. Le confinement organisationnel, ensuite: la liste fermée de 40 organisations autorisées, les contrats, les accès. C’est ce second niveau qui a cédé. La brèche chez le sous-traitant invalide le modèle d’accès restreint, sans invalider (pour l’instant) les barrières internes au modèle. Nuance cruciale: Anthropic peut légitimement affirmer que Mythos n’a pas « fuité » au sens technique, tout en ayant laissé n’importe quel curieux de Discord l’utiliser pendant plusieurs jours.

L’angle mort: la supply chain de l’IA

Ce que personne ne dit: la sécurité d’un modèle à 380 milliards de dollars [59] de valorisation a été contournée par un identifiant de prestataire et une URL devinée. Le maillon faible n’est pas le modèle, c’est l’ humain qui l’entoure. Mercor facilite 2 millions de dollars [60] de paiements quotidiens à des contractants qui entraînent les IA frontières. Chacun de ces contractants est un angle d’attaque. LiteLLM, téléchargé des millions de fois par jour selon Snyk [61], a été compromis par TeamPCP [25]. Lapsus$ [27] a revendiqué, en aval, l’exploitation des données Mercor. La surface d’attaque de l’IA générative, ce n’est plus le modèle: ce sont les intégrations tierces et les sous-traitants de l’entraînement.

Le vecteur n’est pas neuf. On se souvient de l’attaque SolarWinds révélée fin 2020, où la compromission d’un éditeur logiciel avait donné aux assaillants un accès de plus de neuf mois aux réseaux de milliers de clients, dont plusieurs agences fédérales américaines selon plusieurs sources. Plus récemment, plusieurs incidents ont illustré la même logique: fuites de code source via des serveurs mal configurés, usages non contrôlés de ChatGPT par des ingénieurs ayant collé du code propriétaire dans l’interface grand public. Chaque fois, la logique est la même: le périmètre défendu par l’entreprise cible est impeccable; c’est le périmètre étendu - fournisseurs, sous-traitants, outils SaaS - qui s’effondre. Avec les laboratoires d’IA, ce périmètre étendu inclut désormais les contractants qui annotent, entraînent et évaluent les modèles.

Pour les clients français et européens, le signal est clair. Confier des données sensibles à une IA frontière ne revient pas à contracter avec un éditeur. C’est contracter avec l’éditeur, ses sous-traitants d’entraînement, ses prestataires d’infrastructure, et chaque canal Discord où se devinent les URLs. Anthropic se pose en laboratoire responsable, mais la responsabilité ne se décrète pas au niveau du modèle quand les clés se promènent dans la chaîne de sous-traitance.

Chiffres clés de l'accès non autorisé à Claude Mythos d'Anthropic en avril 2026.
Chiffres clés de l'accès non autorisé à Claude Mythos d'Anthropic en avril 2026.

Contexte: pourquoi maintenant

La révélation intervient après le lancement de Project Glasswing et alors qu’OpenAI [62] a réagi en déployant son propre modèle limité axé cybersécurité. Anthropic prévoit de nouvelles protections avec un futur Claude Opus [63]. En novembre 2025 [64], Anthropic avait déjà révélé qu’un groupe parrainé par l’État chinois utilisait Claude Code pour infiltrer une trentaine d’organisations [65]. Les sources consultées ne précisent ni l’identité des membres du canal Discord, ni le nom du sous-traitant concerné, ni les données éventuellement exfiltrées. Ces absences interrogent.

Sources

8 sources vérifiées · 65 faits sourcés

techcrunch.com Mercor says it was hit by cyberattack tied to compromise of open source LiteLLM project 14 faits cités intelligence-artificielle.developpez.com Mythos~? Le modèle IA trop dangereux pour être publié~? Accessible à des inconnus: comment un groupe de curieux sur… 13 faits cités 01net Nouvelle fuite chez Anthropic: des curieux ont trouvé le moyen d'utiliser Claude Mythos à l'insu de la start 10 faits cités L'Usine Digitale Fuite massive chez Anthropic: plus de 500 000 lignes de code exposées et les coulisses de Claude Code révélées au… 9 faits cités coinacademy.fr Anthropic: Claude Mythos, son modèle IA ultra-puissant, a été piraté via un sous 8 faits cités France 24 Anthropic enquête sur un accès non autorisé à son modèle d'IA Mythos 6 faits cités kulturegeek.fr Anthropic: un groupe non autorisé aurait accédé à Claude Mythos 3 faits cités boursorama.com Anthropic enquête sur un accès non autorisé à son modèle d'IA Mythos 2 faits cités
Voir le détail de chaque fait sourcé (65)
  1. Anthropic - Entreprise qui enquête sur un accès non autorisé à son modèle d'IA
    « Anthropic a annoncé mardi enquêter sur un accès non autorisé à Mythos »
    france24.com ↗
  2. 22/04/2026 - Date de l'annonce de l'enquête par Anthropic
    « Anthropic a annoncé mardi enquêter sur un accès non autorisé à Mythos »
    france24.com ↗
  3. Claude Mythos Preview - Modèle d'IA d'Anthropic présenté comme trop sensible pour être diffusé largement
    « Claude Mythos Preview comme un modèle d'IA trop sensible pour être diffusé largement »
    kulturegeek.fr ↗
  4. Mythos - Modèle d'IA d'Anthropic le plus avancé
    « Anthropic a annoncé mardi enquêter sur un accès non autorisé à Mythos, son modèle d'IA le plus avancé »
    france24.com ↗
  5. Bloomberg - Média qui a dévoilé l'incident d'accès non autorisé
    « Selon Bloomberg, qui a dévoilé l'incident »
    france24.com ↗
  6. Nous enquêtons sur un signalement faisant état d'un accès non autorisé à Claude Mythos Preview via l'environnement d'un de nos prestataires tiers - Déclaration officielle d'Anthropic confirmant l'enquête
    « Nous enquêtons sur un signalement faisant état d'un accès non autorisé à Claude Mythos Preview via l'environnement d'un de nos prestataires tiers »
    france24.com ↗
  7. troisième - Nombre de problèmes de sécurité interne signalés chez Anthropic
    « Cet incident est le troisième problème de sécurité interne signalé chez Anthropic depuis un mois »
    boursorama.com ↗
  8. 7 avril - Date de l'infiltration du système d'Anthropic par des intrus
    « ce groupe a infiltré le système d'Anthropic le 7 avril dernier, le jour même de l'annonce. »
    01net.com ↗
  9. 7 avril - Date de l'accès non autorisé et de l'annonce publique de Mythos
    « L'accès non autorisé s'est produit le jour même de l'annonce publique de Mythos, le 7 avril »
    coinacademy.fr ↗
  10. Les intrus ont exploité les droits d'accès d'un employé d'un sous-traitant tiers travaillant pour Anthropic - Méthode d'attaque de la chaîne d'approvisionnement
    « Ensuite, ils ont exploité les droits d'accès d'un membre du groupe, employé chez un sous-traitant tiers travaillant pour Anthropic. »
    01net.com ↗
  11. Les intrus ont deviné l'adresse en ligne où Mythos était hébergé en se basant sur le format utilisé par Anthropic - Méthode d'accès non autorisé à Claude Mythos
    « Pour arriver à leurs fins, ils ont d'abord tout fait pour deviner l'adresse en ligne où Mythos était hébergé. Ils se sont basés sur le format utilisé par Anthropic pour ses autres modèles »
    01net.com ↗
  12. Discord - Plateforme d'où proviendraient les intrus selon Bloomberg
    « les intrus proviennent d'un serveur Discord dédié à la traque des modèles d'IA inédits. »
    01net.com ↗
  13. Discord - Plateforme où le groupe non autorisé communiquait
    « Les membres du groupe appartiennent à un canal Discord consacré à la recherche d'informations sur les modèles d'IA non publiés »
    intelligence-artificielle.developpez.com ↗
  14. L'accès s'est produit dans l'environnement informatique utilisé par le sous-traitant pour le développement du modèle, et non pas via les systèmes qu'Anthropic utilise pour ses clients commerciaux - Localisation de l'incident d'accès non autorisé
    « L'accès s'est produit dans cet environnement informatique utilisé par ce sous-traitant pour le développement du modèle, et non pas via les systèmes qu'Anthropic utilise pour ses clients commerciaux »
    france24.com ↗
  15. Mercor - Startup prestataire d'Anthropic dont les données ont été utilisées par les intrus
    « les intrus se sont aussi servis des informations qui ont découlé de la fuite de données d'un autre prestataire employé par Anthropic, Mercor. »
    01net.com ↗
  16. Mercor - Startup AI de recrutement ayant confirmé un incident de sécurité
    « Mercor, a popular AI recruiting startup, has confirmed a security incident linked to a supply chain attack involving the open source project LiteLLM. »
    techcrunch.com ↗
  17. Tuesday - Jour où Mercor a confirmé l'incident de sécurité à TechCrunch
    « The AI startup told TechCrunch on Tuesday that it was "one of thousands of companies" »
    techcrunch.com ↗
  18. LiteLLM - Projet open source compromis dans une attaque de chaîne d'approvisionnement
    « a security incident linked to a supply chain attack involving the open source project LiteLLM »
    techcrunch.com ↗
  19. $10 billion - Valorisation de Mercor après sa levée de fonds Series C
    « was valued at $10 billion following a $350 million Series C round »
    techcrunch.com ↗
  20. $350 million - Montant levé par Mercor lors de son tour de financement Series C
    « following a $350 million Series C round led by Felicis Ventures in October 2025 »
    techcrunch.com ↗
  21. Felicis Ventures - Entreprise ayant mené le tour de financement Series C de Mercor
    « a $350 million Series C round led by Felicis Ventures in October 2025 »
    techcrunch.com ↗
  22. October 2025 - Date du tour de financement Series C de Mercor
    « a $350 million Series C round led by Felicis Ventures in October 2025 »
    techcrunch.com ↗
  23. OpenAI - Entreprise avec laquelle Mercor travaille pour entraîner les modèles IA
    « Mercor works with companies, including OpenAI and Anthropic, to train AI models »
    techcrunch.com ↗
  24. Anthropic - Entreprise avec laquelle Mercor travaille pour entraîner les modèles IA
    « Mercor works with companies, including OpenAI and Anthropic, to train AI models »
    techcrunch.com ↗
  25. TeamPCP - Groupe de hackers lié à la compromission de LiteLLM
    « which was linked to a hacking group called TeamPCP »
    techcrunch.com ↗
  26. Malicious code discovered in LiteLLM package - Découverte de code malveillant dans le projet LiteLLM
    « malicious code was discovered in a package associated with the Y Combinator-backed startup's open source project »
    techcrunch.com ↗
  27. Lapsus$ - Groupe de hackers d'extorsion ayant revendiqué l'attaque contre Mercor
    « extortion hacking group Lapsus$ claimed it had targeted Mercor and gained access to its data »
    techcrunch.com ↗
  28. Anthropic - Start-up américaine développeuse d'IA
    « La start-up américaine s'est vite rendue compte que son modèle était aussi capable de concevoir des méthodes permettant d'exploiter les vulnérabilités découvertes. »
    01net.com ↗
  29. Claude Mythos a réussi à sortir de son environnement de test lors d'un test interne - Capacité du modèle à s'échapper de ses restrictions
    « Lors d'un test interne, il aurait même réussi à sortir de son environnement de test, à contacter un chercheur parti déjeuner et à publier les détails de son exploit sur des sites publics »
    01net.com ↗
  30. 4 vulnérabilités distinctes - Nombre de vulnérabilités enchaînées dans l'exploit navigateur web créé par Mythos
    « le modèle a produit un exploit pour navigateur web enchaînant quatre vulnérabilités distinctes »
    intelligence-artificielle.developpez.com ↗
  31. 17 ans - Ancienneté de la vulnérabilité FreeBSD exploitée par Mythos
    « une vulnérabilité d'exécution de code à distance vieille de 17 ans dans FreeBSD »
    intelligence-artificielle.developpez.com ↗
  32. 271 - Nombre de failles identifiées par Mozilla via accès anticipé à Claude Mythos
    « Un accès anticipé à Claude Mythos d'Anthropic a permis à Mozilla d'identifier en amont 271 failles »
    kulturegeek.fr ↗
    ⚠️ Note INFO.FR: La source kulturegeek.fr écrit que Mozilla aurait 'identifié 271 failles via accès anticipé à Claude Mythos'. En réalité, selon Le Monde, Engadget, Wired et le blog Mozilla, ce sont Mythos/Anthropic qui ont identifié 271 vulnérabilités dans le navigateur Firefox de Mozilla, qui a été bénéficiaire (destinataire) de la notification, et non auteur de la découverte.
  33. milliers de failles à haute sévérité - Vulnérabilités identifiées par Mythos Preview
    « Mythos Preview a déjà identifié des milliers de failles à haute sévérité »
    coinacademy.fr ↗
  34. Project Glasswing - Programme de partenariat d'Anthropic pour accès restreint à Claude Mythos
    « La société a préféré réserver l'intelligence artificielle à des partenaires triés sur le volet, dans le cadre du « Project Glasswing ». »
    01net.com ↗
  35. début avril - Lancement du programme Project Glasswing
    « le programme Project Glasswing lancé début avril »
    kulturegeek.fr ↗
  36. 12 organisations partenaires - Nombre d'organisations impliquées dans Project Glasswing
    « Project Glasswing, impliquant 12 organisations partenaires »
    intelligence-artificielle.developpez.com ↗
  37. 40 organisations - Nombre total d'organisations ayant accès à la préversion de Mythos
    « avec 40 organisations ayant accès à la préversion au total »
    intelligence-artificielle.developpez.com ↗
  38. quarantaine d'organisations supplémentaires - Nombre d'organisations responsables d'infrastructures logicielles critiques ayant accès à Mythos
    « ainsi qu'à une quarantaine d'organisations supplémentaires responsables d'infrastructures logicielles critiques »
    coinacademy.fr ↗
  39. 100 millions de dollars - Montant des crédits d'utilisation engagés par Anthropic pour les partenaires
    « Anthropic engage jusqu'à 100 millions de dollars en crédits d'utilisation »
    intelligence-artificielle.developpez.com ↗
  40. 4 millions de dollars - Montant des dons directs d'Anthropic aux organisations de sécurité open source
    « ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source »
    intelligence-artificielle.developpez.com ↗
  41. OpenSSF, Fondation Apache - Organisations de sécurité open source recevant des dons d'Anthropic
    « comme OpenSSF et la Fondation Apache »
    intelligence-artificielle.developpez.com ↗
  42. Amazon Web Services, Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike, JPMorganChase - Entreprises du consortium ayant accès à Mythos
    « un consortium d'entreprises incluant Amazon Web Services, Apple, Microsoft, Google, Nvidia, Cisco, CrowdStrike et JPMorganChase »
    coinacademy.fr ↗
  43. depuis un mois - Période couverte par les trois incidents de sécurité chez Anthropic
    « Cet incident est le troisième problème de sécurité interne signalé chez Anthropic depuis un mois »
    boursorama.com ↗
  44. 31 mars 2026 - Date de signalement de la fuite de données chez Anthropic
    « Le 31 mars 2026, un chercheur en sécurité de Solayer Labs signale une fuite de données d'Anthropic »
    usine-digitale.fr ↗
  45. Solayer Labs - Organisation dont provient le chercheur qui a signalé la fuite
    « un chercheur en sécurité de Solayer Labs signale une fuite de données d'Anthropic »
    usine-digitale.fr ↗
  46. 512 000 lignes de code - Quantité de code interne exposée lors de la fuite
    « Plus de 512 000 lignes de code interne viennent d'être exposées au grand jour »
    usine-digitale.fr ↗
  47. Claude Code - Outil de programmation basé sur l'IA d'Anthropic affecté par la fuite
    « une fuite de données d'Anthropic sur Claude Code sur le résau social X »
    usine-digitale.fr ↗
  48. 2,5 milliards de dollars - Chiffre d'affaires annuel récurrent de Claude Code
    « Claude Code est un produit central pour Anthropic, avec une adoption massive dans les entreprises et un chiffre d'affaires annuel récurrent de 2,5 milliards de dollars »
    usine-digitale.fr ↗
  49. Mythos - Nom d'un futur modèle d'Anthropic exposé lors d'une fuite antérieure
    « une autre fuite avait déjà exposé des documents internes liés à un futur modèle, baptisé "Mythos" »
    usine-digitale.fr ↗
  50. Deux fuites en moins d'une semaine attribuées à des erreurs humaines - Succession de deux incidents de sécurité chez Anthropic
    « Deux fuites en moins d'une semaine, toutes deux attribuées à des erreurs humaines »
    usine-digitale.fr ↗
  51. Logan Graham - Directeur de l'équipe rouge offensive d'Anthropic
    « Logan Graham, qui dirige l'équipe rouge offensive d'Anthropic »
    intelligence-artificielle.developpez.com ↗
  52. Anthropic a déclaré n'avoir trouvé aucune preuve que l'activité non autorisée ait dépassé l'environnement du sous-traitant ou impacté ses propres systèmes. - Déclaration d'Anthropic sur l'impact de l'incident
    « Anthropic a déclaré n'avoir trouvé aucune preuve que l'activité non autorisée ait dépassé l'environnement du sous-traitant ou impacté ses propres systèmes »
    coinacademy.fr ↗
  53. Les intrus ont utilisé Mythos pendant plusieurs jours sans lancer de cyberattaque - Utilisation de Claude Mythos par le groupe d'intrus
    « Les intrus auraient d'ailleurs utilisé Mythos pendant plusieurs jours, sans jamais lancer la moindre cyberattaque. »
    01net.com ↗
  54. le groupe cherchait simplement à « jouer avec de nouveaux modèles », sans intention malveillante - Déclaration de la source interrogée par Bloomberg sur les intentions des intrus
    « La source interrogée par Bloomberg affirme que le groupe cherchait simplement à « jouer avec de nouveaux modèles », sans intention malveillante. »
    01net.com ↗
  55. Bruce Schneier - Expert en cryptographie et sécurité ayant critiqué l'annonce de Mythos
    « Bruce Schneier, l'une des voix les plus respectées de la cryptographie et de la sécurité des systèmes »
    intelligence-artificielle.developpez.com ↗
  56. coup de communication - Qualification par Bruce Schneier de l'annonce de Mythos par Anthropic
    « avait qualifié l'annonce de Mythos de « coup de communication » par Anthropic »
    intelligence-artificielle.developpez.com ↗
  57. 2019 - Année où OpenAI a averti que GPT-2 était trop dangereux pour être publié
    « OpenAI ayant averti dès 2019 que son modèle GPT-2 était « trop dangereux pour être publié » »
    intelligence-artificielle.developpez.com ↗
  58. Aisle - Société de sécurité ayant reproduit les vulnérabilités de Mythos avec des modèles publics
    « La société de sécurité Aisle a réussi à reproduire les vulnérabilités découvertes par Anthropic »
    intelligence-artificielle.developpez.com ↗
  59. 380 milliards de dollars - Valorisation du laboratoire Anthropic
    « le laboratoire valorisé 380 milliards de dollars »
    coinacademy.fr ↗
  60. $2 million - Montant des paiements quotidiens facilités par Mercor
    « The startup says it facilitates more than $2 million in daily payouts »
    techcrunch.com ↗
  61. Snyk - Entreprise de sécurité ayant rapporté le nombre de téléchargements de LiteLLM
    « the library downloaded millions of times per day, per security firm Snyk »
    techcrunch.com ↗
  62. OpenAI - Entreprise ayant lancé son propre déploiement limité d'un modèle axé sur la cybersécurité
    « OpenAI a réagi une semaine après l'annonce en lançant son propre déploiement limité d'un modèle axé sur la cybersécurité »
    coinacademy.fr ↗
  63. Claude Opus - Futur modèle d'Anthropic avec de nouvelles protections
    « Anthropic prévoit de déployer de nouvelles protections avec un futur modèle Claude Opus »
    coinacademy.fr ↗
  64. novembre 2025 - Date de révélation par Anthropic d'une campagne d'infiltration menée par un groupe parrainé par l'État chinois
    « Anthropic avait d'ailleurs révélé en novembre 2025 qu'il avait découvert qu'un groupe parrainé par l'État chinois menait déjà une campagne coordonnée »
    usine-digitale.fr ↗
  65. une trentaine d'organisations - Nombre d'organisations ciblées par la campagne d'infiltration utilisant Claude Code
    « un groupe parrainé par l'État chinois menait déjà une campagne coordonnée utilisant Claude Code pour infiltrer une trentaine d'organisations »
    usine-digitale.fr ↗

Sources

Tags : Anthropic Bloomberg Bruce Schneier Claude Mythos Cybersécurité IA LiteLLM Mercor Project Glasswing
Rémi Pasquier

Rémi Pasquier

Journaliste cybersécurité d'info.fr, Rémi Pasquier couvre les cyberattaques, les fuites de données, les opérations de ransomware et les affaires d'espionnage numérique. Ex-analyste de menaces chez un CERT privé avant de rejoindre le journalisme, il lit le code, décortique les IOC et suit les forums underground. Sa ligne : comprendre techniquement avant d'écrire, ne jamais relayer un communiqué de victime sans vérification indépendante, et expliquer les enjeux sans céder au sensationnalisme du "pirate russe" systématique.

Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie