Votre IA est-elle conforme ? Inscrivez-vous dès aujourd'hui

Industrie

Claude Mythos a tout changé. Vos API sont la première cible.

April 14, 2026

Roey Eliyahu
CEO & Co-founder

Anthropic vient de publier Claude Mythos Preview. Ils ne l'ont pas rendu accessible au public. Cette seule décision devrait vous en dire long sur ce que ce modèle est capable de faire.

Lors de tests internes, Mythos a découvert et exploité de manière autonome des vulnérabilités zero-day sur tous les principaux systèmes d'exploitation et navigateurs web. Il a trouvé une faille vieille de 27 ans dans OpenBSD. Une vulnérabilité vieille de 16 ans dans un codec multimédia largement utilisé. Il a déjà identifié des milliers de failles critiques que les défenseurs n'avaient jamais vues.

Anthropic était si préoccupé par les implications offensives qu'il a informé la Réserve fédérale, le Département du Trésor et la Cybersecurity and Infrastructure Security Agency avant le lancement. La Fed et le Trésor ont convoqué une réunion d'urgence avec les PDG des grandes banques spécifiquement pour discuter de la cybermenace que représente ce modèle.

Prenez la mesure de cela. Un seul modèle d'IA a déclenché une réunion d'urgence aux plus hauts niveaux du système financier mondial.

La question n'est plus de savoir si l'IA peut pirater à grande échelle. Nous savons maintenant qu'elle le peut. La question est de savoir si votre surface d'attaque est prête.

Ce n'est pas un problème futur

Je veux être direct sur ce que Mythos représente pour chaque équipe de sécurité. Ce n'est pas un avertissement sur la direction que prend l'IA. C'est une description de l'état actuel de l'IA.

Mythos est décrit par Anthropic comme un saut qualitatif par rapport à tous les modèles qui l'ont précédé, y compris leurs propres modèles Opus. Il se situe dans une catégorie de capacités entièrement nouvelle. Et bien qu'Anthropic ait restreint l'accès à un consortium de partenaires défensifs, cette limitation d'accès ne durera pas éternellement. Les modèles de ce niveau de capacité ne restent pas confinés.

Les propres recherches de CrowdStrike ont révélé une augmentation de 89 % des attaques assistées par l'IA d'une année sur l'autre. Et c'était avant Mythos. Les attaquants utilisent déjà l'IA. L'écart entre la capacité offensive de l'IA et la préparation défensive de l'IA s'élargit chaque mois.

Téléchargez notre eBook : L'état de la sécurité de l'IA et des API : Naviguer dans l'ère agentique

Le cas McKinsey : Ce qui se passe lorsque les API passent inaperçues

Nous avons déjà vu ce scénario. L'une des entreprises les plus sophistiquées du monde. Des API non authentifiées laissées exposées. Un attaquant en trouve une. Il pivote à travers l'environnement. En quelques heures, une compromission massive de données.

Cette attaque a été exécutée par un humain. Mettez maintenant Mythos entre les mains de cet attaquant.

Un agent IA capable de raisonner de manière autonome sur le code, d'enchaîner des exploits en plusieurs étapes, d'exécuter des milliers de sondes parallèles, et de ne jamais s'arrêter, de ne jamais dormir, de ne jamais manquer un point d'accès, ne se déplace pas à la vitesse humaine. Il se déplace à la vitesse d'une machine. La fenêtre entre la découverte d'une vulnérabilité et son exploitation active se réduit à presque zéro.

Vous ne pouvez pas corriger ce que vous ne pouvez pas voir. Et à l'heure actuelle, la plupart des organisations ne peuvent pas voir l'intégralité de leur surface d'attaque API.

La surface d'attaque que personne ne surveille

Voici la dure vérité : l'explosion de l'IA agentique a créé une nouvelle surface d'attaque massive que la plupart des équipes de sécurité n'ont pas inventoriée, et encore moins protégée.

Chaque agent IA de votre environnement communique via des API. Chaque serveur MCP. Chaque intégration interne. Chaque connexion tierce. Chaque API fantôme qu'un développeur a mise en place le trimestre dernier et dont votre équipe de sécurité ignore l'existence.

Chacun d'eux est un point d'entrée potentiel pour un modèle comme Mythos. Et les anciens outils de sécurité des API ont été conçus pour un monde où les attaquants étaient humains. Ils n'ont pas été conçus pour une IA capable d'énumérer l'intégralité de votre couche agentique en quelques minutes.

C'est précisément pourquoi Salt a développé la plateforme de sécurité agentique. Non pas parce que cela allait arriver. Mais parce que c'est déjà là.

Connaissez votre périmètre. Corrigez-le avant qu'ils ne le trouvent.

La réponse à une menace comme Mythos n'est pas la panique. C'est la discipline. Et cela commence par trois choses.

Premièrement : la visibilité. Vous avez besoin d'une découverte complète et en temps réel de chaque actif API dans votre environnement. Pas seulement vos API documentées. Vos serveurs MCP, vos connexions internes et externes, vos intégrations tierces, vos API fantômes. Si elle peut être appelée, vous devez savoir qu'elle existe. Le graphique de sécurité agentique de Salt vous fournit cette cartographie en continu.

Deuxièmement : la posture. Une fois que vous pouvez visualiser l'intégralité de votre surface d'attaque, l'AG-SPM de Salt vous indique où vous êtes exposé. Quelles API ne sont pas authentifiées. Lesquelles ont des permissions excessives. Quels comportements ressemblent à de la reconnaissance. Vous obtenez une vue réelle de votre posture, et non un instantané ponctuel.

Troisièmement : l'urgence. Vulnérabilités priorisées. Chemins de remédiation clairs. Délai de rentabilisation rapide. Aucun déploiement d'agent externe requis. L'objectif est de trouver et de corriger vos expositions avant que Mythos, ou ce qui viendra après Mythos, ne les trouve pour quelqu'un d'autre.

Les organisations qui agissent maintenant seront celles qui éviteront la prochaine génération de gros titres sur les violations de données. Celles qui attendront serviront d'étude de cas.

C'est le moment.

Le PDG d'Anthropic a lui-même écrit que si nous faisons les choses correctement, il y a une réelle opportunité de construire un internet fondamentalement plus sécurisé. Je le crois. Mais pour y parvenir, les défenseurs doivent agir aussi vite que la menace.

L'événement décisif est là. Mythos est une réalité. La surface d'attaque qu'il ciblera est constituée de vos API, de votre infrastructure agentique, de votre couche MCP. Salt a été conçu précisément pour ce moment.

Commencez par la visibilité. Commencez maintenant.

Salt Security propose une évaluation gratuite de la sécurité agentique afin que vous puissiez cartographier l'intégralité de votre surface d'attaque agentique en quelques minutes, et non en plusieurs mois.

Obtenez votre évaluation gratuite sur salt.security/agentic-assessment

Blog de Salt Security

Inscrivez-vous à la newsletter Salt pour recevoir les dernières ressources et articles de blog.

Nos derniers articles