Aller au contenu principal
Le Fil RobotiqueLe Fil Robotique
Mythos a exploité de façon autonome des failles ignorées depuis 27 ans : les équipes de sécurité doivent changer d'approche
AutreVentureBeat AI1sem

Mythos a exploité de façon autonome des failles ignorées depuis 27 ans : les équipes de sécurité doivent changer d'approche

1 source couvre ce sujet·Source originale ↗·

Un bug vieux de 27 ans dormait dans la pile TCP d'OpenBSD, l'un des systèmes d'exploitation les plus réputés pour sa sécurité. Des auditeurs humains l'avaient examiné, des outils de fuzzing l'avaient martelé des millions de fois, et pourtant deux paquets réseau suffisaient à faire crasher n'importe quel serveur tournant dessus. C'est Claude Mythos Preview, le nouveau modèle d'Anthropic, qui l'a découvert de manière entièrement autonome, sans aucune guidance humaine après le prompt initial. Le coût total de la campagne de découverte : environ 20 000 dollars. Le coût de l'exécution spécifique qui a trouvé la faille : moins de 50 dollars. Ce n'était pas un cas isolé : Mythos a également identifié une faille de 16 ans dans le codec H.264 de FFmpeg, que les fuzzeurs avaient pourtant exercé 5 millions de fois sans jamais la déclencher, une faille d'exécution de code à distance dans FreeBSD NFS vieille de 17 ans (CVE-2026-4747), permettant un accès root non authentifié depuis internet, et des milliers d'autres zero-days touchant tous les grands systèmes d'exploitation et navigateurs. Sur les tests comparatifs, Mythos dépasse Claude Opus 4.6 de manière spectaculaire : 181 exploits réussis contre 2 sur Firefox 147, un score de 77,8 % contre 53,4 % sur SWE-bench Pro, et 83,1 % contre 66,6 % sur CyberGym. Mythos a saturé le CTF interne Cybench d'Anthropic à 100 %, contraignant l'équipe rouge à basculer vers la découverte de zero-days réels comme seule évaluation pertinente.

La portée de ces capacités redéfinit ce que l'industrie de la sécurité considérait comme possible. Des ingénieurs d'Anthropic sans formation formelle en sécurité ont demandé à Mythos de trouver des vulnérabilités d'exécution de code à distance pendant la nuit, et se sont réveillés avec un exploit fonctionnel complet. Ce n'est plus de l'analyse de code assistée : c'est un raisonnement sémantique autonome sur des interactions logicielles complexes que ni les outils statiques (SAST), ni le fuzzing, ni les auditeurs humains n'avaient su intercepter en plusieurs décennies. Les directeurs de sécurité reçoivent la nouvelle sans recevoir le manuel d'urgence.

Pour tenter de canaliser cette capacité vers la défense avant qu'elle ne soit massivement utilisée à des fins offensives, Anthropic a constitué le Project Glasswing, une coalition de 12 partenaires incluant CrowdStrike, Cisco, Palo Alto Networks, Microsoft, AWS, Apple et la Linux Foundation. L'initiative est soutenue par 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en subventions open-source, avec plus de 40 organisations supplémentaires accédant au modèle pour auditer leur propre infrastructure. Anthropic s'est engagé à publier un rapport public des découvertes d'ici 90 jours, soit début juillet 2026. Anthony Grieco, SVP et Chief Security Officer de Cisco, résumait l'ambivalence du moment lors de la RSA Conference 2026 : "Je n'ai jamais été aussi optimiste pour ce que nous pouvons accomplir en sécurité. C'est aussi un peu terrifiant, parce que nos adversaires ont cette même capacité."

Impact France/UE

Les failles zero-day découvertes de manière autonome dans OpenBSD, FFmpeg et FreeBSD exposent des infrastructures critiques largement déployées en Europe, tandis que l'absence d'acteurs européens dans la coalition Project Glasswing interroge sur la capacité de l'UE à bénéficier des mécanismes de divulgation responsable mis en place par Anthropic.

💬 Le point de vue du dev

Un bug de 27 ans dans OpenBSD, trouvé pour moins de 50 dollars, là où des millions de passes de fuzzing avaient rien vu. C'est le genre de chiffre qui te fait relire deux fois. Ce qui change vraiment, c'est pas que le modèle soit "fort en sécu", c'est qu'il raisonne sur les interactions entre composants, là où tous nos outils s'arrêtent à la surface. Project Glasswing, c'est bien, mais 12 partenaires américains et zéro européen dans la coalition, ça dit quelque chose sur où se prennent les décisions qui vont compter.

À lire aussi

Un système d'IA apprend à fluidifier la circulation des robots en entrepôt
1Robohub 

Un système d'IA apprend à fluidifier la circulation des robots en entrepôt

Des chercheurs du MIT et de la société américaine Symbotic ont publié le 20 avril 2026 dans le Journal of Artificial Intelligence Research un système hybride capable de coordonner en temps réel des flottes de centaines de robots autonomes (AMR) dans des entrepôts e-commerce à grande échelle. La méthode repose sur un réseau de neurones entraîné par apprentissage par renforcement profond (deep RL), qui décide en continu lesquels des robots doivent être priorisés à chaque instant en fonction de la formation de congestions. Une fois cette décision prise, un algorithme de planification déterministe transmet les instructions aux robots pour qu'ils se reroutent avant d'atteindre un point de blocage. Dans des simulations inspirées de layouts réels d'entrepôts e-commerce, le système a atteint un gain de débit (throughput) d'environ 25 % par rapport aux méthodes de référence actuelles. Han Zheng, doctorant au Laboratory for Information and Decision Systems (LIDS) du MIT et auteur principal, précise que même une amélioration de 2 à 3 % du throughput représente un impact économique significatif à cette échelle. L'enjeu opérationnel est concret : dans un entrepôt dense, une collision ou un embouteillage mineur peut forcer l'arrêt complet du site pendant plusieurs heures pour intervention manuelle, un coût inacceptable pour les opérateurs logistiques. Ce que prouve ce travail, c'est que le deep RL peut dépasser les performances des algorithmes conçus par des experts humains sur un problème combinatoire dynamique, là où les heuristiques classiques peinent à s'adapter aux variations de charge ou de topologie. Le système démontre aussi une capacité de généralisation : entraîné sur certains layouts, il s'adapte à des configurations différentes (nombre de robots, géométrie de l'entrepôt) sans réentraînement complet. Pour les intégrateurs et les COO industriels, cela signifie qu'un modèle unique pourrait être déployé sur plusieurs sites sans re-paramétrage lourd, réduisant le coût de mise en oeuvre. Il faut toutefois noter que les résultats présentés restent à ce stade issus de simulations, et qu'aucun déploiement réel en production n'est encore documenté dans la publication. Symbotic, partenaire industriel de ces travaux, est un acteur américain spécialisé dans l'automatisation d'entrepôts qui équipe notamment les centres de distribution de Walmart et de C&S Wholesale Grocers. La collaboration avec le groupe de Cathy Wu (professeure associée en génie civil et environnemental au MIT, membre du LIDS) s'inscrit dans une tendance plus large d'intégration de méthodes d'IA avancées dans la gestion de flottes robotiques, un domaine où l'on retrouve également des approches concurrentes chez Amazon Robotics, 6 River Systems (Shopify) et Locus Robotics. Du côté européen, des acteurs comme Exotec (France), dont le système Skypod opère dans des entrepôts Decathlon et Carrefour, s'appuient encore principalement sur des planificateurs déterministes ; ce type de travaux pourrait orienter leurs prochaines générations de software. La prochaine étape logique pour l'équipe MIT/Symbotic sera une validation en environnement réel, dont aucune timeline n'est encore annoncée publiquement.

UEExotec (France), dont le système Skypod s'appuie sur des planificateurs déterministes dans les entrepôts Decathlon et Carrefour, pourrait s'orienter vers ce type d'approches RL hybrides pour ses prochaines générations de software de gestion de flotte.

AutrePaper
1 source
La manipulation dextre des robots en discussion : épisode 152 du Robot Talk avec Rich Walker
2Robohub 

La manipulation dextre des robots en discussion : épisode 152 du Robot Talk avec Rich Walker

Shadow Robot Company, entreprise britannique spécialisée dans la manipulation dextre, est à nouveau sous les projecteurs avec la participation de son directeur Rich Walker au podcast Robot Talk (épisode 152). Rich Walker, présent dans la société bien avant sa formalisation en entreprise, a débuté en ingénierie logicielle et systèmes avant de basculer vers la direction. Il y pilote aujourd'hui les engagements de recherche, les projets de démonstration industrielle et le programme de politique publique de Shadow Robot. La dextérité robotique reste l'un des verrous techniques les plus durs du secteur : reproduire les 27 degrés de liberté de la main humaine avec la fiabilité et la force nécessaires à un usage industriel est un défi que peu d'acteurs ont résolu à l'échelle. Shadow Robot figure parmi les rares à proposer des mains robotiques commerciales pour la recherche et l'industrie, ce qui leur confère une position de référence dans les laboratoires internationaux et auprès d'intégrateurs cherchant à automatiser des tâches de manipulation fine. Walker siège également au conseil d'euRobotics, le lobby européen qui regroupe les PME du secteur, ce qui positionne Shadow Robot comme influenceur dans les politiques R&D européennes. Fondée à Londres, Shadow Robot a construit sa réputation sur des décennies de travail en manipulation humanoïde, bien avant que les humanoides complets ne dominent le débat. Dans un marché aujourd'hui concurrencé par des acteurs comme Agility Robotics, Figure ou Apptronik sur le segment des bras et effecteurs, Shadow Robot maintient un positionnement de niche à haute valeur technique. Cet épisode de podcast reste davantage un format de visibilité sectorielle qu'une annonce produit concrète.

UERich Walker siège au conseil d'euRobotics, positionnant Shadow Robot comme influenceur dans les politiques R&D européennes en manipulation dextre, mais sans annonce concrète impactant directement le marché FR/EU.

AutreActu
1 source