La fuite Claude Mythos expliquée : que s'est-il passé le 26 mars
Une erreur de configuration CMS a exposé le modèle d'IA le plus puissant d'Anthropic et près de 3 000 documents internes. Reconstitution complète de l'incident.
En bref : Le 26 mars 2026, une erreur de configuration du CMS d’Anthropic a rendu accessibles sur Internet environ 3 000 fichiers non publiés, dont un brouillon de blog décrivant un nouveau palier de modèle baptisé « Capybara » et son premier modèle, Claude Mythos. La couverture médiatique a été immédiate, les valeurs de cybersécurité ont plongé — environ 400 milliards de dollars de capitalisation se sont évaporés — et Anthropic a dû confirmer l’existence du modèle en avance sur son calendrier.
Comment la fuite de Claude Mythos a été découverte
Au petit matin du 26 mars 2026, les chercheurs en sécurité Roy Paz (LayerX Security) et Alexandre Pauwels (Université de Cambridge) ont repéré une faille de configuration dans le CMS d’Anthropic : un grand volume de fichiers internes était accessible sans authentification.
Le matériel exposé comprenait environ 3 000 éléments — brouillons de blog, spécifications de modèles, fichiers de développement interne. Rien de tout cela n’était destiné à être vu de l’extérieur.
Le document le plus sensible était un brouillon de blog décrivant en détail un modèle d’IA inédit. En quelques heures, des captures d’écran et des extraits circulaient sur les réseaux sociaux et les forums de sécurité. Tout confinement était devenu impossible.
Ce que la fuite a révélé
Le brouillon filtré décrivait un nouveau palier que l’entreprise appelait en interne « Capybara ». Claude Mythos était le premier modèle de ce palier. Le document le qualifiait de « saut qualitatif » dans les capacités de l’IA — pas une mise à jour incrémentale, mais un changement de niveau.
Selon le brouillon, Claude Mythos obtenait des « scores spectaculairement plus élevés » en programmation, raisonnement et cybersécurité. La formulation était inhabituellement directe pour Anthropic : « très en avance sur tout autre modèle d’IA en matière de capacités cyber ».
Aucun chiffre concret de performance n’était inclus. Toutes les descriptions étaient qualitatives, rendant la vérification indépendante impossible pour l’instant.
Le brouillon mentionnait aussi la stratégie de déploiement : un lancement par phases, pas une ouverture générale. « Nous adopterons une approche plus lente et plus progressive pour Mythos que pour tout autre modèle. »
La couverture médiatique
Fortune a publié l’exclusivité le jour même, le 26 mars.
Le 27 mars, CNBC, CoinDesk, The Decoder et Futurism ont suivi avec leurs propres analyses.
La réaction du marché a été rapide et brutale. Données du 27 mars :
- ETF iShares Cybersecurity : -4,5 %
- CrowdStrike, Palo Alto Networks, Zscaler : environ -6 % chacun
- SentinelOne : environ -6 %
- Okta et Netskope : plus de -7 %
- Tenable : environ -9 %, la plus forte baisse
L’indice mondial de cybersécurité a chuté de 4,2 % en 24 heures. On estime que 400 milliards de dollars de capitalisation ont disparu.
La réponse d’Anthropic
Peu après la publication de la fuite, Anthropic a confirmé l’existence de Claude Mythos. Le communiqué insistait sur un « déploiement responsable ».
Le modèle a été décrit comme « très coûteux à faire fonctionner ». L’accès initial était réservé aux défenseurs cyber, conformément à la stratégie par phases décrite dans le brouillon.
Anthropic n’a pas expliqué comment l’erreur de configuration du CMS s’est produite ni pendant combien de temps les fichiers sont restés accessibles.
Ce qui reste non confirmé
Malgré l’abondance de matériel filtré et de couverture médiatique, plusieurs détails clés restent non vérifiés.
⚠️ Benchmarks concrets : Le brouillon n’utilise que des descriptions qualitatives. Aucun score chiffré ni tableau comparatif n’a été publié.
⚠️ Prix : Anthropic a dit « très coûteux à faire fonctionner » mais n’a révélé ni prix API ni conditions de licence.
⚠️ Fenêtre de contexte : Aucune information sur la taille de la fenêtre de contexte du modèle.
⚠️ Calendrier de lancement : Anthropic a indiqué « élargir progressivement l’accès dans les semaines à venir », sans dates précises.
Tant qu’Anthropic ne publiera pas de documentation technique officielle ou que des chercheurs indépendants n’auront pas mené d’évaluations vérifiées, ces lacunes persisteront.
Pour aller plus loin
- Comparatif des modèles Claude Mythos — Comparaison par dimension
- Analyse d’impact sécurité — Conséquences pour la cybersécurité
- Chronologie de la fuite — Reconstitution heure par heure
- Qu’est-ce que Claude Mythos (Capybara) ? — Le palier Capybara et la position de Mythos