Since Anthropic launched Claude Mythos in early April, financial supervisors have been increasingly alarmed, with concern spreading from London to Frankfurt. The model is being described as a frontier system with unprecedented software-vulnerability detection capabilities, reportedly outperforming “all humans except the most expert.” Regulators fear the first targets could be banking IT systems, which are especially exposed because of their age and complexity.

The European Central Bank is preparing to question the banks it supervises directly about their readiness for this new cyber risk. The ECB has already classified technological risk as one of its priorities for 2026-2028, and, according to a Reuters source, it is currently gathering information on the model ahead of discussions with eurozone lenders.

Germany is also mobilizing. The Bundesverband deutscher Banken said it is consulting the cyber experts of member banks, as well as the finance ministry, the Bundesbank and the BaFin regulator. The association said Mythos is being used in a controlled way by cybersecurity firms to close potential vulnerabilities as quickly as possible, and that it expects a series of software updates soon while monitoring developments closely. BaFin, for its part, warned financial firms that they must be ready for vulnerabilities to be discovered in the near future and addressed rapidly.

In the UK, the response has been equally forceful. Technology Secretary Liz Kendall and Security Minister Dan Jarvis sent an open letter to British companies saying Mythos is “substantially more capable in cyber offense” than any model previously assessed by the government’s AI Security Institute. They said this new generation of AI can now find software flaws, write exploit code, and do so at a speed and scale that would have been impossible a year ago. Bank of England Governor Andrew Bailey has also said it is urgent for central banks and financial regulators to understand the implications of the model quickly, and meetings have already been held between the Bank of England, the Financial Conduct Authority, the Treasury and the National Cyber Security Centre.

Anthropic itself has acknowledged the danger. Claude Mythos Preview, the current version, will not be released to the public precisely because of its offensive capabilities. The company says the model can identify and exploit flaws in “every major operating system and every major web browser,” and has already found thousands of major vulnerabilities in widely used software. To manage deployment, Anthropic launched Project Glasswing, a controlled program allowing around 40 selected organizations — including Microsoft, Google, JPMorgan Chase, cybersecurity vendors and other major tech players — to test the model privately and prepare defenses.

The alarm has reached the United States as well. On April 8, Treasury Secretary Scott Bessent and Fed Chair Jerome Powell urgently convened the CEOs of major Wall Street banks in Washington to warn them about the cyber risks posed by Mythos. Bloomberg reported the presence of Citigroup, Morgan Stanley, Bank of America, Wells Fargo and Goldman Sachs. Donald Trump also publicly acknowledged the threat on Wednesday, saying he supported government protection measures.

Depuis le lancement, début avril, du modèle Claude Mythos par Anthropic, les autorités de supervision financière ne cachent plus leur inquiétude. L’appréhension se propage de Londres à Francfort.

En cause, les capacités jugées sans précédent de ce modèle frontier qui dispose de capacités en détection de vulnérabilités logicielles surpassent « tous les humains sauf les plus experts ».

Une menace qui pourrait cibler en premier lieu les systèmes d’information bancaires, réputés pour l’ancienneté et la complexité de leurs infrastructures technologiques.

Les superviseurs de la Banque centrale européenne (BCE) s’apprêtent à interroger directement les banques placées sous leur surveillance sur leur niveau de préparation face à ce nouveau risque. Elle a classé le risque technologique parmi ses priorités pour la période 2026-2028,

Selon une source citée par Reuters, la BCE collecte actuellement des informations sur le modèle, préalablement à un tour de table avec les établissements financiers de la zone euro. r.

L’Allemagne en ordre de bataille

Outre-Rhin, la mobilisation est également en cours. L’Association bancaire allemande (Bundesverband deutscher Banken), a confirmé que des consultations étaient engagées avec les experts cyber des banques membres, ainsi qu’avec le ministère des Finances, la Bundesbank et l’autorité de régulation financière BaFin.

« Mythos est utilisé de manière contrôlée par des sociétés de sécurité informatique afin de combler aussi rapidement que possible les vulnérabilités potentielles. Nous attendons une série de mises à jour logicielles prochainement et suivons les développements de près », a-t-il indiqué à Reuters.

De son côté, la BaFin a tenu à alerter le secteur : « Les entreprises financières doivent se préparer à la possibilité que des vulnérabilités soient découvertes dans un avenir proche, qui devront alors être traitées rapidement. »

Londres et Washington sonnent l’alarme

La réaction des autorités britanniques est tout aussi ferme. La secrétaire d’État à la Technologie, Liz Kendall, et le ministre à la Sécurité, Dan Jarvis, ont adressé une lettre ouverte aux entreprises du Royaume-Uni, affirmant que Mythos était « substantiellement plus capable en matière d’offensive cyber » que tout modèle précédemment évalué par l’AI Security Institute du gouvernement.

Ils y décrivent une nouvelle génération d’IA désormais capable « de trouver des failles dans les logiciels, d’écrire le code pour les exploiter, et ce à une vitesse et une échelle qui auraient été impossibles il y a encore un an ».

Le gouverneur de la Banque d’Angleterre, Andrew Bailey, a lui aussi jugé urgent, en début de semaine, que banques centrales et régulateurs financiers comprennent rapidement les implications du nouveau modèle. Des réunions entre la Banque d’Angleterre, la Financial Conduct Authority, le Trésor et le National Cyber Security Centre ont déjà été organisées pour évaluer les risques.

Un modèle hors de portée du grand public

Pourquoi une telle fébrilité ? Anthropic a elle-même reconnu que Claude Mythos Preview ( la version actuelle du modèle ) ne serait pas mise à disposition du grand public, précisément en raison de ses capacités offensives. La scale-up affirme que le modèle est capable d’identifier et d’exploiter des failles dans « chaque grand système d’exploitation et chaque grand navigateur web », et qu’il a déjà recensé des milliers de vulnérabilités majeures dans des logiciels largement utilisés.

Pour encadrer son déploiement, Anthropic a lancé le « Project Glasswing » : une initiative contrôlée dans laquelle une quarantaine d’organisations sélectionnées, dont Microsoft, Google, JPMorgan Chase, des éditeurs de cybersécurité et d’autres acteurs technologiques majeurs, sont autorisées à évaluer le modèle en privé et à préparer des défenses en conséquence. Un dispositif qui témoigne de la conscience aiguë qu’a Anthropic des risques qu’elle a elle-même mis au monde.

Aux États-Unis, le secrétaire au Trésor Scott Bessent et le président de la Fed Jerome Powell ont réuni en urgence les PDG des grandes banques de Wall Street dès le 8 avril à Washington pour les alerter sur les risques cyber posés par Mythos.

Bloomberg a rapporté la présence des dirigeants de Citigroup, Morgan Stanley, Bank of America, Wells Fargo et Goldman Sachs. Donald Trump lui-même a reconnu publiquement la menace mercredi, se déclarant favorable à des mesures de protection gouvernementales.

Image : © DR

The post Claude Mythos inquiète les banques européennes appeared first on Silicon.fr.