In early April 2026, Anthropic launched its frontier AI model, Mythos, with cybersecurity as the focal point, immediately pressuring global IT and cyber teams to assess its impact without full access to the technology. Evaluations from the UK’s AI Safety Institute (UK AISI) confirm major gains in cyber capabilities: vulnerability detection, exploitation, chaining of information for attack paths, and automated discovery at scale. US cybersecurity firms in the Glasswing alliance already claim Mythos compresses a year of manual pentesting into three weeks; AI-assisted discoveries have led to published patches for widely used software like Firefox. Europe currently lacks independent assessments, relying only on US and British sources. Campus Cyber advocates a cautious stance, warning that Anthropic’s performance claims should be treated skeptically given the ongoing information asymmetry.

Mythos is not a rupture but an acceleration on an exponential trajectory. Earlier models could detect vulnerabilities, but Mythos combines detection, exploitation, reasoning, prioritization, and scaling, dramatically shrinking timelines. OpenAI countered with GPT 5.4 Cyber two weeks later and version 5.5 in early May, and the cycle will not slow. Campus Cyber experts anticipate open-source equivalents—potentially Chinese—could enter the public domain by end of 2026, turning AI from a theoretical concern into an operational imperative.

The most worrying near-term scenario is a massive AI-driven disclosure of zero-day vulnerabilities across legacy banking, industrial, and critical infrastructure systems. Such a “purge” could arrive within 3–6 months, with aftershocks and a long tail of subsequent disclosures. The result would be a continuous patching wave of unprecedented volume and speed, risking operational continuity if vendors cannot deliver fixes fast enough or internal teams lack the bandwidth to absorb them.

Immediate CISO priorities outlined by Campus Cyber include: thoroughly mapping critical assets and all software dependencies, including open source and third-party components; running a 2–3 hour simulation with the CTO, CISO, and production leads where twenty zero-days are discovered simultaneously on an Internet-facing application, testing the entire vulnerability management chain; hardening network segmentation to reduce blast radius; and rapidly deploying AI-augmented defenses (automated triage, CVE prioritization, patch generation, dependency mapping, anomaly detection, SOC support) under human supervision, favoring European or open-source solutions.

A collateral effect already felt is psychological stress on IT teams, pressured to comment on an inaccessible model while navigating an uncertain AI horizon. Campus Cyber describes this as a “true-false latent crisis,” akin to crisis management without a fully realized crisis, and underscores the managerial responsibility to recognize it. Structurally, European organizations already depend on non-European cyber solutions for over 70% of their needs, a reliance that US AI dominance will worsen. The dilemma is acute: those seeking the best protection must turn to US AI, while those prioritizing technological autonomy assume tangible operational risk. Campus Cyber outlines a triple response: strengthen French and European anticipation capabilities; position Mistral AI and other European AI actors on cyber use cases; and fully enforce the AI Act and Cyber Resilience Act, potentially restricting models that fail to meet the highest transparency and security standards.

Source: Campus Cyber analysis note, “Mythos and other frontier models: implications of AI advances for cybersecurity in France and Europe,” May 2026.

Comment le Campus Cyber juge l’impact de Mythos ? Début avril 2026, Anthropic lance  son nouveau modèle d’IA de frontière, en faisant de la cybersécurité le terrain d’atterrissage de son annonce.

L’effet est immédiat : les équipes IT et cyber du monde entier se retrouvent sous pression pour expliquer ce que cela change, sans toujours disposer des informations nécessaires pour répondre.

Les premières évaluations, notamment celles de l’UK AISI (l’autorité britannique d’évaluation de la sécurité des IA), confirment une amélioration significative dans les capacités cyber du modèle : détection de vulnérabilités, exploitation, chaînage d’informations pour construire des chemins d’attaque, passage du test ponctuel à la découverte automatisée à grande échelle.

Des entreprises de cybersécurité américaines membres de l’alliance Glasswing affirment déjà que Mythos leur permet de compresser un an de pentest humain en trois semaines. Des correctifs de sécurité directement attribués à des découvertes assistées par IA ont d’ailleurs été publiés, y compris sur des logiciels aussi répandus que Firefox.

Nuance importante, l’Europe ne dispose pas encore d’évaluation indépendante du modèle. Les seules sources disponibles sont américaines et britanniques.

Le Campus Cyber appelle à maintenir une posture cartésienne : les chiffres avancés sur les paramètres d’entraînement ou les performances doivent être pris avec prudence, tant que l’asymétrie d’information avec Anthropic persiste.

Mythos n’est pas une rupture, c’est une accélération

C’est peut-être le point le plus important de la note : Mythos n’est pas une anomalie.

Il est un point de plus sur la courbe de progression exponentielle de l’IA appliquée à la cyber. Les modèles précédents détectaient déjà des vulnérabilités. Ce qui change avec Mythos, c’est la combinaison de capacités (détection + exploitation + raisonnement + priorisation + passage à l’échelle) et l’accélération de la timeline.

OpenAI a lancé GPT 5.4 Cyber deux semaines après Mythos Preview, suivi de la version 5.5 début mai. La dynamique ne va pas s’inverser. Selon les experts du Campus Cyber, des modèles open source équivalents, potentiellement d’origine chinoise, pourraient être disponibles dans le domaine public d’ici la fin 2026.

Cela signifie que l’IA n’est plus une menace théorique en cybersécurité. Elle devient un paramètre opérationnel structurant. La question n’est plus « si » mais « quand » et « à quelle vitesse ».

Le scénario qui préoccupe le plus les experts est celui d’une découverte massive de vulnérabilités zero day par l’IA. Soit un effet de purge, en un seul bloc, de failles anciennes logées dans des logiciels largement déployés comme les  environnements bancaires legacy, les systèmes industriels et les infrastructures critiques.

Ce pic est jugé possible d’ici 3 à 6 mois. Il serait suivi de plusieurs répliques, puis d’une longue traîne de divulgations au compte-gouttes. La conséquence directe : les équipes informatiques pourraient se retrouver face à un « mur de patching en flux continus » ; un volume et un rythme sans précédent de correctifs à déployer, sans dégradation de la continuité opérationnelle.

Deux risques émergent immédiatement. D’abord, les éditeurs de logiciels ne pourront peut-être pas livrer les correctifs assez vite. Ensuite, les équipes internes (ou les intégrateurs) n’auront peut-être pas la bande passante pour les absorber, surtout si les protocoles d’implémentation des patchs ne sont pas adaptés à l’urgence.

Ce que les RSSI doivent faire rapidement

La note du Campus Cyber est explicite sur les priorités opérationnelles immédiates.

> Cartographier les actifs critiques et les dépendances

Supply chain métier et supply chain logicielle : savez-vous précisément où se trouvent les vulnérabilités potentielles, y compris dans les dépendances open source et les composants tiers?

> Simuler une vague massive de zero days

Un exercice de deux à trois heures, réunissant le CTO, le RSSI et les responsables de production, simulant la découverte simultanée d’une vingtaine de vulnérabilités zero day sur une application critique exposée à Internet. L’objectif : tester la maturité de toute votre chaîne de gestion des vulnérabilités, pas seulement vulnérabilité par vulnérabilité.

> Durcir l’architecture réseau

Segmentation, réduction du « blast radius », abaissement du « mean time to remediate » dans les scénarios critiques.

> Construire un plan de défense augmentée par l’IA

Les cas d’usage sont nombreux et souvent connus : triage automatique de vulnérabilités, priorisation CVE selon l’exposition réelle, génération et test de patchs, cartographie des dépendances logicielles, détection de comportements anormaux, assistance SOC niveau 1 et 2, simulation de crise… Ils doivent être déployés aussi vite que possible, sous supervision humaine, en privilégiant des solutions européennes ou open source.

Effet collatéral souvent oublié : le stress des équipes

Avant même toute attaque réelle, Mythos a déjà produit un effet concret : une surtension psychologique sur des équipes IT déjà structurellement sous pression.

Sollicitées de toutes parts pour commenter un modèle auquel elles n’ont pas accès, elles doivent se positionner dans un contexte incertain, entre leur feuille de route courante et un horizon IA aux contours flous.

Le Campus Cyber décrit cette situation comme une « vraie-fausse crise larvée », analogue à de la gestion de crise sans que la crise soit encore pleinement réelle. Reconnaître cet état de fait et ne pas sous-estimer son impact sur vos équipes est une responsabilité managériale immédiate.

La note aborde enfin un enjeu structurel qui dépasse le seul périmètre technique : les entreprises européennes sont déjà dépendantes à plus de 70% de solutions cyber non européennes. La domination américaine dans l’IA ne fera qu’aggraver cette dépendance.

Le défi de souveraineté s’impose à l’Europe

Le dilemme est redoutable : les organisations qui voudront la meilleure protection possible n’auront d’autre choix que de recourir à l’IA américaine. Celles qui privilégieront l’autonomie technologique prendront un risque opérationnel réel. Sans alternative européenne performante, la « tenaille sera absolue ».

La réponse esquissée par le Campus Cyber passe par trois axes : renforcer les capacités d’anticipation françaises et européennes, positionner Mistral AI et d’autres acteurs européens de l’IA sur les cas d’usage cyber et appliquer pleinement l’IA Act et le Cyber Resilience Act, jusqu’à restreindre la commercialisation de modèles qui ne répondraient pas aux exigences les plus élevées de transparence et de sécurité.

Source : Note d’analyse Campus Cyber « Mythos et autres modèles-frontière : implications des progrès de l’IA pour la cyber en France et en Europe », Mai 2026.

The post Comment le Campus Cyber juge l’impact de Mythos appeared first on Silicon.fr.