The Thing That Should Not Be

"Not dead which eternal lie, stranger aeons death may die." — On ne tue pas ce qui n'a jamais vécu. On ne sécurise pas ce qui est insécurisable par architecture.

En février 2026, MITRE ATLAS comptait 16 tactiques, 84 techniques, 56 sous-techniques, 32 mitigations et 42 études de cas¹. Plus de 100 organisations gouvernementales, académiques et industrielles contribuent au projet². La mise à jour de février a ajouté des techniques spécifiques aux agents IA, dont « Publish Poisoned AI Agent Tool » et « Escape to Host »¹. Le framework reproduit la structure d'ATT&CK (matrice, identifiants préfixés AML.T, données au format STIX 2.1) et l'étend aux menaces ciblant les systèmes d'intelligence artificielle : empoisonnement de données, extraction de modèle, évasion, prompt injection, manipulation de mémoire persistante.

L'ambition est logique. ATT&CK catalogue les techniques offensives contre les systèmes d'information classiques. D3FEND catalogue les contre-mesures défensives. ATLAS étend la même méthode aux systèmes IA. Trois cadres, une méthode unique, un territoire complet. La symétrie est séduisante.

J'ai examiné la méthode, les données disponibles, les cas d'attaques documentés entre janvier et avril 2026, et la réponse de l'industrie face à la première menace IA d'ampleur. ATLAS reproduit la structure d'ATT&CK dans un domaine où cette structure n'a aucune valeur opérationnelle. Le framework n'est pas immature. Il n'aurait pas dû exister.

Pourquoi ATT&CK tient debout

ATT&CK fonctionne mal. 21% de couverture SIEM, cinq ans de mesure sans progression, 13% de règles cassées³. Mais ATT&CK fonctionne quand même, au minimum, parce que les objets qu'il catalogue possèdent trois propriétés.

D'abord la stabilité. T1003.001 (LSASS Memory) décrit le même comportement en 2018 et en 2026. L'OS n'a pas muté. Active Directory n'a pas muté. La technique est reproductible. Un analyste qui a écrit une règle de détection en 2020 peut la maintenir en 2026 parce que l'objet qu'elle cible existe encore.

Ensuite, l'espace des actions possibles sur un système d'exploitation est fini et énumérable. Le nombre de façons de dumper des credentials, de se déplacer latéralement ou d'exfiltrer des données est grand mais borné. On peut cataloguer un espace fini. Le catalogue sera incomplet (il l'est, à 21%), mais la démarche a un sens logique.

Troisième propriété : les techniques ATT&CK laissent des traces dans les logs, les flux réseau, les registres système. Ces traces sont détectables par des outils déterministes. Mal détectées, souvent ignorées, mais détectables en principe.

D3FEND échoue à exploiter ces propriétés correctement (corpus de brevets, absence de mesure d'effectivité, relations « may-counter » jamais validées⁴). Mais les propriétés elles-mêmes existent dans le domaine classique. La méthode taxonomique peut fonctionner, mal, avec ces propriétés. Sans elles, elle ne peut pas fonctionner du tout.

Le domaine qui ne se prête pas à la classification

Les systèmes IA ne possèdent aucune des trois propriétés. Bruce Schneier a nommé le problème en mai 2024 : les LLM mélangent données et commandes dans un seul canal, et contrairement au réseau téléphonique pré-SS7 qui souffrait du même défaut, on ne peut pas les séparer⁵. Schneier en tire la conséquence directe : les attaques individuelles sont faciles à prévenir une fois publiées, mais il en existe un nombre infini et aucun moyen de les bloquer en tant que classe⁵.

En octobre 2025, Schneier et Raghavan ont formalisé le problème dans IEEE Security & Privacy en appliquant la boucle OODA aux agents IA⁶. Leur conclusion : l'adversaire n'est pas dans la boucle par accident, il y est par architecture. L'IA à l'échelle du web produit la défaillance de l'intégrité à l'échelle du web. Chaque capacité ajoutée corrompt. L'intégrité n'est pas une fonctionnalité qu'on ajoute, c'est une architecture qu'on choisit. Les systèmes IA actuels ont été construits pour la vitesse et l'intelligence, pas pour la sécurité⁶. Ce diagnostic détruit la prémisse d'ATLAS avant même qu'on en examine le contenu.

Un prompt injection (AML.T0051 dans ATLAS) n'est pas un objet stable. Ce qui traverse les guardrails de Claude 3.5 ne traverse pas ceux d'Opus 4.6. Ce qui fonctionne sur GPT-4o ne fonctionne pas sur GPT-4.5. La « technique » change de nature à chaque mise à jour de poids du modèle. T1003.001 dans ATT&CK décrit un comportement reproductible. AML.T0051 dans ATLAS décrit une catégorie tellement vaste qu'elle ne guide aucune action défensive concrète. Un catalogue utile distingue T1003.001 (LSASS Memory) de T1003.003 (NTDS) parce que les deux se détectent différemment. AML.T0051 couvre l'intégralité de l'espace des entrées en langage naturel qui peuvent détourner un modèle. Personne n'écrira une règle de détection sur « tout ce qu'on peut dire à un LLM pour le manipuler ».

L'espace d'attaque des systèmes classiques est fini. L'espace d'entrée d'un LLM est le langage naturel, non fini et non énumérable. La taxonomie suppose un ensemble borné d'objets classifiables. ATLAS applique une méthode pour espace fini à un espace infini.

Memory Poisoning (AML.T0080) illustre le problème sous un angle différent. La technique dit : quelqu'un introduit du contenu malveillant dans la mémoire persistante d'un agent. Mais la « mémoire persistante » d'un agent MCP en mars 2026 n'a rien à voir avec celle d'un chatbot RAG de 2024. Les architectures changent tous les trimestres. La technique ne documente pas un comportement observable. Elle nomme un concept. On ne détecte pas un concept.

Quatre attaques, un seul identifiant

Entre janvier et mars 2026, quatre attaques documentées ciblent des systèmes IA. Les quatre se classent sous les mêmes identifiants ATLAS. Les quatre exploitent des mécanismes qui n'ont rien en commun.

ZombieAgent (Radware, janvier 2026) injecte des instructions dans la mémoire persistante de ChatGPT via un fichier partagé. L'attaque modifie les règles de comportement du modèle pour exfiltrer les données de l'utilisateur à chaque message futur. Quand OpenAI bloque les URLs dynamiques, les chercheurs contournent en exfiltrant caractère par caractère via des URLs pré-construites⁷. Classification ATLAS : AML.T0080 + AML.T0051.

Superhuman AI (PromptArmor, janvier 2026) exploite une injection de prompt cachée dans un email pour exfiltrer des dizaines d'emails sensibles (données financières, juridiques, médicales) via une URL de soumission Google Form en syntaxe Markdown image. Le vecteur repose sur une règle CSP spécifique qui autorise le chargement d'images depuis docs.google.com⁸. Classification ATLAS : AML.T0051.

SANDWORM_MODE (Socket/Endor Labs, février 2026) installe un serveur MCP malveillant et l'injecte dans les assistants de codage IA (Claude Code, Cursor, Windsurf). Le prompt injection est embarqué dans les descriptions d'outils MCP, pas dans les données traitées. L'assistant IA collecte silencieusement les variables d'environnement, les fichiers de configuration et les clés SSH/AWS sans que le développeur voie l'instruction⁹. Le malware embarque une capacité dormante de polymorphisme via Ollama (réécriture automatique du code malveillant par LLM local)⁹. Classification ATLAS : AML.T0051.

CVE-2025-15060/ZDI-26-124 (Trend Research, février 2026) : une injection de commande classique dans un package claude-hovercraft, CVSS 9.8, exploitable à distance, sans authentification, sans interaction utilisateur¹⁰. Une faille de sécurité logicielle banale dans un outil de l'écosystème IA. ATLAS ne la couvre pas. ATT&CK non plus, spécifiquement.

Quatre incidents en deux mois. Quatre mécanismes totalement distincts. Trois classifiés sous les mêmes identifiants AML.T0051 ou AML.T0080. Un non classifiable. Aucune règle de détection écrite pour ZombieAgent ne détecte SANDWORM_MODE. Aucune. Elles partagent un identifiant ATLAS. Elles ne partagent rien d'autre.

En février 2026, MITRE a conduit une investigation rapide sur OpenClaw, l'outil agentique open source le plus déployé, et a identifié sept nouvelles techniques spécifiques aux agents¹⁶. OpenClaw utilise ATLAS comme threat model officiel¹⁷. Des chercheurs ont développé 47 scénarios adversariaux mappés sur ATLAS et ATT&CK pour tester la résilience d'OpenClaw. Résultat : un taux de défense moyen de 17%¹⁸. Pire que les 21% de couverture SIEM d'ATT&CK. L'outil agentique le plus déployé, testé contre le framework censé le protéger, et les attaques passent dans 83% des cas. Mapper des techniques ne produit pas de la défense.

En mars 2026, une revue systématique des sources de threat intelligence pour l'IA confirme le vide¹⁴. Les auteurs passent en revue ATLAS, AVID (40 vulnérabilités documentées, 10 rapports), AIID (1 366 incidents aux annotations taxonomiques « populated inconsistently »), OWASP, ENISA, SAIF. Leur conclusion : les ressources existantes « remain incomplete ». Les seuls indicateurs de compromission concrets que le papier parvient à documenter sont des hashes SHA1 de fichiers PyTorch malveillants sur Hugging Face et des adresses IP d'infrastructure. Des IoC de 1998 appliqués à des artefacts de 2026. Cinq ans après le lancement d'ATLAS, les chercheurs en sont encore à proposer des directions de recherche pour définir ce que serait un indicateur opérationnel. Le framework a nommé les techniques. Il n'a pas armé les défenseurs.

Ce qu'OWASP dit et qu'ATLAS ne dit pas

OWASP Top 10 for LLM Applications opère différemment. Le document liste des risques, pas des techniques adverses. Il vise les développeurs, pas les analystes SOC. Et dès sa première entrée (LLM01:2025, Prompt Injection), il écrit ce qu'ATLAS ne dira jamais : « Prompt injection vulnerabilities are possible due to the nature of generative AI. Given the stochastic influence at the heart of the way models work, it is unclear if there are fool-proof methods of prevention. »¹⁵

OWASP reconnaît que l'insécurité est inhérente à la technologie. Les mitigations proposées (filtrage sémantique, validation d'entrées, séparation des contenus fiables et non fiables) sont des mesures de réduction de dommage, pas des solutions. Le cadre ne prétend pas cataloguer l'infini. Il dit : voici les dix catégories de risque les plus graves, faites ce que vous pouvez.

ATLAS fait l'inverse. Il transporte la grille ATT&CK dans un domaine dont OWASP admet qu'il résiste à la classification, et il présente le résultat comme une base de threat intelligence exploitable. OWASP est un guide de survie. ATLAS est une cartographie d'un territoire qui n'existe pas sous forme stable.

OWASP a ses propres limites. C'est un Top 10, pas un cadre complet. Les mitigations sont des recommandations, pas des garanties. Mais au moins, le document ne ment pas sur la nature du problème qu'il traite.

L'institution derrière le cadre vide

ATLAS est un produit MITRE, développé avec le Center for Threat-Informed Defense et financé par le même mécanisme de contrats fédéraux et de collaboration industrielle que ATT&CK et D3FEND. Les collaborateurs privés incluent CrowdStrike, Booz Allen Hamilton, Fujitsu, Citigroup, FS-ISAC².

L'appareil normatif américain subit une dégradation documentée sur huit fronts simultanés¹¹. Deux touchent directement ATLAS. MITRE a perdu 440 employés et 28 millions de dollars de contrats fédéraux annulés par l'administration. Le programme CVE (57,8 millions de dollars annuels) a frôlé l'extinction en avril 2025 avant qu'une option contractuelle de dernière minute ne le prolonge¹¹. Le 15 avril 2026, le NIST a officiellement abandonné l'enrichissement universel du NVD. Seuls trois critères reçoivent désormais un traitement prioritaire : le catalogue KEV de CISA, les logiciels fédéraux, et les logiciels critiques définis par l'Executive Order 14028. Tout le reste est publié en « Lowest Priority, not scheduled for immediate enrichment ». Harold Booth, computer scientist au NIST, à VulnCon26 : « Our ability to keep up is just not there. »¹¹

Le NIST AI Safety Institute a été renommé Center for AI Standards and Innovation (CAISI). Le secrétaire au Commerce Lutnick : « Innovators will no longer be limited by these standards. » JD Vance au sommet IA de Paris : « I'm not here this morning to talk about AI safety. »¹¹ L'institution parente a officiellement cessé de considérer la sécurité IA comme une priorité, pendant que MITRE publie un framework de sécurité IA.

Les collaborateurs privés d'ATLAS ne compensent pas le vide institutionnel. Les liens entre les éditeurs de cybersécurité qui peuplent le Center for Threat-Informed Defense et la communauté du renseignement sont documentés¹². Leur présence dans ATLAS reproduit les mêmes biais de producteur documentés pour ATT&CK³.

Le biais de survivabilité s'aggrave. Pour ATT&CK, au moins, les organisations savent qu'elles ont subi une attaque (même si elles n'en voient qu'un cinquième). Pour les menaces IA, 62% des praticiens sécurité n'ont aucun moyen de savoir où les LLM sont utilisés dans leur organisation¹³. On ne signale pas des incidents qu'on ne sait pas observer. L'AI Incident Sharing initiative de MITRE (lancée en octobre 2024²) recueillera les incidents que les organisations détectent. Les 62% qui ne voient rien n'enverront rien.

42 études de cas pour 84 techniques, c'est toujours un demi-cas par technique. Le framework grossit, la couverture empirique par technique ne bouge pas. ATT&CK documente ses techniques majeures par des dizaines de rapports d'incident. ATLAS, après cinq mises à jour en six mois, maintient le même ratio squelettique.

Quand la menace arrive, personne n'appelle ATLAS

Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview, un modèle capable d'identifier et d'exploiter de manière autonome des vulnérabilités critiques dans tous les systèmes d'exploitation et navigateurs majeurs¹⁹. Mythos a identifié un bug de 27 ans dans l'implémentation TCP SACK d'OpenBSD, un système connu pour sa sécurité, que des décennies de revue de code et de fuzzing automatisé n'avaient pas détecté. Deux paquets suffisent à crasher n'importe quel serveur concerné. Il a trouvé et exploité, sans intervention humaine, une vulnérabilité d'exécution de code à distance vieille de 17 ans dans FreeBSD (CVE-2026-4747), construisant une chaîne ROP de 20 gadgets répartie sur six requêtes RPC distinctes pour obtenir un accès root non authentifié²⁰. Il a identifié une faille de 16 ans dans le codec H.264 de FFmpeg, un logiciel dont le chemin de code vulnérable avait survécu à cinq millions de passes de fuzzing²¹. Sur le moteur JavaScript de Firefox, Mythos a produit 181 exploits fonctionnels contre 2 pour Opus 4.6²¹.

Anthropic a briefé CISA et CAISI avant l'annonce publique¹⁹. L'institution rebaptisée en accélérateur d'innovation devait maintenant évaluer la menace IA la plus sérieuse jamais documentée. Ni CISA ni le NIST n'ont répondu aux demandes de commentaire¹⁹.

En réponse, Anthropic a lancé Project Glasswing : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, et plus de 40 organisations supplémentaires. 100 millions de dollars de crédits d'usage²⁰. Le Cloud Security Alliance a publié un briefing d'urgence, « The AI Vulnerability Storm », rédigé avec l'ex-directrice de CISA Jen Easterly, Bruce Schneier, Chris Inglis, Phil Venables, et plus de 250 CISO²¹. Le UK AI Security Institute a évalué Mythos dans une simulation d'attaque réseau en 32 étapes et conclu que le modèle peut prendre le contrôle complet d'un réseau d'entreprise de manière autonome²¹.

ATLAS n'est mentionné dans aucun de ces documents. Ni dans l'annonce Glasswing, ni dans le briefing CSA, ni dans l'évaluation du UK AISI, ni dans les communications de CISA ou CAISI. Aucune technique ATLAS n'est citée pour caractériser ce que Mythos fait. Quand la première menace IA d'ampleur se matérialise, le framework censé cataloguer les menaces IA est absent de la conversation. L'industrie a construit sa réponse en contournant l'architecture MITRE. ATLAS n'est pas insuffisant. Il est ignoré.

Ce que je ne sais pas

Si les techniques de similarité proposées par la recherche (deep hashing, fuzzy hashing sémantique¹⁴) produiront des IoC opérationnels pour les artefacts IA, ou si elles resteront au stade conceptuel. Aujourd'hui, les seuls IoC documentés pour les modèles malveillants sont des hashes de fichiers et des adresses IP. Des outils de 1998 appliqués à un problème de 2026.

Si Project Glasswing produira des résultats défensifs durables ou restera un exercice de positionnement commercial. Schneier a qualifié l'annonce de « PR play » réussi²². La part de capacité réelle et la part de positionnement de marché restent à mesurer. Le programme de distribution contrôlée a tenu 14 heures avant qu'un accès non autorisé soit obtenu, le jour même de l'annonce²³. La sécurité du dispositif censé sécuriser le monde a été percée en moins d'une journée.

Si OWASP Top 10 for LLM Applications évoluera vers un cadre plus complet sans reproduire les erreurs d'ATLAS. L'approche par risques plutôt que par techniques adverses est plus honnête. La question est de savoir si elle sera suffisante face à l'accélération des architectures agentiques qui multiplient les surfaces d'attaque à chaque trimestre.

Ce que je sais

ATT&CK fonctionne, mal, parce que les objets qu'il catalogue sont stables, finis et observables. ATLAS copie la méthode pour un domaine où les objets sont instables (les techniques mutent à chaque mise à jour de modèle), infinis (l'espace d'entrée est le langage naturel) et souvent inobservables (62% des organisations ne voient pas leurs propres usages IA). La méthode taxonomique suppose les trois propriétés. ATLAS n'en possède aucune.

Schneier a démontré que l'insécurité des LLM est architecturale, pas accidentelle. Les données et les commandes partagent le même canal. Ce défaut produit un espace d'attaque infini et non bloquable en tant que classe. Cataloguer un espace infini reste une contradiction dans les termes, quel que soit le nombre de contributeurs.

OpenClaw utilise ATLAS comme threat model officiel. 47 scénarios adversariaux testés. 17% de taux de défense. Mapper des techniques sur un cadre ne produit pas de résistance aux attaques. OWASP le sait et le dit. ATLAS l'ignore et catalogue. Et quand Mythos arrive, première menace IA capable de trouver et d'exploiter des zero-days de manière autonome à une échelle qui dépasse les capacités humaines, ni Anthropic, ni CISA, ni le CSA, ni le UK AISI ne mentionnent ATLAS. 84 techniques, 42 études de cas, cinq mises à jour en six mois. La menace se matérialise. Le framework est absent.

L'aîné tenait debout mais ne voyait qu'un cinquième du champ³. Le cadet habillait les brevets en contre-mesures⁴. Le benjamin n'aurait pas dû naître. Il applique la seule méthode que MITRE connaît à un domaine que cette méthode ne peut pas traiter, depuis une institution qui a renoncé à la mission que le framework est censé servir, avec un demi-cas documenté par technique. Innsmouth avait ses habitants, qui collaboraient avec l'entité en croyant la contrôler. L'industrie accueille ATLAS parce qu'il ressemble à ATT&CK. La ressemblance est le piège.

Seizième article d'une série sur les failles de construction de la cybersécurité occidentale :

• Article 1 : La vulnérabilité de la gestion des vulnérabilités
• Article 2 : La dépendance européenne aux standards américains
• Article 3 : Les États, architectes cachés du marché noir des vulnérabilités
• Article 4 : L'IA ou l'effondrement du modèle défensif occidental
• Article 5 : Desert Power — survivre sans l'Empire
• Article 6 : I Am Altering the Deal
• Article 7 : Le dernier canal
• Article 8 : Lord of Cyber War
• Article 9 : Les faucons du numérique
• Article 10 : They Live... we sleep
• Article 11 : Soylent Green
• Article 12 : Ghost in the Binary
• Article 13 : Now You See Me
• Article 14 : The Prestige
• Article 15 : Pitch Black

Références

¹ MITRE ATLAS CHANGELOG. v5.1.0 (novembre 2025) : 16 tactiques, 84 techniques, 56 sous-techniques, 32 mitigations, 42 études de cas. v5.4.0 (février 2026) : ajout de techniques agentiques dont « Publish Poisoned AI Agent Tool » et « Escape to Host ». Vectra AI, « MITRE ATLAS: 16 tactics and 84 techniques for AI security » https://www.vectra.ai/topics/mitre-atlas

² MITRE (octobre 2024). « MITRE Launches AI Incident Sharing Initiative ». Center for Threat-Informed Defense, projet Secure AI. Plus de 100 organisations contributrices dont CrowdStrike, Booz Allen Hamilton, Fujitsu, Citigroup, FS-ISAC. https://www.mitre.org/news-insights/news-release/mitre-launches-ai-incident-sharing-initiative

³ Voir « Now You See Me » dans cette série : ATT&CK, 21% de couverture SIEM, biais de survivabilité, stagnation sur cinq ans. https://www.klaerenn.fr/now-you-see-me/

⁴ Voir « The Prestige » dans cette série : D3FEND, corpus de brevets, absence de mesure d'effectivité, relations « may-counter ». https://www.klaerenn.fr/the-prestige/

⁵ Schneier, B. (mai 2024). « LLMs' Data-Control Path Insecurity ». Communications of the ACM. https://www.schneier.com/essays/archives/2024/05/llms-data-control-path-insecurity.html

⁶ Raghavan, B. & Schneier, B. (octobre 2025). « Agentic AI's OODA Loop Problem ». IEEE Security & Privacy. https://www.schneier.com/blog/archives/2025/10/agentic-ais-ooda-loop-problem.html

⁷ Radware (janvier 2026). ZombieAgent : attaque sur la mémoire persistante de ChatGPT, exfiltration caractère par caractère. Via Ars Technica. https://arstechnica.com/security/2026/01/chatgpt-falls-to-new-data-pilfering-attack-as-a-vicious-cycle-in-ai-continues/

⁸ PromptArmor (janvier 2026). Superhuman AI : exfiltration d'emails sensibles via injection de prompt et Google Form pré-rempli en Markdown image. https://www.promptarmor.com/resources/superhuman-ai-exfiltrates-emails

⁹ SecurityWeek / Endor Labs / Socket (février 2026). SANDWORM_MODE : empoisonnement MCP des assistants de codage IA, polymorphisme via Ollama. https://www.securityweek.com/new-sandworm_mode-supply-chain-attack-hits-npm/

¹⁰ Zero Day Initiative, ZDI-26-124 / CVE-2025-15060 (février 2026). claude-hovercraft, injection de commande, CVSS 9.8. http://www.zerodayinitiative.com/advisories/ZDI-26-124/

¹¹ Voir « Pitch Black » dans cette série : huit vecteurs de dégradation NIST, pivot AISI → CAISI, MITRE : 440 employés licenciés, 28 M$ de contrats annulés, CVE à 11 mois. https://www.klaerenn.fr/pitch-black/

¹² Voir « Soylent Green » dans cette série : liens entre éditeurs de cybersécurité et communauté du renseignement. https://www.klaerenn.fr/soylent-green/

¹³ Harness (2025). Enquête sur 500 praticiens sécurité (US, UK, France, Allemagne) : 62% n'ont aucun moyen de savoir où les LLM sont utilisés dans leur organisation. Via VentureBeat, janvier 2026. https://venturebeat.com/security/seven-steps-to-ai-supply-chain-visibility

¹⁴ Krawczyk, N., Szczepkowski, M., Brodzik, A. & Bocianiak, K. (mars 2026). « Cyber Threat Intelligence for Artificial Intelligence Systems ». arXiv:2603.05068. https://arxiv.org/abs/2603.05068

¹⁵ OWASP (2025). « Top 10 for Large Language Model Applications 2025 ». LLM01:2025 — Prompt Injection. https://genai.owasp.org/llm-top-10/

¹⁶ MITRE (février 2026). « MITRE ATLAS: OpenClaw Investigation ». 7 nouvelles techniques identifiées. Center for Threat-Informed Defense. https://www.mitre.org/news-insights/publication/mitre-atlas-openclaw-investigation

¹⁷ OpenClaw (février 2026). Threat Model officiel construit sur MITRE ATLAS. https://docs.openclaw.ai/security/THREAT-MODEL-ATLAS

¹⁸ « Don't Let the Claw Grip Your Hand: A Security Analysis and Defense Framework for OpenClaw » (mars 2026). arXiv:2603.10387. 47 scénarios adversariaux, taux de défense moyen de 17%. https://arxiv.org/html/2603.10387v1

¹⁹ NBC News (avril 2026). Anthropic a briefé CISA et CAISI sur les capacités offensives et défensives de Mythos Preview. CISA et le NIST n'ont pas répondu aux demandes de commentaire. https://www.nbcnews.com/tech/security/anthropic-project-glasswing-mythos-preview-claude-gets-limited-release-rcna267234

²⁰ Anthropic (7 avril 2026). Annonce Project Glasswing. 11 partenaires fondateurs + 40 organisations, 100 M$ de crédits, 4 M$ de dons aux organisations open source. https://www.anthropic.com/glasswing

²¹ CSO Online (avril 2026). Briefing CSA « The AI Vulnerability Storm » avec Jen Easterly, Bruce Schneier, Chris Inglis, Phil Venables, 250+ CISO. UK AISI : simulation d'attaque réseau en 32 étapes, prise de contrôle complète par Mythos. https://www.csoonline.com/article/4158117/anthropics-mythos-signals-a-structural-cybersecurity-shift.html

²² Schneier, B. (13 avril 2026). « On Anthropic's Mythos Preview and Project Glasswing ». « This is very much a PR play by Anthropic — and it worked. » https://www.schneier.com/blog/archives/2026/04/on-anthropics-mythos-preview-and-project-glasswing.html

²³ Arnav.au (avril 2026). Project Glasswing compromis dans les 14 heures suivant l'annonce publique du 7 avril 2026, via une chaîne de failles OpSec (CMS non sécurisé, fuite de données chez un sous-traitant, credentials vendeur insuffisamment scopés). https://arnav.au/2026/04/29/anthropic-mythos-ai-breach-2026/