Il y a sept semaines, Anthropic jugeait son modèle Mythos trop dangereux pour le grand public. Cette semaine, l'entreprise annonce le déployer « dans les prochaines semaines » — juste avant une entrée en bourse à près de 1 000 milliards de dollars. Pour toute PME qui a lancé une application en vibe coding, ce n'est pas une actualité de plus : c'est un changement d'échelle du risque.
L'essentiel en 30 secondes
• Anthropic va déployer largement des modèles de niveau Mythos, capables de trouver et d'enchaîner des failles sur tous les OS et navigateurs majeurs.
• Cette diffusion arrive pile avant une IPO visée à ~1 000 Md$ (possiblement octobre 2026).
• Le code vibe-codé, déjà touché par +483 % de CVE en 2026, devient une cible prioritaire.
• Fenêtre d'action estimée : 6 à 9 mois avant banalisation côté attaquants. Échéance AI Act fournisseurs : 2 août 2026.
Ce qu'Anthropic a annoncé cette semaine
D'après Bloomberg (28 mai) et Fortune (29 mai), Anthropic a déclaré avoir réalisé des « progrès rapides » sur des garde-fous de sécurité qui lui permettront de mettre des modèles de niveau Mythos à disposition de tous ses clients dans les semaines à venir. L'entreprise prévoit de roder ces garde-fous d'abord sur un modèle Opus moins risqué (Opus 4.8, sorti le 28 mai), avant Mythos lui-même.
Rappelons ce qu'est Mythos : un modèle frontier capable de découvrir de façon autonome des milliers de vulnérabilités zero-day, et de les chaîner pour exécuter des attaques sophistiquées « sur chaque système d'exploitation majeur et chaque navigateur majeur » lorsqu'un utilisateur le lui demande. Anthropic l'avait classé à un niveau de risque proche du seuil ASL-3 — d'où la décision initiale de ne pas le diffuser.
Le point qui compte : la nouveauté n'est pas un benchmark de plus. C'est la décision de distribuer une capacité cyber offensive qu'Anthropic jugeait elle-même trop dangereuse il y a sept semaines.
Pourquoi ça tombe au pire (ou au meilleur) moment : l'IPO
En parallèle, The Motley Fool et Yahoo Finance rapportaient le 30 mai qu'Anthropic prépare une entrée en bourse « dans les prochains mois », possiblement dès octobre 2026, avec une capitalisation visée au-delà de 1 000 milliards de dollars. Le contexte : un tour de 65 Md$ bouclé le 28 mai à une valorisation de 965 Md$, devant OpenAI, et un chiffre d'affaires annualisé qui aurait franchi les 47 Md$.
Ce double calendrier mérite un regard critique. Que les garde-fous de Mythos aient « rapidement progressé » au moment précis où l'entreprise boucle un méga-tour et prépare son IPO interroge : la pression commerciale et la prudence sécurité tirent dans des directions opposées. Et à ce jour, aucune vérification indépendante de ces garde-fous n'a été publiée. Les capacités de Mythos restent largement auto-déclarées.
Ce que ça change concrètement pour les PME qui vibe-codent
Le vibe coding — créer des applications en décrivant ce que l'on veut à une IA — a un défaut connu : il produit du code vite, souvent déployé sans revue de sécurité. Les chiffres sont déjà parlants : une hausse de +483 % des vulnérabilités (CVE) sur les apps vibe-codées en 2026, selon la Cloud Security Alliance et Georgia Tech.
Avec une capacité d'audit et d'exploitation de niveau Mythos qui se diffuse, les attaquants gagnent un outil pour scanner et exploiter ce code à grande échelle. L'asymétrie attaquant/défenseur se creuse — de l'aveu même d'Anthropic.
Côté positif, c'est aussi une opportunité de marché : Anthropic monétise désormais la défense (Project Glasswing, Claude Security) autant que l'attaque. Le créneau « sécurité du vibe coding » est validé par celui qui crée le risque.
Plan d'action 30 jours pour une PME française
• Semaine 1 — Auditer l'existant. Scanner chaque app vibe-codée : secrets exposés (clés API en clair), dépendances vulnérables, endpoints non authentifiés. Une journée suffit pour un premier diagnostic ; le déni coûte beaucoup plus cher.
• Semaine 2 — Neutraliser le risque fournisseur. Ajouter une couche d'abstraction multi-modèle (LiteLLM ou Portkey). Une IPO Anthropic figera prix et conditions : ne soyez pas captif d'un seul fournisseur.
• Semaine 3 — Conformité AI Act. Préparer la transparence exigée par l'Article 50 (étiquetage des contenus générés, provenance). Les pouvoirs d'exécution fournisseurs entrent en vigueur le 2 août 2026.
• Semaine 4 — Industrialiser. Intégrer une revue de sécurité au passage en production (pas au prototype). Le gain de productivité du vibe coding doit financer la sécurité, pas la contourner.
Deux échéances à noter : l'Agent SDK Credit d'Anthropic devient effectif le 15 juin 2026 (fin de l'arbitrage compute des plans Claude — diagnostiquez votre consommation de tokens avant). Les pouvoirs d'exécution AI Act sur les fournisseurs GPAI : 2 août 2026.
Notre avis critique
La tendance de fond se confirme : la valeur du vibe coding ne se joue plus sur « générer du code », mais sur savoir l'orchestrer, le sécuriser et le maintenir. La diffusion de Mythos accélère ce basculement. À l'inverse, deux choses sont à prendre avec recul : l'emballement « trillion-dollar » autour de l'IPO (un prix de marché secondaire n'est pas une valeur fondamentale) et les capacités de Mythos tant qu'elles ne sont pas auditées par un tiers indépendant (attendez les analyses de SSLab/Georgia Tech ou de la CSA).
La meilleure opportunité des prochains jours est claire : le créneau de l'audit et du durcissement « pré-Mythos » pour les PME françaises. La menace est désormais concrète et datée, les PME qui vibe-codent ne sont pas préparées, et le marché de la défense est validé. À condition de vendre la préparation, pas la peur.