Qu'est-ce que Claude Mythos Preview d'Anthropic ?

Un modèle Anthropic annoncé en 2026, capable d'identifier et d'exploiter des vulnérabilités de sécurité de manière autonome à grande échelle. Anthropic restreint l'accès via le « Projet Glasswing » à un consortium d'organisations d'infrastructure critique pour permettre des correctifs préventifs avant exploitation à grande échelle.

Pourquoi Mythos change le calcul du risque CVE ?

Avant Mythos, une CVE CVSS 5.0 difficile à exploiter manuellement pouvait rester dans le backlog plusieurs mois. Avec Mythos, toute CVE devient une priorité potentielle — y compris celles qui dormaient dans la dette technique depuis des années. Le critère « trop complexe à exploiter » s'effondre.

Quelles actions concrètes prendre côté équipe sécurité ?

Auditer le CVE backlog à l'aune du risque d'exploitation par IA (pas seulement humaine). Cartographier les composants en dette (Spring Boot, Java, bibliothèques critiques). Mettre en place une pipeline de montée de version continue. Challenger les SLA correctifs : 2 semaines de délai prod est désormais le standard minimum en banque.

Quels chantiers de modernisation prioriser sur une stack Java/Spring ?

Migration Spring Boot 2.x → 3.x (voire 4.x) — non triviale, demande adaptation API + config sécurité + compatibilité dépendances. Migration Java 17 → 21 minimum. Montées de version ciblées sur chaque bibliothèque avec CVE active vers la version « safe » la plus récente compatible.