Claude Mythos a trouvé plus de 500 zéro-day : automatisez vos contrôles de sécurité
Anthropique\
Le 7 avril 2026, Anthropic a annoncé Claude Mythos Preview. En quelques jours de tests internes, il a trouvé plus de 500 vulnérabilités de haute gravité dans certaines des bases de code les plus scrutées de la planète : un jeune de 16 ans hors limites écrire dans FFmpeg, un déni de service vieux de 27 ans dans OpenBSD et une exécution de code à distance dans FreeBSD qui a eu lieu indétectable depuis 17 ans (CVE-2026-4747).
Vous n'avez pas accès à Mythos. Anthropic l'a réservé aux partenaires du projet Glasswing : AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike et quelques autres. Mais le message est clair : si l’IA parvient à trouver des bugs cachés bases de code testées par des fuzzers des millions de fois, votre infrastructure présente également des lacunes.
Cet article couvre six contrôles de sécurité que vous pouvez automatiser dès maintenant avec des appels API. Aucun accès Mythos requis. Chacun
on en prend un seul curl et renvoie un JSON structuré que vous pouvez diriger vers des alertes, des tableaux de bord ou
Pipelines CI.
Ce que Mythos a trouvé (et pourquoi c'est important pour votre stack)
Les fuzzers traditionnels lancent des entrées aléatoires sur le code. Mythos lit et raisonne sur le code source comme un titre chercheur. Il a retracé l'historique des commits Git, identifié les correctifs incomplets et construit des chaînes d'exploitation couvrant plusieurs vulnérabilités.
| Projet | Type de bogue | Âge | Détail |
|---|---|---|---|
| Codec FFmpeg H.264 | Écriture hors limites | 16 ans | Collision de numérotation de tranche ; les fuzzers touchent la ligne 5 millions de fois sans la déclencher |
| OpenBSD TCP/SACK | Déni de service | 27 ans | Débordement d'entier signé + déréférencement de pointeur NULL ; plante n'importe quelle machine à distance |
| FreeBSD NFS | Exécution de code à distance | 17 ans | CVE-2026-4747 ; débordement de tampon de pile dans l'authentification RPCSEC_GSS, aucune authentification nécessaire |
| GhostScript | Contournement des limites de la pile | Des décennies | Vérification des limites incomplètes dans la gestion des polices ; a mis en miroir un chemin précédemment corrigé |
| CGIF | Débordement de tampon | Années | Les réinitialisations du dictionnaire LZW entraînent un dépassement de la taille de l'entrée en sortie ; La couverture du code à 100 % l'a manqué |
Le coût ? Moins de 20 000 $ pour trouver le bug d'OpenBSD. Moins de 10 000 $ pour les vulnérabilités FFmpeg. C'est moins cher que une seule semaine de tests d’intrusion manuels.
Vous ne pouvez pas exécuter Mythos avec votre propre code aujourd'hui. Mais vous pouvez combler les lacunes qui ne nécessitent pas de binaire profond analyse : certificats expirés, authentification de courrier électronique manquante, en-têtes de sécurité faibles et temps d'arrêt silencieux.
Contrôle 1 : expiration du certificat SSL
Les certificats SSL expirés provoquent des pannes et tuent la confiance des utilisateurs. Stripe, Microsoft et Spotify ont tous eu incidents liés au certificat. Un seul appel API vous indique combien de jours il vous reste.
curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"issuer": "Let's Encrypt",
"valid_from": "2026-02-01T00:00:00.000Z",
"valid_to": "2026-05-02T00:00:00.000Z",
"days_remaining": 23,
"expired": false,
"expiring_soon": true
}
}
La expiring_soon le drapeau se retourne vers true lorsque le certificat est dans les 30 jours suivant
expiration. Transférez cela dans une alerte Slack ou une vérification CI.
Contrôle 2 : validation de l'enregistrement SPF
Un enregistrement SPF mal configuré signifie que les attaquants peuvent usurper les e-mails de votre domaine. L'annonce du Mythe rappelée que la sécurité va au-delà du code : votre configuration DNS est également une surface d'attaque.
curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'{
"success": true,
"data": {
"domain": "your-app.com",
"has_spf": true,
"record": "v=spf1 include:_spf.google.com ~all",
"issues": [
"SPF record uses ~all (softfail) instead of -all (hardfail)"
],
"score": "B"
}
}
Problèmes courants détectés par le point de terminaison : ~all au lieu de -all, trop de recherches DNS
(dépassant la limite de 10 recherches) et manquant include: directives pour les expéditeurs tiers.
Contrôle 3 : politique DMARC
Sans DMARC, vos contrôles SPF et DKIM n'ont aucune application. Les attaquants transmettent des e-mails falsifiés vers des boîtes de réception qui ignorer la vérification.
curl -s -X POST https://api.botoi.com/v1/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}'
Rechercher policy: "reject" dans la réponse. Rien de moins (none ou
quarantine) signifie que les e-mails usurpés provenant de votre domaine peuvent toujours atteindre les boîtes de réception.
Contrôle 4 : sélecteur DKIM
DKIM signe les emails sortants avec une clé cryptographique. Sans cela, les serveurs de réception ne peuvent pas vérifier le contenu du courrier électronique n'a pas été altéré pendant le transport.
curl -s -X POST https://api.botoi.com/v1/dns-security/dkim-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com", "selector": "google"}'
Transmettez le sélecteur utilisé par votre fournisseur de messagerie (Google utilise google, Microsoft utilise
selector1 et selector2). Le point de terminaison valide que la clé publique existe et est correctement
formaté.
Contrôle 5 : en-têtes de sécurité HTTP
En-têtes manquants comme Strict-Transport-Security, X-Content-Type-Options, et
Content-Security-Policy laissez votre application ouverte aux attaques de rétrogradation, au reniflage MIME et au XSS.
curl -s -X POST https://api.botoi.com/v1/headers \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'
La réponse comprend un security_headers objet montrant quels en-têtes sont présents, lesquels manquent,
et quelles valeurs ils contiennent. Ajoutez cette vérification à votre pipeline de déploiement pour détecter les régressions.
Contrôle 6 : Disponibilité et temps de réponse
Si votre site est en panne, rien d'autre n'a d'importance. Une vérification rapide de la disponibilité confirme que votre application répond, mesure la latence, et détecte les boucles de redirection ou les codes d'état inattendus.
curl -s -X POST https://api.botoi.com/v1/uptime/check \\
-H "Content-Type: application/json" \\
-d '{"url": "https://your-app.com"}'Combinez les six dans un seul script d'audit
Exécutez les six vérifications sur n'importe quel domaine avec un seul script bash. Enregistrez-le sous audit.sh, fais-le
exécutable et transmettez votre domaine en argument.
#!/bin/bash
# Domain security audit using Botoi API
DOMAIN=\${1:-"your-app.com"}
API="https://api.botoi.com/v1"
echo "Security audit for \$DOMAIN"
echo "=========================="
# 1. SSL certificate
echo "\\n[SSL Certificate]"
SSL=\$(curl -s -X POST \$API/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SSL | jq '.data | {issuer, days_remaining, expired, expiring_soon}'
# 2. SPF record
echo "\\n[SPF Check]"
SPF=\$(curl -s -X POST \$API/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$SPF | jq '.data | {has_spf, score, issues}'
# 3. DMARC record
echo "\\n[DMARC Check]"
DMARC=\$(curl -s -X POST \$API/dns-security/dmarc-check \\
-H "Content-Type: application/json" \\
-d "{\\"domain\\": \\"\$DOMAIN\\"}")
echo \$DMARC | jq '.data | {has_dmarc, policy, score}'
# 4. HTTP security headers
echo "\\n[Security Headers]"
HEADERS=\$(curl -s -X POST \$API/headers \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$HEADERS | jq '.data.security_headers'
# 5. Uptime and response time
echo "\\n[Uptime Check]"
UPTIME=\$(curl -s -X POST \$API/uptime/check \\
-H "Content-Type: application/json" \\
-d "{\\"url\\": \\"https://\$DOMAIN\\"}")
echo \$UPTIME | jq '.data | {status_code, response_time_ms, is_up}'
echo "\\nAudit complete."Node.js avec le SDK Botoi
Si vous préférez TypeScript, le @botoi/sdk Le package exécute toutes les vérifications en parallèle avec une sécurité de type complète.
import Botoi from "@botoi/sdk";
const botoi = new Botoi(); // no key needed for free tier
async function auditDomain(domain: string) {
const [ssl, spf, dmarc, headers] = await Promise.all([
botoi.sslCert.expiry({ domain }),
botoi.dnsSecurity.spfCheck({ domain }),
botoi.dnsSecurity.dmarcCheck({ domain }),
botoi.headers.check({ url: \`https://\${domain}\` }),
]);
const issues: string[] = [];
if (ssl.data.days_remaining < 30) {
issues.push(\`SSL expires in \${ssl.data.days_remaining} days\`);
}
if (!spf.data.has_spf) {
issues.push("Missing SPF record");
}
if (!dmarc.data.has_dmarc) {
issues.push("Missing DMARC record");
}
if (spf.data.score !== "A") {
issues.push(\`SPF score: \${spf.data.score} (issues: \${spf.data.issues.join(", ")})\`);
}
return { domain, issues, passed: issues.length === 0 };
}
const result = await auditDomain("your-app.com");
console.log(result);Automatisez avec les actions GitHub
Exécutez ces vérifications à chaque poussée vers main et selon un horaire hebdomadaire. L'action échoue à la construction lorsque
le certificat SSL a expiré dans les 14 jours ou le score SPF descend en dessous de A.
name: Security Audit
on:
schedule:
- cron: '0 9 * * 1' # Every Monday at 9 AM
push:
branches: [main]
jobs:
audit:
runs-on: ubuntu-latest
steps:
- name: Check SSL expiry
run: |
RESULT=\$(curl -s -X POST https://api.botoi.com/v1/ssl-cert/expiry \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
DAYS=\$(echo \$RESULT | jq '.data.days_remaining')
if [ "\$DAYS" -lt 14 ]; then
echo "::warning::SSL certificate expires in \$DAYS days"
exit 1
fi
- name: Check DNS security
run: |
SPF=\$(curl -s -X POST https://api.botoi.com/v1/dns-security/spf-check \\
-H "Content-Type: application/json" \\
-d '{"domain": "your-app.com"}')
SCORE=\$(echo \$SPF | jq -r '.data.score')
if [ "\$SCORE" != "A" ]; then
echo "::warning::SPF score is \$SCORE, not A"
fiCe que Mythos change pour les équipes de sécurité
Mythos a trouvé 595 entrées provoquant des crashs dans le corpus OSS-Fuzz, contre environ 150 pour l'Opus 4.6. Il a développé 181 exploits Firefox fonctionnels là où Opus 4.6 en gérait 2. Anthropic a engagé 100 millions de dollars en API crédits et 4 millions de dollars à des organisations de sécurité open source via le projet Glasswing.
Ce qu’il faut retenir : la découverte de vulnérabilités basée sur l’IA fonctionne. L’échelle et la vitesse ne feront qu’augmenter. Les attaquants vont avoir accès à des fonctionnalités similaires. Votre défense ne peut pas compter uniquement sur des audits manuels.
Les six vérifications de cet article ne trouveront pas de débordement de tampon vieux de 16 ans dans vos dépendances. Mais ils attrapent le des pannes faciles qui provoquent de véritables incidents : certificats expirés, domaines de messagerie usurpables, sécurité manquante en-têtes et temps d'arrêt silencieux. Automatisez-les dès aujourd’hui. Réparez ce qui revient. Ensuite, souciez-vous des choses plus profondes.
FAQ
- Qu'est-ce que Claude Mythos et puis-je l'utiliser ?
- Claude Mythos Preview est le dernier modèle d'IA d'Anthropic, annoncé le 7 avril 2026. Il a trouvé plus de 500 vulnérabilités de haute gravité dans des projets open source comme FFmpeg, OpenBSD et FreeBSD. Anthropic n'a pas l'intention de le publier publiquement. L'accès est limité aux partenaires du projet Glasswing, notamment AWS, Apple, Google, Microsoft, Nvidia et CrowdStrike.
- Quels types de vulnérabilités Claude Mythos a-t-il découvert ?
- Mythos a trouvé des bogues de corruption de mémoire, des débordements de tampon, des débordements de pile et des failles logiques. Des exemples notables incluent une écriture hors limites vieille de 16 ans dans le codec H.264 de FFmpeg, un bogue de déni de service vieux de 27 ans dans la pile TCP d'OpenBSD et une vulnérabilité d'exécution de code à distance vieille de 17 ans dans FreeBSD NFS (CVE-2026-4747).
- Puis-je vérifier la sécurité SSL et DNS de mon domaine avec une API ?
- Oui. Envoyez une requête POST à https://api.botoi.com/v1/ssl-cert/expiry avec votre domaine pour vérifier la validité du certificat. Utilisez /v1/dns-security/spf-check, /v1/dns-security/dmarc-check et /v1/dns-security/dkim-check pour auditer les enregistrements d'authentification des e-mails. Tous les points de terminaison fonctionnent sans clé API à 5 requêtes par minute.
- Comment automatiser les contrôles de sécurité dans un pipeline CI ?
- Appelez les points de terminaison de sécurité à partir de n'importe quel système CI à l'aide de curl ou d'un client HTTP. Vérifiez l'expiration du SSL, les enregistrements de sécurité DNS, les en-têtes de sécurité HTTP et la disponibilité du site à chaque poussée ou selon une planification cron. L'API Botoi renvoie du JSON structuré, afin que vous puissiez analyser les résultats et faire échouer la construction lorsqu'une vérification renvoie un avertissement.
- Qu’est-ce que le projet Glasswing ?
- Le projet Glasswing est l'initiative d'Anthropic visant à utiliser Claude Mythos pour la sécurité défensive. Les partenaires incluent AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Cisco, Broadcom, JPMorganChase, Palo Alto Networks et la Linux Foundation. Anthropic a engagé jusqu'à 100 millions de dollars en crédits API et 4 millions de dollars en faveur d'organisations de sécurité open source.
Commencez a construire avec botoi
150+ endpoints API pour la recherche, le traitement de texte, la generation d'images et les utilitaires pour developpeurs. Offre gratuite, sans carte bancaire.