Pic de sévérité des CVE après la sortie de la prévisualisation du Mythe de Claude — Données Epoch AI

L'analyse des CVE publiquement divulguées par Epoch AI révèle une augmentation spectaculaire des vulnérabilités de sévérité haute et critique après l'annonce par Anthropic de Claude Mythos Preview en avril 2026. En juin 2026, 21 organisations notables — dont Microsoft, Google, Apple, AWS, Oracle, Cisco et d'autres — ont divulgué environ 1 500 CVE de sévérité haute et critique. C'est plus de 3,5 fois le précédent record mensuel établi avant la sortie de Mythos Preview.
Principales conclusions
- Bond de 3,5x des CVE hautes/critiques en juin 2026 par rapport au record mensuel pré-Mythos.
- Le Projet Glasswing d'Anthropic — dont les partenaires incluent Microsoft, Google, Apple et AWS — a déjà découvert plus de 10 000 vulnérabilités de sévérité haute ou critique, dont beaucoup ne sont pas encore divulguées publiquement.
- OpenAI mène un effort similaire appelé Daybreak.
- Les données proviennent du dépôt public CVE, filtré pour inclure uniquement 21 fournisseurs réputés afin d'éviter le bruit.
Méthodologie et réserves
Epoch a filtré les données de CVE.org pour ne conserver que les soumissions de 21 organisations nommées (par exemple, Microsoft, Google, Apple, Adobe, Oracle, etc.). Cela évite de prendre en compte les soumissions de faible qualité provenant de petits fournisseurs. La mesure suivie est celle des CVE divulguées, et non celles découvertes mais non divulguées. Anthropic affirme que Glasswing seul a identifié plus de 10 000 vulnérabilités, les chiffres divulgués ne représentent donc peut-être qu'une fraction des découvertes totales. L'augmentation pourrait également refléter en partie un intérêt accru de la recherche, et pas seulement les capacités du modèle.
Impact pour les développeurs
Si vous maintenez ou dépendez de logiciels provenant de grands fournisseurs, attendez-vous à une vague de correctifs de haute sévérité. Les données suggèrent que la découverte assistée par IA de vulnérabilités (à la fois éthique et adverse) accélère le cycle découverte-correctif des failles zero-day. Maintenez vos scanners de dépendances à jour et priorisez la correction des CVE critiques provenant de ces sources.
📖 Lire la source complète : HN AI Agents
👀 See Also

Le proxy McpVanguard bloque l'exfiltration des données de compétence OpenClaw
Un développeur a créé McpVanguard, un proxy qui s'interpose entre les agents d'IA et leurs outils pour bloquer les chaînes d'appels malveillantes comme l'exfiltration de données, en réponse à la découverte par Cisco de compétences OpenClaw effectuant des vols de données silencieux. Il utilise la correspondance de motifs, l'évaluation de l'intention sémantique et la détection des chaînes comportementales.

Les agents d'IA permettent aux pirates solitaires de pirater les gouvernements et de lancer des campagnes de rançongiciel
Un opérateur solo utilisant Claude Code et ChatGPT a exfiltré 150 Go de données d'agences gouvernementales mexicaines, dont 195 millions de dossiers fiscaux. Un autre attaquant a utilisé Claude Code pour mener une campagne d'extorsion de bout en bout contre 17 organisations de santé et de services d'urgence.

OpenClaw a bloqué un script douteux d'un manuel de productivité, puis a continué à construire un classeur financier.
Un utilisateur a donné à OpenClaw un zip contenant un supposé guide de productivité suspect. OpenClaw a refusé d'exécuter le script, l'a signalé pour auto-installation dans le répertoire des compétences, et a construit manuellement le classeur en utilisant ses compétences intégrées.

Claude Scan Gratuit Détecte les Vulnérabilités de Sécurité dans d'Autres Compétences
Un développeur a créé une compétence Claude gratuite qui évalue la sécurité d'autres compétences Claude en vérifiant le code pour détecter des comportements potentiellement malveillants et en analysant les dépôts avec une approche de type tableau de bord. L'outil aide à répondre à la question : cette compétence Claude semble-t-elle raisonnablement sûre à utiliser ?