Le 7 avril 2026, Anthropic a fait quelque chose de sans précédent dans l'histoire de l'intelligence artificielle : la société a annoncé qu'elle avait construit son modèle le plus performant jamais conçu et qu'elle ne le rendrait pas public.
Le modèle n’a pas échoué. En fait, il avait si bien fonctionné, dans des domaines aussi importants, qu'Anthropic a conclu que l'infrastructure de contraintes requise pour le déployer de manière responsable n'existait pas encore.
Au cours des semaines de tests précédant l'annonce, Claude Mythos Preview avait identifié des vulnérabilités critiques dans tous les principaux systèmes d'exploitation et tous les principaux navigateurs Web – des milliers de failles qui avaient survécu, dans certains cas, à des décennies d'examen humain et à des millions de tests de sécurité automatisés. La même capacité qui en faisait un outil défensif extraordinaire en faisait, entre de mauvaises mains, un moyen de compromettre pratiquement n'importe quel système logiciel majeur dans le monde.
La réponse d'Anthropic a été le projet Glasswing : un consortium de 50 des principales organisations de technologie et d'infrastructures critiques engagées à trouver et à corriger les vulnérabilités avant que les capacités ne prolifèrent au-delà des acteurs responsables. La société a expliqué clairement pourquoi Mythos lui-même ne serait pas publié : « Nous devons progresser dans le développement de la cybersécurité et d'autres mesures de protection qui détectent et bloquent les sorties les plus dangereuses du modèle. » Le laboratoire d’IA le plus axé sur la sécurité au monde avait construit un système qu’il ne pouvait pas encore contrôler en toute sécurité, il a donc fait une pause.
Pour de nombreuses organisations déployant l’IA, cette question se pose plus tard – voire pas du tout.
Ce qui manque à l'IA par conception
Les êtres humains n’ont pas besoin d’une gouvernance externe pour prévenir les comportements les plus nocifs. Nous sommes limités de l’intérieur par la biologie, la responsabilité sociale, les conséquences juridiques et les limites cognitives qui empêchent tout individu d’optimiser à la vitesse et à l’échelle des machines. Ces contraintes n'ont pas été conçues ; ils sont apparus au fil des millénaires. Ils sont imparfaits, mais ils existent comme référence.
Les systèmes d’IA n’héritent d’aucun de ces éléments. Chaque limite est celle que quelqu’un a choisi de concevoir. Un système d’IA doté d’un objectif le poursuivra par toutes les voies mathématiquement disponibles – y compris celles qui impliquent une collusion, des résultats discriminatoires, une acquisition de ressources non autorisées ou, comme l’a démontré Mythos Preview, l’exploitation autonome des vulnérabilités des infrastructures critiques. Ce n’est pas parce que le système est malveillant, mais parce que rien n’était en place pour l’empêcher.
Ce n'est pas un défaut. C’est la nature de ces systèmes et c’est le défi central en matière de gouvernance auquel toute organisation déployant l’IA est aujourd’hui confrontée.
La gouvernance est un travail en cours
Un programme de gouvernance de l’IA mature ressemble à d’autres disciplines organisationnelles rigoureuses telles que DevSecOps, la conformité réglementaire et les contrôles financiers. Il inventorie chaque système d'IA en production, l'évalue par rapport à un ensemble proportionnel de contrôles techniques, opérationnels et de gouvernance, mesure l'écart entre ce qui est prescrit et ce qui est réellement mis en œuvre et examine cet écart selon un calendrier défini à mesure que les systèmes et leurs environnements évoluent. Il s’agit d’une approche systématique, documentée et vérifiable – il ne s’agit pas d’un document de politique, mais d’une pratique.
Cette norme existe dans d’autres domaines parce que ces domaines l’ont construite au fil de décennies d’incidents, de réglementations et de connaissances institutionnelles accumulées. La gouvernance de l’IA n’en est qu’à quelques années de ce même processus. La plupart des organisations n’ont pas encore eu le temps, le mandat ou la fonction de contrainte pour développer leur gouvernance de l’IA avec le même niveau de rigueur que les pratiques de conformité et de sécurité qu’elles ont mis des années à mûrir.
La pression concurrentielle aggrave le problème. Face à tant d’incertitudes sur les marchés et à un environnement réglementaire encore en train de prendre forme, de nombreuses organisations évoluent plus rapidement que leurs programmes de gouvernance ne peuvent suivre le rythme. Nous voyons la maturité de l’industrie, ses normes et ses réglementations se construire en temps réel.
Les contraintes doivent primer
La leçon la plus importante de l’annonce de Glasswing concerne la séquence. Anthropic n'a pas construit Mythos Preview, puis n'a pas demandé s'il était sûr de le publier. L'entreprise a évalué rigoureusement les capacités du système, a conclu que l'infrastructure de contraintes n'existait pas pour le déployer de manière responsable et a choisi de ne pas le rendre public. La question de la gouvernance est arrivée avant la décision de déploiement.
Malheureusement, cette séquence est plus souvent l’exception que la règle dans les entreprises, en raison des forces du marché qui récompensent la rapidité et d’un écosystème de gouvernance qui n’a pas encore rattrapé son retard.
Le jour de l'annonce, le chroniqueur du New York Times, Thomas Friedman, a qualifié ce que Mythos Preview représente de potentiellement aussi conséquent que l'émergence des armes nucléaires et la nécessité de la non-prolifération, une capacité qu'aucune organisation ou aucun pays ne peut gérer seul. Il n’a pas tort, mais l’échelle civilisationnelle n’excuse pas celle organisationnelle. Chaque organisation déployant des systèmes d'IA aujourd'hui est confrontée à une version de la même question à laquelle Anthropic a répondu avec Mythe : l'infrastructure de contraintes est-elle adéquate par rapport à la capacité déployée ?
De nombreuses organisations ne disposent pas encore de réponse fiable. Ce n'est pas par indifférence, mais parce que les cadres, les normes et les orientations réglementaires nécessaires pour procéder à cette évaluation en toute confiance sont encore en cours d'élaboration.
Ne reportez pas la décision
Le projet Glasswing est un début, impliquant plusieurs organisations, un mandat défensif et un engagement de 100 millions de dollars appliqué à une menace spécifique. Ce n’est pas une solution au défi plus large qu’il a mis en lumière.
Ce défi appartient à chaque organisation qui crée ou déploie l’IA. Considérez l’adéquation des contraintes comme une condition préalable au déploiement et non comme une tâche de correction post-déploiement. Mesurez l’écart entre ce que disent les documents de gouvernance et ce que font réellement les systèmes d’IA. Reconnaître qu’à mesure que les capacités de l’IA progressent, les systèmes de contraintes conçus pour les capacités actuelles nécessitent une réévaluation continue.
Le choix d'Anthropic a démontré quelque chose de rare : la discipline nécessaire pour poser honnêtement la question de la gouvernance et agir en fonction de la réponse, même lorsque la réponse n'était pas pratique.
Les organisations qui seront du bon côté de l’histoire d’IA sont celles qui posent cette question maintenant – avant l’incident qui rend la réponse indéniable.
John Waller est responsable de la pratique de conseil en matière de risques au sein de la société de services de sécurité gérés UltraViolet Cyber Inc. Il a écrit cet article pour SiliconANGLE.
