L’arrivée de modèles d’intelligence artificielle capables de trouver seuls des failles logicielles inquiète l’écosystème de la finance décentralisée. En cause : « Mythos », un modèle frontière d’Anthropic dévoilé en avril 2026, présenté comme capable de surpasser presque tous les humains pour découvrir et exploiter des vulnérabilités. La crainte d’une vague d’attaques sur les protocoles DeFi non audités s’est répandue. Mais la réalité est plus nuancée que les titres alarmistes.

Au programme

  • Ce qu’est réellement Mythos
  • Ce que disent les données d’Anthropic
  • Pourquoi un audit ne suffit pas
  • La limite : les plus gros hacks ne sont pas du code
  • L’asymétrie attaquant contre défenseur

Qu’est-ce que Mythos, vraiment ?

Mythos n’est pas un outil dédié aux smart contracts, mais un modèle d’IA généraliste d’Anthropic. Dévoilé le 7 avril 2026 dans le cadre de Project Glasswing, il est décrit comme capable de dépasser tous les humains sauf les plus qualifiés pour trouver et exploiter des failles logicielles. Selon Anthropic, le modèle a déjà découvert des milliers de vulnérabilités de haute sévérité.

Point essentiel : Mythos n’est pas accessible au grand public. Anthropic le juge trop dangereux et en réserve l’accès à un cercle restreint d’organisations vérifiées, avec une enveloppe de 100 millions de dollars en crédits d’usage. Le lien direct entre Mythos et un effondrement de la DeFi relève donc de l’extrapolation médiatique, pas d’une affirmation d’Anthropic. Le vrai sujet de fond est la montée en puissance des agents IA face à du code mal sécurisé.

Que disent les données d’Anthropic sur les smart contracts ?

Le fait le mieux documenté vient d’une étude publiée par l’équipe red team d’Anthropic le 1er décembre 2025. Sur 405 contrats réellement exploités entre 2020 et 2025, des modèles ont produit des exploits clés en main pour 207 d’entre eux, soit 51 %, représentant 550,1 millions de dollars de fonds dérobés en simulation.

Sur des failles postérieures à la date de coupure des modèles, le taux de réussite atteignait 55,8 %. La conclusion la plus frappante de l’étude est sans appel : plus de la moitié des exploits blockchain réalisés en 2025, vraisemblablement par des humains qualifiés, auraient pu être exécutés de façon autonome par des agents IA actuels.

Exploits générés par des agents IA (% des contrats) Base historique 51 %

Failles récentes 56 %

Source : Anthropic, agents IA et exploitation de smart contracts, 1er décembre 2025.

Pourquoi un audit ne suffit-il pas ?

Un audit réduit le risque, il ne l’annule pas. Les analyseurs comme Slither, publié par Trail of Bits, ou les outils d’exécution symbolique constituent une base minimale, mais ils passent à côté de failles logiques complexes. L’histoire récente le confirme par l’exemple.

Euler Finance, pourtant audité, a perdu près de 197 millions de dollars en mars 2023 à cause d’une faille logique dans une fonction que l’audit n’avait pas détectée. Curve Finance a subi un vol d’environ 70 millions de dollars en juillet 2023, non à cause de son propre code, mais d’un bug du compilateur Vyper qui désactivait une protection. Selon une analyse de Halborn sur les cent plus gros hacks, les protocoles audités représentaient tout de même 20 % des piratages. Un smart contract audité reste donc vulnérable.

La limite : les plus gros hacks ne sont pas du code

C’est la nuance que les récits alarmistes oublient. Les vols les plus massifs ne viennent pas de failles de code qu’un outil d’analyse aurait repérées, mais de la compromission de clés privées et de l’ingénierie sociale. Radiant Capital a perdu une cinquantaine de millions de dollars en octobre 2024 après le piratage de plusieurs clés multi-signatures via un logiciel malveillant.

Dans ce cas, aucun scanner de smart contract n’aurait changé l’issue : le code n’était pas en cause. La sécurité opérationnelle, la gestion des clés en cold wallet et les dispositifs multi-sig restent décisifs. Une IA capable d’auditer du code ne protège pas contre un signataire trompé ou une clé volée.

L’asymétrie attaquant contre défenseur

Un outil de détection puissant profite aux deux camps. Côté défense, il permet d’auditer plus vite et de corriger avant le déploiement. Côté attaque, il abaisse le coût de la recherche de failles. Cette course oppose chapeaux blancs et chapeaux noirs, et la rapidité de correction devient le facteur clé.

Les programmes de bug bounties comme Immunefi structurent la défense en rémunérant la divulgation responsable des failles avant leur exploitation. La transparence du code des protocoles DeFi, souvent open source sur Ethereum et ses Layer 2, est à double tranchant : elle facilite l’audit autant que l’attaque. Pour l’utilisateur, la prudence reste la même : limiter son exposition, révoquer les autorisations inutiles et privilégier les protocoles éprouvés. Notre heatmap aide à suivre l’état du marché.

Questions fréquentes

Mythos va-t-il provoquer un effondrement de la DeFi ?

Rien ne l’indique. Mythos est un modèle non public d’Anthropic, à l’accès volontairement restreint, et l’entreprise n’a jamais annoncé une menace pour la DeFi. Le scénario d’effondrement est une extrapolation médiatique. Le risque réel et documenté est la capacité croissante des agents IA à exploiter du code mal sécurisé.

Un protocole audité est-il à l’abri d’un hack ?

Non. Un audit réduit le risque sans l’éliminer. Euler Finance, audité, a perdu 197 millions de dollars en 2023 sur une faille logique non détectée. Selon Halborn, les protocoles audités représentent 20 % des cent plus gros hacks. L’audit est nécessaire, mais il ne garantit pas la sécurité.

Les outils d’IA aident-ils les attaquants ou les défenseurs ?

Les deux. Un modèle capable de trouver des failles abaisse le coût de l’attaque comme celui de la défense. L’étude red team d’Anthropic montre que des agents IA ont généré des exploits pour 51 % de 405 contrats testés. La défense repose alors sur la rapidité de correction et les bug bounties.

Comment réduire son risque en DeFi face à ces menaces ?

En limitant l’exposition par protocole, en révoquant les autorisations de portefeuille inutiles et en privilégiant les protocoles audités et éprouvés. La conservation des actifs hors des contrats actifs, en wallet froid, réduit la surface d’attaque. Aucune mesure n’élimine le risque, mais ces réflexes le contiennent.

Sources

Nous ajouter à vos sources préférées sur Google