L'IA la plus puissante d'Anthropic au monde si forte qu'elle a fait tenir une réunion d'urgence à Wall Street, mais JPMorgan manquait son "antidote"

Le 8 avril, U.S. Le secrétaire au Trésor Benson et le président de la Réserve fédérale Powell ont convoqué d'urgence les PDG de six banques d'importance systémique au siège du département du Trésor à Washington pour discuter des risques potentiels de cybersécurité posés par le nouveau modèle Mythos d'Anthropic. Selon Bloomberg, les PDG de Citigroup (Fraser), Morgan Stanley (Gorman), Bank of America (Moynihan), Wells Fargo (Scharf), et Goldman Sachs (Solomon) étaient tous présents. JPMorgan Chase (Dimon) n'a pas pu y assister en raison d'un "conflit d'horaire".

Il ne s'agissait pas d'une réunion réglementaire financière typique. La dernière fois qu'un secrétaire au Trésor et le président de la Fed ont convoqué conjointement les PDG des banques dans la même salle, c'était le 13 octobre 2008. Paulson et Bernanke avaient annoncé un plan de financement de 250 milliards de dollars pour tenter d'endiguer l'effondrement du système financier. Cette fois, le facteur déclenchant n'était pas le marché mais un modèle d'IA.

Et cette réunion n'était que la troisième vague de mesures réglementaires fédérales contre Anthropic en 44 jours.

Personnes dans le laboratoire et personnes dans la pièce, pratiquement aucun chevauchement

Mythos n'est pas dispersé de manière incontrôlable à travers le monde. Le 7 avril, Anthropic a publié officiellement la Mythos Preview et annoncé une initiative de cybersécurité défensive appelée Projet Glasswing, restreignant l'accès des modèles à 12 organisations partenaires. Parmi ces 12 entreprises figurent Amazon, Apple, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks et une institution financière, JPMorgan Chase.

Le problème, c'est que les personnes appelées à discuter des risques et les personnes qui ont reçu l'outil défensif sont presque deux groupes différents.

Les cinq PDG de banque présents supervisent collectivement environ 9.000 milliards de dollars d'actifs. Aucun de leurs établissements ne figure sur la liste Glasswing ou n'a accès à Mythos. Ils ont été appelés, semble-t-il par Bloomberg, pour "s'assurer que les banques comprennent les risques futurs posés par Mythos et des modèles similaires et prennent des mesures défensives". Cependant, l'outil défensif de base, Mythos lui-même, n'est pas à leur disposition.

Et la seule entité qui apparaît sur les deux listes, JPMorgan Chase, avait son PDG Dimon commodément absent.

Selon le site Anthropic, JPMorgan Chase est la seule institution financière parmi les 12 associés fondateurs de Glasswing. La banque dépense environ 600 millions de dollars par an en cybersécurité et compterait environ 3 000 employés dans ce domaine. Le même jour que la réunion d'urgence convoquée par Benson et Powell le 8 avril, les analystes de JPMorgan Chase ont publié un rapport recommandant d'investir dans CrowdStrike et Palo Alto Networks, citant la création de Glasswing comme raison.

D'un côté, les cinq banques appelées à discuter de la menace, sans outils en main. De l'autre côté, il y avait la seule banque qui disposait de l'outil, le PDG étant absent à la réunion, et l'analyste émettant toujours des notes d'achat aux partenaires. Ce que Glasswing fabriquait n'était pas seulement un obstacle technologique, mais un obstacle à l'information.

Ce qui s'est passé en 44 jours

Si vous deviez aligner les mesures réglementaires fédérales auxquelles Anthropic a dû faire face au cours des six dernières semaines, vous assisteriez à une réaction en chaîne sans précédent, tant en vitesse qu'en direction.

Le 24 février, le secrétaire à la Défense Hegesius a lancé un dernier ultimatum au PDG d'Anthropic Amodei: accepter la clause "tout usage licite" avant le 27 février à 17 h 01, sous peine de conséquences. Au cœur de cette clause se trouvait le différend sur deux restrictions d'utilisation qu'Anthropic avait conservées dans son contrat avec le Pentagone, interdisant l'utilisation de Claude pour la surveillance à grande échelle et les systèmes d'armes totalement autonomes. Selon CBS News, Hegesius a déclaré que "les guerriers américains ne devraient jamais être pris en otage par l'idéologie Big Tech." Emil Michael, directeur de la technologie du Pentagone, a ajouté: "À un certain niveau, vous devez avoir confiance que votre armée fera ce qu'il faut".

Anthropic a refusé. Le 27 février, Trump a ordonné aux agences fédérales de cesser d'utiliser les produits Anthropic. Ce même jour, Hegesius classa Anthropic comme un « risque pour la chaîne d'approvisionnement ».

Au cours des 44 jours suivants, trois paliers fédéraux ont pris presque simultanément des mesures contradictoires contre Anthropic.

Le 26 mars, le juge fédéral de San Francisco Lin a publié une injonction préliminaire de 43 pages, jugeant les actions du Pentagone "troublantes" et potentiellement en représailles contre Anthropic, arrêtant temporairement l'application de la désignation de risque pour la chaîne d'approvisionnement. Selon CNN, le juge a écrit dans la décision que les actions du gouvernement "violaient probablement la loi".

Le 8 avril, la Cour d'appel fédérale de DC a refusé la suspension de la désignation du Pentagone, annulant de fait la protection accordée par le tribunal de San Francisco. Le même jour, Bessent et Powell ont tenu cette réunion d'urgence.

Un tribunal protégeant l'entreprise, un autre soutenant les sanctions contre elle, tandis que le Trésor et la Fed en discutaient comme d'un risque systémique du point de vue de la stabilité financière. La même entité, au sein du même système fédéral, simultanément considérée comme un innovateur ayant besoin de protection et une menace contre laquelle il faut se prémunir.

À qui s'adressait l'étiquette « Risque pour la chaîne d'approvisionnement » à l'origine?

L'étiquette « risque de la chaîne d'approvisionnement » n'est pas n'importe quelle désignation administrative. À l'origine, il s'agissait d'un outil conçu par la Federal Communications Commission (FCC) pour contrer les menaces à la sécurité du matériel de communication étranger.

En 2019, le Congrès et la FCC ont initié pour la première fois ce processus de désignation pour Huawei et ZTE, citant leurs liens avec le gouvernement chinois, leurs obligations d'espionnage en vertu de la loi chinoise et les failles de sécurité connues dans leurs équipements. En juin 2020, la FCC a émis une ordonnance officielle de désignation. En 2021, Hikvision, Dahua, et Hytera ont été ajoutés à la liste. En 2022, le russe Kaspersky a également été inclus.

Selon les dossiers publics de FAC, avant Anthropic, toutes les entités inscrites sous cette désignation étaient des sociétés étrangères, et toutes étaient des sociétés étrangères identifiées comme présentant des risques techniques pour la sécurité.

Le 27 février 2026, Anthropic est devenue la première entreprise nationale américaine à être étiquetée « risque pour la chaîne d'approvisionnement ». Selon un rapport de TechPolicy.Press, la raison de la désignation n'était pas une faille de sécurité technique mais une rupture des termes de négociation du contrat, Anthropic ayant refusé de lever les restrictions sur l'utilisation de l'IA. Selon une évaluation réalisée par un chercheur en politique de sécurité de l’Université Northeastern, ce précédent pourrait avoir un effet dissuasif sur l’ensemble de l’industrie de l’IA, car refuser de coopérer avec les conditions d’utilisation militaire pourrait entraîner le plus haut niveau de sanctions de la chaîne d’approvisionnement.

Un outil de sanction conçu pour Huawei a été utilisé pour la première fois pour sanctionner une entreprise américaine qui refusait que son IA soit utilisée à des fins militaires sans restriction. C'est le même outil, mais la logique d'utilisation a complètement changé. Le 19 mai, la cour d'appel du circuit de DC entendra les plaidoiries sur cette affaire.

Lorsqu'un modèle d'IA est à la fois le meilleur outil de défense et la plus grande menace systémique, les cadres réglementaires existants n'ont été conçus avec aucun mécanisme pour traiter de cette dualité « capacité comme risque », et le processus visant à combler cette lacune réglementaire se déroule en temps réel au rythme d'un événement hebdomadaire au niveau fédéral.