Anthropic, en collaboration avec 12 géants de l’industrie, lance le projet « Glasswing » afin de corriger les vulnérabilités logicielles mondiales à l’aide de Mythos, son modèle encore non publié et le plus puissant à ce jour.
TechFlow SélectionTechFlow Sélection
Anthropic, en collaboration avec 12 géants de l’industrie, lance le projet « Glasswing » afin de corriger les vulnérabilités logicielles mondiales à l’aide de Mythos, son modèle encore non publié et le plus puissant à ce jour.
Le projet Glasswing constitue une étape essentielle pour permettre aux défenseurs d’acquérir un avantage durable dans l’ère imminente de la cybersécurité pilotée par l’intelligence artificielle.
Dédié à des analyses Web3 approfondiesAuteur : Anthropic
Traduction et adaptation : TechFlow
Introduction de TechFlow : Anthropic a publié un modèle de pointe non encore rendu public, Claude Mythos Preview, dont les capacités d’audit de code dépassent désormais celles de la grande majorité des experts humains en sécurité, lui permettant de découvrir de manière autonome des vulnérabilités zéro-day existant depuis plusieurs décennies.
Sur la base de cette capacité, Anthropic a lancé conjointement avec AWS, Apple, Google, Microsoft, NVIDIA et dix autres géants technologiques l’initiative « Project Glasswing », dotée d’un crédit de 100 millions de dollars, dans le but de corriger préventivement les vulnérabilités critiques présentes dans les logiciels essentiels à l’échelle mondiale — avant que des acteurs malveillants n’acquièrent des capacités équivalentes.
Introduction
Nous annonçons aujourd’hui « Project Glasswing » (Projet Aile de verre), une nouvelle initiative réunissant Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Fondation Linux, Microsoft, NVIDIA et Palo Alto Networks, dont l’objectif est de protéger la sécurité des logiciels les plus critiques au niveau mondial.
Nous lançons « Project Glasswing » parce qu’un nouveau modèle de pointe entraîné par Anthropic a démontré des capacités que nous jugeons susceptibles de transformer radicalement le paysage de la cybersécurité. Claude Mythos Preview est un modèle généraliste de pointe, non encore publié, qui révèle une réalité brutale : les capacités de codage des modèles d’IA ont atteint un niveau tel que, pour la découverte et l’exploitation de vulnérabilités logicielles, ils surpassent tous les experts humains sauf les plus exceptionnels.
Mythos Preview a déjà identifié des milliers de vulnérabilités critiques, couvrant tous les systèmes d’exploitation majeurs ainsi que tous les navigateurs web les plus utilisés. Compte tenu du rythme actuel des progrès de l’IA, cette capacité se répandra vraisemblablement dans un avenir proche, pouvant alors tomber entre les mains d’utilisateurs irresponsables. Les conséquences économiques, pour la sécurité publique et pour la sécurité nationale, pourraient être extrêmement graves. « Project Glasswing » constitue une tentative urgente de prioriser l’usage défensif de ces capacités.
Dans le cadre de « Project Glasswing », les partenaires cités ci-dessus utiliseront Mythos Preview dans leurs activités défensives de cybersécurité ; Anthropic partagera les enseignements tirés afin que l’ensemble du secteur en bénéficie. Nous avons également ouvert l’accès à plus de 40 autres organisations chargées de développer ou de maintenir des infrastructures logicielles critiques, leur permettant d’analyser et de renforcer leurs propres systèmes ainsi que les projets open source. À cet effet, Anthropic s’engage à allouer jusqu’à 100 millions de dollars sous forme de crédits d’utilisation de Mythos Preview, ainsi qu’à verser directement 4 millions de dollars à des organisations dédiées à la sécurité open source.
« Project Glasswing » ne constitue qu’un point de départ. Aucune institution ne peut résoudre seule les problèmes de cybersécurité : les développeurs de modèles d’IA de pointe, les autres entreprises logicielles, les chercheurs en sécurité, les mainteneurs de projets open source, ainsi que les gouvernements du monde entier, jouent tous un rôle irremplaçable. La protection de l’infrastructure cybernétique mondiale pourrait nécessiter plusieurs années ; tandis que les capacités d’IA de pointe pourraient progresser de façon spectaculaire dès les prochains mois. Pour conserver un avantage stratégique, les défenseurs cybernétiques doivent agir dès maintenant.
La cybersécurité à l’ère de l’IA
Les logiciels dont nous dépendons quotidiennement — ceux qui pilotent les systèmes bancaires, stockent les dossiers médicaux, connectent les réseaux logistiques ou assurent le fonctionnement du réseau électrique — comportent toujours des bogues. La plupart sont sans gravité, mais certains constituent de sérieuses failles de sécurité, qu’une fois découvertes, permettent aux attaquants de prendre le contrôle des systèmes, de paralyser les opérations ou de voler des données.
Les conséquences destructrices des cyberattaques sur les réseaux d’entreprises, les systèmes de santé, les infrastructures énergétiques, les centres de transport, et les institutions gouvernementales de divers pays — comme le montrent les rapports sur la cyberattaque SolarWinds et sur la cyberattaque contre le département américain du Trésor — sont désormais bien documentées. À l’échelle mondiale, les attaques menées par des États tels que la Chine, l’Iran, la Corée du Nord et la Russie menacent déjà les infrastructures essentielles à la vie civile et à la préparation militaire. Même des attaques ciblées relativement modestes contre un hôpital ou une école peuvent engendrer des pertes économiques considérables, exposer des données sensibles, voire mettre des vies en danger. L’estimation précise des pertes économiques annuelles dues à la cybercriminalité mondiale reste difficile, mais elles pourraient s’élever à environ 500 milliards de dollars.
Auparavant, de nombreux défauts logiciels restaient non détectés pendant des années, car leur découverte et leur exploitation exigeaient des connaissances spécialisées détenues uniquement par une poignée d’experts en sécurité. Or, avec l’apparition des derniers modèles d’IA de pointe, le coût, l’effort et le seuil d’expertise requis pour identifier et exploiter les vulnérabilités logicielles se sont fortement abaissés. Au cours de l’année écoulée, les modèles d’IA ont considérablement renforcé leurs compétences en lecture et raisonnement de code, notamment pour la détection de vulnérabilités et la conception d’exploits. Claude Mythos Preview marque un bond qualitatif dans ces domaines de la cybersécurité : il a identifié certaines vulnérabilités ayant survécu à des décennies d’examens humains et à des millions de tests automatisés de sécurité, tandis que les exploits qu’il génère deviennent de plus en plus sophistiqués.
Dix ans après la première édition du Cyber Grand Challenge organisé par DARPA, les modèles d’IA de pointe approchent, voire égalent, les capacités des meilleurs experts humains en matière de détection et d’exploitation de vulnérabilités. En l’absence de mesures de sécurité adéquates, ces puissantes capacités cybernétiques pourraient être utilisées pour exploiter les nombreuses failles encore présentes dans les logiciels les plus importants au monde. Les cyberattaques deviendraient plus fréquentes, plus destructrices, et renforceraient la puissance des adversaires des États-Unis et de leurs alliés. Il s’agit donc d’une priorité stratégique de sécurité que les démocraties ne peuvent ignorer.
La bonne nouvelle est que les mêmes capacités qui rendent les modèles d’IA dangereux entre de mauvaises mains les rendent également extrêmement utiles pour détecter et corriger les défauts critiques des logiciels — et contribuent aussi à produire de nouveaux logiciels contenant moins de bogues de sécurité. « Project Glasswing » constitue une étape essentielle pour permettre aux défenseurs de construire un avantage durable dans l’ère imminente de la cybersécurité pilotée par l’IA.
Capacités de Claude Mythos Preview en matière de détection de vulnérabilités et de génération d’exploits
Ces dernières semaines, nous avons utilisé Claude Mythos Preview pour identifier des milliers de vulnérabilités zéro-day (c’est-à-dire des défauts totalement inconnus des développeurs logiciels) dans chaque système d’exploitation majeur, chaque navigateur web dominant, ainsi que dans une série d’autres logiciels critiques ; beaucoup de ces vulnérabilités sont classées comme hautement critiques.
Dans le blog du Frontier Red Team, nous divulguons les détails techniques de certaines de ces vulnérabilités déjà corrigées, ainsi que les exploits identifiés par Mythos Preview. Dans presque tous les cas, la découverte de ces vulnérabilités (et souvent la conception des exploits associés) a été réalisée entièrement de façon autonome par le modèle, sans aucune intervention humaine. Voici trois exemples :
- Mythos Preview a découvert dans OpenBSD une vulnérabilité datant de 27 ans. Réputé pour son niveau élevé de durcissement de sécurité, OpenBSD est largement utilisé dans les pare-feu et d’autres infrastructures critiques. Cette vulnérabilité permet à un attaquant de provoquer un arrêt brutal à distance de la machine cible simplement en s’y connectant.
- Il a également mis en évidence, dans FFmpeg, une vulnérabilité vieille de 16 ans. FFmpeg est utilisé par une multitude d’applications pour le codage/décodage vidéo. Le problème réside dans une seule ligne de code, que des outils de test automatisés ont exécutée 5 millions de fois sans jamais révéler la faille.
- Le modèle a découvert de façon autonome, puis enchaîné, plusieurs vulnérabilités du noyau Linux (sur lequel fonctionnent la plupart des serveurs mondiaux), réalisant ainsi une élévation de privilèges permettant de passer d’un accès utilisateur standard à un contrôle total de la machine.
Toutes ces vulnérabilités ont été signalées aux mainteneurs respectifs des logiciels concernés et ont été corrigées. Pour de nombreuses autres vulnérabilités, nous fournissons aujourd’hui des hachages cryptographiques chiffrés (voir le blog du Red Team), afin de publier les détails spécifiques une fois les correctifs appliqués.
Des benchmarks d’évaluation tels que CyberGym confirment également l’écart significatif entre Mythos Preview et notre modèle suivant en puissance, Claude Opus 4.6 :
Réplication de vulnérabilités cybernétiques – CyberGym
Outre nos propres travaux, de nombreux partenaires utilisent déjà Claude Mythos Preview depuis plusieurs semaines. Voici leurs retours :
« Les capacités de l’IA ont franchi un seuil critique qui transforme fondamentalement, et de façon irréversible, l’urgence requise pour protéger les infrastructures critiques contre les menaces cybernétiques. Nos premiers travaux avec ces modèles démontrent qu’il est désormais possible d’identifier et de corriger les failles de sécurité dans le matériel et les logiciels à une vitesse et une échelle sans précédent. Ce changement profond constitue un signal clair : les méthodes traditionnelles de durcissement des systèmes ne suffisent plus. Les fournisseurs technologiques doivent immédiatement adopter activement de nouvelles approches, et leurs clients doivent se préparer à les déployer. C’est précisément pourquoi Cisco rejoint « Project Glasswing » : ce travail est trop important et trop urgent pour être mené isolément. »
— Anthony Grieco, vice-président senior et directeur de la sécurité et de la confiance chez Cisco
« Chez AWS, nous construisons des défenses avant même l’apparition des menaces, de la conception de puces personnalisées jusqu’à l’ensemble de la pile technologique. La sécurité n’est pas une phase ponctuelle : elle est continue et intégrée dans tout ce que nous faisons. Notre équipe analyse quotidiennement plus de 400 billions de requêtes réseau pour détecter les menaces, et l’IA constitue le cœur de notre capacité défensive à grande échelle. Nous testons déjà Claude Mythos Preview dans nos opérations de sécurité, en l’appliquant à des bases de code critiques, où il nous aide déjà à renforcer la robustesse de nos codes. Nous apportons à cette collaboration avec Anthropic une expertise approfondie en matière de sécurité, et contribuons à améliorer Claude Mythos Preview afin que davantage d’organisations puissent faire avancer leurs travaux selon les normes de sécurité les plus élevées. »
— Amy Herzog, vice-présidente et directrice de la sécurité de l’information chez Amazon Web Services
« Lorsque la cybersécurité n’est plus limitée aux capacités purement humaines, l’opportunité d’utiliser de façon responsable l’IA pour renforcer massivement la sécurité et réduire les risques est sans précédent. L’adhésion à « Project Glasswing » et l’accès à Claude Mythos Preview nous permettent d’identifier et d’atténuer les risques dès les premiers stades, d’améliorer nos solutions de sécurité et de développement, et ainsi de mieux protéger nos clients — et Microsoft. Lors de nos tests sur notre benchmark open source de sécurité CTI-REALM, Claude Mythos Preview a démontré des progrès substantiels par rapport aux modèles antérieurs. Nous sommes impatients de collaborer avec Anthropic et l’ensemble du secteur afin d’améliorer les résultats en matière de sécurité pour tous. »
— Igor Tsyganskiy, vice-président exécutif de la cybersécurité et de la recherche chez Microsoft
« La fenêtre temporelle entre la découverte d’une vulnérabilité et son exploitation par des attaquants s’est effondrée : ce qui prenait des mois autrefois peut désormais être accompli en quelques minutes grâce à l’IA. Claude Mythos Preview illustre la possibilité pour les défenseurs d’agir à grande échelle ; or, les attaquants chercheront inévitablement à exploiter les mêmes capacités. Ce constat ne justifie pas de ralentir, mais au contraire d’accélérer collectivement. Déployer l’IA implique nécessairement de garantir sa sécurité. C’est pourquoi CrowdStrike s’est impliqué dès le premier jour. »
— Elia Zaitsev, directeur technique chez CrowdStrike
« Autrefois, l’expertise en sécurité était un luxe réservé aux organisations disposant de vastes équipes dédiées. Les mainteneurs de logiciels open source — dont les produits soutiennent la majeure partie des infrastructures critiques mondiales — ont traditionnellement dû se débrouiller seuls face aux défis de sécurité. Les logiciels open source constituent la plus grande part du code moderne, y compris celui utilisé par les agents IA eux-mêmes pour générer de nouveaux logiciels. En donnant aux mainteneurs de ces bibliothèques open source critiques un accès aux nouveaux modèles d’IA capables d’identifier et de corriger activement les vulnérabilités à grande échelle, « Project Glasswing » offre une voie concrète pour changer cette situation. C’est ainsi que la sécurité renforcée par l’IA passe d’un outil réservé aux grandes équipes à un assistant fiable pour chaque mainteneur. »
— Jim Zemlin, PDG de la Fondation Linux
« Renforcer la cybersécurité et la résilience du système financier est au cœur de la mission de JPMorgan Chase, et nous sommes convaincus que le secteur est le plus fort lorsqu’il s’agit d’institutions de premier plan qui collaborent face à des défis communs. « Project Glasswing » offre une opportunité unique, à un stade précoce, d’évaluer selon nos propres critères les capacités des prochains outils d’IA dans le domaine de la cybersécurité défensive des infrastructures critiques, tout en œuvrant aux côtés de leaders technologiques reconnus. Nous adopterons une démarche rigoureuse et indépendante pour déterminer comment avancer et comment apporter notre contribution. L’initiative d’Anthropic incarne précisément l’approche prospective et collaborative requise par ce moment historique. »
— Pat Opet, directeur de la sécurité de l’information chez JPMorgan Chase
« Google se félicite de la création de cette initiative intersectorielle en matière de cybersécurité et fournit Mythos Preview aux participants via Vertex AI. La collaboration interindustrielle sur les nouveaux enjeux de sécurité a toujours été cruciale, qu’il s’agisse de la cryptographie post-quantique, de la divulgation responsable de vulnérabilités zéro-day, de la sécurité des logiciels open source ou de la défense contre les attaques basées sur l’IA. Nous sommes convaincus que l’IA soulève à la fois de nouveaux défis et de nouvelles opportunités en cybersécurité — c’est pourquoi nous avons développé des outils pilotés par l’IA tels que Big Sleep et CodeMender pour détecter et corriger les défauts critiques des logiciels. Nous continuerons d’investir dans des plateformes de cybersécurité de pointe, ainsi que dans une culture centrée sur la protection des utilisateurs, des clients, des écosystèmes et de la sécurité nationale. »
— Heather Adkins, vice-présidente de l’ingénierie de la sécurité chez Google
« Ces dernières semaines, nous avons utilisé le modèle Claude Mythos Preview pour identifier des vulnérabilités complexes totalement passées inaperçues par les générations précédentes de modèles. Cela ne change pas seulement les règles du jeu en matière de détection de vulnérabilités cachées, mais signifie aussi que les attaquants seront bientôt capables de découvrir davantage de vulnérabilités zéro-day et d’en développer des exploits plus rapidement que jamais. Il est donc évident que ces modèles doivent être mis entre les mains des propriétaires de projets open source et de tous les défenseurs, afin de détecter et corriger les vulnérabilités avant que les attaquants n’y aient accès. Plus important encore : chacun doit se préparer à faire face à des attaquants assistés par l’IA. Les attaques seront plus nombreuses, plus rapides et plus complexes. L’heure est venue de moderniser globalement nos systèmes de cybersécurité. Nous saluons l’initiative d’Anthropic de collaborer avec le secteur afin de garantir que ces puissantes capacités soient prioritairement mises au service de la défense. »
— Lee Klarich, directeur produit et technique chez Palo Alto Networks
Les puissantes capacités de cybersécurité de Claude Mythos Preview découlent de ses remarquables compétences en codage d’agents et en raisonnement. Les résultats d’évaluation ci-dessous montrent que ce modèle obtient les scores les plus élevés jamais enregistrés sur une série de tâches logicielles de codage.
Codage d’agents
Raisonnement
Recherche d’agents et utilisation informatique
Notes :
- SWE-bench Verified, Pro et Multilingual : certains problèmes ont été marqués comme potentiellement soumis à un phénomène de mémorisation. Une fois ces problèmes exclus, l’avantage relatif de Mythos Preview par rapport à Opus 4.6 demeure inchangé.
- SWE-bench Multimodal : implémentation interne ; les scores ne sont pas directement comparables aux classements publics.
- Terminal-Bench 2.0 : implémentation basée sur le cadre Terminus-2, mode de réflexion adaptatif avec effort maximal, budget global de 1 million de tokens par tâche, configuration de ressources de 1× garantie / 3× limite, moyenne calculée sur 5 tentatives par tâche. En augmentant la limite de temps à 4 heures et en mettant à jour Terminal-Bench vers la version 2.1, le score de Mythos Preview atteint 92,1 %.
- BrowseComp : le score de Claude Mythos Preview est supérieur à celui d’Opus 4.6, tout en consommant seulement 1/4,9 des tokens.
- Humanity's Last Exam : Mythos obtient de bons résultats même en mode à faible effort, ce qui pourrait indiquer un certain degré de mémorisation.
Pour plus d’informations sur les capacités, les caractéristiques de sécurité et les propriétés fondamentales de ce modèle, veuillez consulter la fiche système de Claude Mythos Preview.
Nous ne prévoyons pas de rendre Claude Mythos Preview accessible au grand public. Toutefois, notre objectif final est de permettre aux utilisateurs de déployer à grande échelle des modèles de niveau Mythos — non seulement en cybersécurité, mais aussi dans les nombreux autres domaines où ces modèles à haute capacité offriront une valeur ajoutée. Pour cela, nous devons faire des progrès décisifs dans le développement de mesures de sécurité (notamment en cybersécurité) capables de détecter et de bloquer les sorties les plus dangereuses du modèle. Nous prévoyons de déployer de nouvelles protections de sécurité dans le prochain modèle Claude Opus, ce qui nous permettra d’affiner et d’améliorer ces mécanismes à l’aide d’un modèle ne présentant pas le même niveau de risque que Mythos Preview.
Étapes suivantes de « Project Glasswing »
L’annonce d’aujourd’hui marque le début d’un engagement à long terme. Pour réussir, une participation large, tant au sein qu’en dehors de l’industrie technologique, sera indispensable.
Les partenaires de « Project Glasswing » auront accès à Claude Mythos Preview afin d’identifier et de corriger les vulnérabilités et faiblesses de leurs systèmes fondamentaux — systèmes qui représentent une part importante de la surface d’attaque commune mondiale. Les axes prioritaires devraient inclure la détection locale de vulnérabilités, les tests boîte-noire binaires, le durcissement des points de terminaison et les tests d’intrusion systémiques.
Le crédit de 100 millions de dollars alloué par Anthropic à « Project Glasswing » et à ses autres participants couvrira une utilisation intensive pendant la phase de prévisualisation de recherche. Par la suite, Claude Mythos Preview sera proposé aux participants au prix de 25 dollars par million de tokens d’entrée / 125 dollars par million de tokens de sortie (les participants pourront y accéder via l’API Claude, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry).
En complément de ce crédit d’utilisation, nous avons versé 2,5 millions de dollars à Alpha-Omega et à OpenSSF via la Fondation Linux, et 1,5 million de dollars à la Apache Software Foundation, afin d’aider les mainteneurs de logiciels open source à faire face à cette évolution du paysage (les mainteneurs intéressés peuvent demander un accès via le programme Claude for Open Source).
Nous envisageons d’étendre progressivement la portée de ce projet sur plusieurs mois, tout en partageant le plus largement possible les enseignements tirés, afin que d’autres organisations puissent les appliquer à leur propre stratégie de sécurité. Les partenaires partageront mutuellement, dans la mesure du possible, informations et bonnes pratiques ; dans un délai de 90 jours, Anthropic publiera un rapport sur ses découvertes, ainsi que sur les vulnérabilités corrigées et les améliorations rendues publiques. Nous collaborerons également avec des organisations de sécurité de premier plan afin d’élaborer un ensemble de recommandations pratiques sur l’évolution des pratiques de sécurité à l’ère de l’IA, couvrant probablement : les procédures de divulgation de vulnérabilités, les processus de mise à jour logicielle, la sécurité des logiciels open source et des chaînes d’approvisionnement, les cycles de développement logiciel et les pratiques de conception sécurisée, les normes sectorielles réglementées, la triage étendu et l’automatisation, ainsi que l’automatisation des correctifs.
Anthropic discute également avec des responsables gouvernementaux américains des capacités offensives et défensives de Claude Mythos Preview en matière de cybersécurité. La protection des infrastructures critiques constitue une priorité absolue de sécurité nationale pour les démocraties — l’émergence de ces capacités cybernétiques souligne une nouvelle fois la nécessité pour les États-Unis et leurs alliés de conserver une avance décisive dans le domaine de l’IA. Le gouvernement a un rôle indispensable à jouer pour aider à maintenir cette suprématie, ainsi que pour évaluer et atténuer les risques liés à la sécurité nationale posés par les modèles d’IA. Nous sommes prêts à collaborer avec les représentants gouvernementaux de tous niveaux pour les y aider.
Nous espérons que « Project Glasswing » catalysera un effort plus vaste, rassemblant à la fois le secteur privé et le secteur public, afin de relever collectivement le défi le plus pressant lié à l’impact de modèles puissants sur la sécurité. Nous invitons les autres acteurs du secteur de l’IA à rejoindre cette initiative et à contribuer à l’élaboration de normes industrielles. À moyen terme, un organisme tiers indépendant — capable de réunir des organisations issues à la fois du secteur privé et du secteur public — pourrait constituer la plateforme idéale pour porter les prochaines phases de ces vastes projets de cybersécurité.
Notes complémentaires
- Ce projet tire son nom du papillon « aile de verre » (Greta oto). Cette métaphore comporte deux dimensions : les ailes transparentes du papillon lui permettent de rester invisible, tout comme les vulnérabilités dissimulées dans le code mentionnées ici ; la transparence de ses ailes lui permet aussi d’éviter les dangers, à l’instar de notre approche fondée sur la transparence.
- Le mot « Mythos » provient du grec ancien et signifie « récit » ou « histoire » : le système narratif par lequel les civilisations comprennent le monde.
- Les professionnels de la sécurité légitimes dont les activités pourraient être affectées par ces mesures de sécurité peuvent demander à participer au programme de vérification cybernétique (Cyber Verification Program), qui sera bientôt lancé.
Bienvenue dans la communauté officielle TechFlow
Groupe Telegram :https://t.me/TechFlowDaily
Compte Twitter officiel :https://x.com/TechFlowPost
Compte Twitter anglais :https://x.com/BlockFlow_News
@AnthropicAI
