La startup d'IA Anthropic a lancé mardi le projet Glasswing, une coalition regroupant 12 géants de la technologie et de la finance, afin de déployer son modèle non publié Claude Mythos Preview pour identifier et corriger les vulnérabilités logicielles critiques. L'initiative réunit des concurrents comme Google et Microsoft avec des acteurs historiques de la cybersécurité tels que CrowdStrike et Palo Alto Networks pour devancer les menaces alimentées par l'IA.
« Étant donné le rythme des progrès de l'IA, il ne faudra pas longtemps avant que de telles capacités ne prolifèrent... Les retombées — pour les économies, la sécurité publique et la sécurité nationale — pourraient être graves », a déclaré Newton Cheng, Frontier Red Team Cyber Lead chez Anthropic, lors d'une interview.
Le modèle a déjà identifié des milliers de failles, dont une vulnérabilité vieille de 27 ans dans le système d'exploitation sécurisé OpenBSD et un bug de 16 ans dans la bibliothèque vidéo FFmpeg, selon un communiqué de la société. Sur le benchmark d'évaluation CyberGym, Mythos Preview a obtenu un score de 83,1 %, dépassant de loin les 66,6 % du deuxième meilleur modèle d'Anthropic, Claude Opus 4.6.
Le projet vise à donner une longueur d'avance aux défenseurs alors que le chiffre d'affaires annualisé d'Anthropic dépasse les 30 milliards de dollars, sur fond de rumeurs d'une éventuelle introduction en bourse en octobre 2026. Pour des partenaires comme Palo Alto Networks et CrowdStrike, l'initiative représente un test critique des capacités défensives de l'IA face aux attaques pilotées par l'IA qui remodèlent le secteur de la cybersécurité, lequel a vu les actions des deux firmes chuter le mois dernier à l'annonce de la puissance du modèle.
Un modèle trop dangereux pour une diffusion publique
Anthropic affirme qu'elle ne rendra pas Claude Mythos Preview accessible au grand public en raison de ses capacités avancées en cybersécurité. Les tests internes de l'entreprise montrent que le modèle peut trouver de manière autonome et enchaîner plusieurs vulnérabilités dans le noyau Linux pour passer d'un accès utilisateur ordinaire au contrôle total d'une machine. Ses performances sur les benchmarks de codage soulignent l'écart de capacité, avec un score de 93,9 % sur SWE-bench Verified, contre 80,8 % pour Opus 4.6.
La société s'engage à offrir jusqu'à 100 millions de dollars de crédits d'utilisation à ses partenaires et fait un don de 4 millions de dollars à des organisations de sécurité open source, notamment la Linux Foundation et la Apache Software Foundation, pour gérer le processus de divulgation. « Par le passé, l'expertise en sécurité était un luxe », a déclaré Jim Zemlin, PDG de la Linux Foundation. « Le projet Glasswing offre une voie crédible pour changer cette équation. »
Un pari sur la transparence malgré les failles de sécurité
Cette annonce fait suite à plusieurs incidents de sécurité embarrassants pour Anthropic, notamment une mauvaise configuration de CMS en mars qui a exposé des documents internes et une erreur d'empaquetage qui a brièvement fuité le code source de son outil Claude Code. Bien que l'entreprise ait déclaré qu'il s'agissait d'erreurs humaines dans les outils de publication et non de violations de son architecture de sécurité de base, ces incidents soulèvent des questions de confiance au moment où elle demande à ses partenaires de s'appuyer sur son modèle le plus puissant.
Anthropic soutient que le projet est un pari nécessaire. L'entreprise pense que les capacités de modèles comme Mythos Preview se généraliseront en quelques mois, et non en années, et que la seule décision responsable est d'armer les défenseurs en premier. C'est le pari que fournir un accès restreint aux partenaires dès maintenant peut construire une défense plus solide avant que des outils offensifs similaires ne tombent entre des mains moins scrupuleuses.
Cet article est à titre informatif uniquement et ne constitue pas un conseil en investissement.
