Accueil
Actualités
Détails

Anthropic lance le projet Project Glasswing de 100 millions de dollars avec 12 géants de la technologie pour corriger les vulnérabilités logicielles mondiales

iconTechFlow
Partager
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconRésumé

expand icon
Anthropic a annoncé Project Glasswing, une initiative de 100 millions de dollars avec AWS, Apple, Google, Microsoft, NVIDIA et neuf autres géants de la technologie pour lutter contre les vulnérabilités logicielles mondiales. Le projet utilise le modèle d'IA d'Anthropic, Claude Mythos Preview, pour détecter et corriger des failles critiques avant leur exploitation. L'entreprise offre 100 millions de dollars en crédits d'utilisation de modèle et 4 millions de dollars en soutien direct à des groupes de sécurité open source. Le modèle a déjà révélé des milliers de vulnérabilités zero-day dans les principaux systèmes d'exploitation et navigateurs, certaines remontant à plusieurs décennies. L'annonce du projet met en lumière un effort plus large visant à sécuriser l'infrastructure numérique, en phase avec les discussions mondiales en cours sur les politiques cryptographiques.

Auteur : Anthropic

Compilé par : Shenchao TechFlow

Guide de Shenchao : Anthropic a publié un modèle de pointe non encore rendu public, Claude Mythos Preview, dont les capacités d'audit de code dépassent celles de la majorité des experts en sécurité humains, permettant de découvrir des vulnérabilités zero-day existant depuis des décennies.

Sur la base de cette capacité, Anthropic a lancé avec AWS, Apple, Google, Microsoft, NVIDIA et 12 autres géants technologiques le projet Project Glasswing, en investissant un crédit de 100 millions de dollars afin de corriger les vulnérabilités des logiciels critiques mondiaux avant que les attaquants n'acquièrent la même capacité.

Introduction

Aujourd'hui, nous annonçons Project Glasswing, une nouvelle initiative réunissant Amazon Web Services (AWS), Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks dans le but de protéger la sécurité des logiciels les plus critiques au monde.

Nous avons lancé Project Glasswing parce qu'un nouveau modèle de pointe entraîné par Anthropic a démontré des capacités que nous pensons pouvoir redéfinir le paysage de la cybersécurité. Claude Mythos Preview est un modèle de pointe généraliste, encore non publié, qui révèle une réalité impitoyable : les capacités de codage des modèles d'IA ont atteint un niveau tel qu'ils peuvent surpasser tous les experts, à l'exception des plus chevronnés, en matière de découverte et d'exploitation de vulnérabilités logicielles.

Mythos Preview a déjà détecté des milliers de vulnérabilités critiques, couvrant chaque système d'exploitation majeur et chaque navigateur principal. À la vitesse actuelle des progrès de l'IA, cette capacité se répandra bientôt et risque de tomber entre les mains d'utilisateurs irresponsables. Les impacts sur l'économie, la sécurité publique et la sécurité nationale pourraient être très graves. Project Glasswing est une tentative urgente de prioriser ces capacités à des fins de défense.

Dans le cadre de Project Glasswing, les partenaires ci-dessus utiliseront Mythos Preview dans leurs travaux de sécurité défensive ; Anthropic partage les enseignements tirés pour bénéficier à l'ensemble de l'industrie. Nous avons également accordé l'accès à plus de 40 autres organisations qui construisent ou maintiennent des infrastructures logicielles critiques, leur permettant de scanner et de renforcer leurs propres systèmes ainsi que les systèmes open source. Anthropic s'engage à allouer jusqu'à 100 millions de dollars en crédits d'utilisation de Mythos Preview, ainsi qu'à faire un don direct de 4 millions de dollars à des organisations de sécurité open source.

Project Glasswing n'est qu'un point de départ. Aucune organisation ne peut résoudre seule les problèmes de cybersécurité : les développeurs d'IA de pointe, les autres entreprises logicielles, les chercheurs en sécurité, les mainteneurs open source et les gouvernements du monde entier jouent tous un rôle irremplaçable. La défense des infrastructures réseau mondiales pourrait nécessiter plusieurs années ; tandis que les capacités d'IA de pointe pourraient progresser considérablement dans les prochains mois. Pour prendre de l'avance, les défenseurs du cyberespace doivent agir dès maintenant.

Sécurité informatique à l'ère de l'IA

Les logiciels sur lesquels nous comptons quotidiennement — qui gèrent les systèmes bancaires, stockent les dossiers médicaux, relient les réseaux logistiques et maintiennent le fonctionnement du réseau électrique — contiennent toujours des bogues. La plupart sont sans importance, mais certains sont des failles de sécurité graves qui, une fois découvertes, permettent aux attaquants de prendre le contrôle des systèmes, de paralyser les opérations ou de voler des données.

Les conséquences destructrices des cyberattaques sur les réseaux d'entreprise, les systèmes médicaux, les infrastructures énergétiques, les infrastructures de transport ainsi que les gouvernements et organisations de divers pays sont bien connues. À l'échelle mondiale, les attaques nationales provenant de Chine, d'Iran, de Corée du Nord et de Russie menacent les infrastructures essentielles au fonctionnement de la vie civile et à la préparation militaire. Même des attaques de petite envergure ciblant un seul hôpital ou une école peuvent entraîner d'énormes pertes économiques, exposer des données sensibles et même mettre des vies en danger. Les pertes économiques annuelles dues à la cybercriminalité mondiale sont difficiles à estimer avec précision, mais elles pourraient se situer aux alentours de 500 milliards de dollars.

Par le passé, de nombreux défauts logiciels n'ont pas été découverts pendant des années, car leur détection et leur exploitation nécessitaient des compétences professionnelles propres à un très petit nombre d'experts en sécurité. Mais avec l'émergence des derniers modèles d'IA de pointe, le coût, l'effort et le niveau d'expertise requis pour découvrir et exploiter des vulnérabilités logicielles ont considérablement diminué. Au cours de la dernière année, les modèles d'IA ont considérablement amélioré leur capacité à lire et à raisonner sur le code, en particulier pour détecter des vulnérabilités et concevoir des exploits, avec des performances étonnantes. Claude Mythos Preview a réalisé une avancée majeure dans ces compétences de cybersécurité — il a découvert certaines vulnérabilités qui ont survécu pendant des décennies malgré des examens humains et des millions de tests de sécurité automatisés, et ses codes d'exploitation deviennent de plus en plus sophistiqués.

Dix ans après la première édition du DARPA Cyber Grand Challenge, les modèles d’IA de pointe approchent, voire égalent, les capacités des meilleurs humains à détecter et exploiter des vulnérabilités. Sans les mesures de sécurité nécessaires, ces puissantes capacités cybernétiques pourraient être utilisées pour exploiter les nombreuses failles existantes dans les logiciels les plus cruciaux au monde. Les attaques cybernétiques deviendront plus fréquentes, plus destructrices, et renforceront les adversaires des États-Unis et de leurs alliés. Il s’agit d’une priorité de sécurité que les pays démocratiques doivent prendre au sérieux.

La bonne nouvelle est que les capacités qui rendent les modèles d'IA dangereux entre de mauvaises mains les rendent également extrêmement précieuses pour découvrir et corriger des défauts logiciels critiques — et pour aider à produire de nouveaux logiciels présentant moins de bogues sécuritaires. Project Glasswing constitue une étape essentielle pour permettre aux défenseurs d'établir un avantage durable à l'ère imminente de la cybersécurité pilotée par l'IA.

Capacité de Claude Mythos Preview à détecter des vulnérabilités et des méthodes d'exploitation

Au cours des dernières semaines, nous avons utilisé Claude Mythos Preview pour découvrir des milliers de vulnérabilités zero-day (c’est-à-dire des défauts totalement inconnus des développeurs de logiciels) sur chaque système d’exploitation majeur, chaque navigateur principal et une série d’autres logiciels importants, dont beaucoup sont classées comme critiques.

Sur le blog Frontier Red Team, nous avons divulgué les détails techniques de certaines des vulnérabilités déjà corrigées, ainsi que les méthodes d'exploitation identifiées par Mythos Preview. La découverte de presque toutes ces vulnérabilités (et le développement de nombreuses exploitations associées) a été entièrement effectuée de manière autonome par le modèle, sans aucune intervention humaine. Voici trois exemples :

  • Mythos Preview a découvert une faille de 27 ans dans OpenBSD. OpenBSD est réputé pour son niveau extrêmement élevé de renforcement de la sécurité et est largement utilisé dans les pare-feux et autres infrastructures critiques. Cette faille permet à un attaquant de provoquer un plantage à distance de la machine cible simplement en se connectant.
  • Il a également découvert une faille de 16 ans dans FFmpeg. FFmpeg est utilisé par d'innombrables logiciels pour le codage et le décodage vidéo. Le problème provient d'une seule ligne de code, et des outils de test automatisés ont déjà ciblé cette ligne 5 millions de fois sans jamais détecter le problème.
  • Le modèle a découvert et chaîné plusieurs vulnérabilités au sein du noyau Linux (qui fait fonctionner la majorité des serveurs mondiaux), permettant une escalade de privilèges depuis un accès utilisateur standard jusqu'au contrôle total de la machine.

Nous avons signalé tous ces vulnérabilités aux maintaineurs des logiciels concernés, et elles ont toutes été corrigées. Pour de nombreuses autres vulnérabilités, nous fournissons aujourd'hui les hachages cryptographiques détaillés (voir le blog Red Team) et publierons les informations spécifiques une fois les correctifs appliqués.

Des benchmarks tels que CyberGym ont également confirmé l'écart significatif entre Mythos Preview et notre deuxième meilleur modèle, Claude Opus 4.6 :

Réplication de vulnérabilités de sécurité informatique - CyberGym

image

En plus de notre propre travail, de nombreux partenaires utilisent Claude Mythos Preview depuis plusieurs semaines. Voici leurs retours :

Les capacités de l'IA ont franchi un seuil, modifiant de façon fondamentale et irréversible l'urgence nécessaire pour protéger les infrastructures critiques contre les menaces cybernétiques. Nos travaux fondamentaux avec ces modèles démontrent qu'il est désormais possible d'identifier et de corriger des vulnérabilités de sécurité dans le matériel et le logiciel à une vitesse et une échelle sans précédent. Il s'agit d'une transformation profonde et d'un signal clair : les anciennes méthodes de renforcement des systèmes ne sont plus suffisantes. Les fournisseurs de technologies doivent adopter immédiatement et activement de nouvelles approches, et les clients doivent se préparer à les déployer. C'est la raison pour laquelle Cisco rejoint Project Glasswing — ce travail est trop important, trop urgent, pour être mené seul.

—— Anthony Grieco, vice-président senior et directeur de la sécurité et de la confiance de Cisco

Chez AWS, nous construisons des défenses avant même l’apparition des menaces, du chip personnalisé à l’ensemble de la pile technologique. La sécurité n’est pas une étape, elle est continue et intégrée à tout ce que nous faisons. Notre équipe analyse plus de 400 billions de flux réseau chaque jour pour détecter les menaces, et l’IA est au cœur de notre capacité de défense à grande échelle. Nous testons en continu Claude Mythos Preview dans nos propres opérations de sécurité, en l’appliquant à des dépôts de code critiques, où il nous aide déjà à renforcer le code. Nous apportons notre expertise approfondie en sécurité à notre collaboration avec Anthropic et aidons à renforcer Claude Mythos Preview afin que davantage d’organisations puissent avancer selon les normes de sécurité les plus élevées.

—— Amy Herzog, vice-présidente et directrice de la sécurité de l'information d'Amazon Web Services

Lorsque la cybersécurité n'est plus limitée par les seules capacités humaines, l'opportunité d'utiliser l'IA de manière responsable pour améliorer à grande échelle la sécurité et réduire les risques est sans précédent. Rejoindre Project Glasswing et obtenir l'accès à Claude Mythos Preview nous permet d'identifier et de atténuer les risques plus tôt, renforçant ainsi nos solutions de sécurité et de développement pour mieux protéger les clients et Microsoft. Lorsqu'il a été testé sur notre référence de sécurité open source CTI-REALM, Claude Mythos Preview a montré une amélioration substantielle par rapport aux modèles précédents. Nous sommes impatients de collaborer avec Anthropic et l'industrie dans son ensemble pour améliorer les résultats de sécurité pour tous.

—— Igor Tsyganskiy, vice-président exécutif de la cybersécurité et de la recherche Microsoft

La fenêtre entre la découverte d'une vulnérabilité et son exploitation par des attaquants s'est effondrée — ce qui prenait des mois auparavant peut désormais être accompli en quelques minutes grâce à l'IA. La prévisualisation de Claude Mythos démontre la possibilité d'une action massive de la part des défenseurs, tandis que les adversaires chercheront inévitablement à exploiter les mêmes capacités. Ce n'est pas une raison de ralentir, mais une raison de progresser plus vite ensemble. Pour déployer l'IA, il faut des garanties de sécurité. C'est la raison pour laquelle CrowdStrike est impliquée dès le premier jour.

—— Elia Zaitsev, chef technologue de CrowdStrike

Par le passé, l'expertise en sécurité était un luxe réservé aux organisations disposant d'équipes de sécurité importantes. Les maintaineurs de logiciels open source — dont les logiciels soutiennent la majeure partie des infrastructures critiques mondiales — ont toujours dû trouver eux-mêmes des solutions pour assurer la sécurité. Les logiciels open source constituent la grande majorité du code dans les systèmes modernes, y compris les systèmes utilisés par les agents d'IA pour écrire de nouveaux logiciels. En offrant aux maintaineurs de ces bibliothèques open source critiques l'accès à de nouveaux modèles d'IA capables d'identifier et de corriger proactivement des vulnérabilités à grande échelle, Project Glasswing offre un chemin concret pour changer cette situation. Voici comment la sécurité renforcée par l'IA peut passer d'un outil exclusif aux grandes équipes à un assistant fiable pour chaque maintaineur.

—— Jim Zemlin, PDG de la Linux Foundation

Promouvoir la cybersécurité et la résilience du système financier est au cœur de la mission de JPMorgan Chase, et nous croyons que l'industrie est la plus forte lorsque les institutions leaders collaborent sur des défis communs. Project Glasswing offre une opportunité unique et précoce d'évaluer selon nos propres critères la capacité des outils d'IA de nouvelle génération à défendre les infrastructures critiques, tout en travaillant aux côtés de leaders technologiques respectés. Nous adopterons une approche rigoureuse et indépendante pour déterminer comment avancer et comment apporter notre aide. L'initiative d'Anthropic incarne la démarche proactive et collaborative dont ce moment a besoin.

— Pat Opet, directeur principal de la sécurité de l'information de JPMorgan Chase

Google est heureux de voir émerger cette initiative intersectorielle en matière de cybersécurité et de proposer Mythos Preview aux participants via Vertex AI. La collaboration du secteur sur les questions de sécurité émergentes a toujours été essentielle, qu'il s'agisse de la cryptographie post-quantique, de la divulgation responsable des vulnérabilités zero-day, de la sécurité des logiciels open source ou de la défense contre les attaques basées sur l'IA. Nous avons toujours cru que l'IA apporte à la défense cybernétique à la fois de nouveaux défis et de nouvelles opportunités, ce qui nous a poussés à développer des outils pilotés par l'IA tels que Big Sleep et CodeMender pour détecter et corriger des défauts critiques dans les logiciels. Nous continuerons d'investir dans des plateformes de cybersécurité de pointe et dans une culture centrée sur la protection des utilisateurs, des clients, de l'écosystème et de la sécurité nationale.

—— Heather Adkins, vice-présidente de la sécurité chez Google

Au cours des dernières semaines, nous avons utilisé le modèle Claude Mythos Preview pour identifier des vulnérabilités complexes que les modèles précédents avaient complètement ignorées. Cela a non seulement changé la donne pour la découverte de vulnérabilités cachées, mais signifie également que les attaquants pourront bientôt découvrir et exploiter davantage de vulnérabilités zero-day plus rapidement qu'auparavant. Il est clair que ces modèles doivent être mis entre les mains des propriétaires de projets open source et de tous les défenseurs, afin de détecter et de corriger les vulnérabilités avant que les attaquants n'y aient accès. Peut-être encore plus important : tout le monde doit se préparer à faire face à des attaquants assistés par l'IA. Les attaques seront plus nombreuses, plus rapides et plus complexes. Il est temps de moderniser intégralement nos systèmes de cybersécurité. Nous saluons Anthropic pour sa collaboration avec l'industrie afin de s'assurer que ces capacités puissantes soient prioritairement utilisées à des fins défensives.

—— Lee Klarich, chef produit et technologie de Palo Alto Networks

Claude Mythos Preview : ses puissantes capacités de sécurité informatique proviennent de ses compétences exceptionnelles en codage et en raisonnement d'agents. Les résultats de cette évaluation montrent que ce modèle a obtenu les meilleurs scores parmi tous les modèles connus sur plusieurs tâches de codage logiciel.

Agent encoding

image

Reasoning

image

Recherche d'agents et utilisation de l'ordinateur

image

Remarque :

  • SWE-bench Vérifié, Pro et Multilingue : le marquage de détection par mémoire a identifié certaines questions. Après exclusion des questions susceptibles d'être mémorisées, l'avantage de Mythos Preview par rapport à Opus 4.6 reste inchangé.
  • SWE-bench Multimodal : utilisez l'implémentation interne, les scores ne sont pas directement comparables aux classements publics.
  • Terminal-Bench 2.0 : en utilisant le cadre Terminus-2, mode de réflexion adaptatif avec un effort maximal, budget total de 1 million de tokens par tâche, ressources configurées à 1x garantie / 3x limite, moyenne sur 5 essais par tâche. Après avoir augmenté la limite de temps à 4 heures et utilisé la mise à jour Terminal-Bench 2.1, le score Mythos Preview est de 92,1 %.
  • BrowseComp : Claude Mythos Preview obtient un score supérieur à Opus 4.6, tout en consommant seulement 1/4,9 du nombre de tokens de ce dernier.
  • L'examen final de l'humanité : Mythos se débrouille bien en mode faible effort, ce qui suggère une certaine forme de mémorisation.

Pour plus d’informations sur les capacités, les attributs de sécurité et les caractéristiques de base de ce modèle, consultez Claude Mythos Preview System Card.

Nous n'avons pas l'intention de rendre Claude Mythos Preview accessible au grand public, mais notre objectif final est de permettre aux utilisateurs de déployer en toute sécurité des modèles de niveau Mythos — non seulement pour la cybersécurité, mais aussi pour les nombreuses autres valeurs que ces modèles à haute capacité apporteront. À cette fin, nous devons progresser dans le développement de mesures de sécurité pour la cybersécurité (et d'autres domaines) capables de détecter et d'empêcher les sorties les plus dangereuses des modèles. Nous prévoyons de publier de nouvelles mesures de sécurité dans le modèle Claude Opus à venir, ce qui nous permettra d'améliorer et de perfectionner ces mesures à l'aide d'un modèle ne présentant pas le même niveau de risque que Mythos Preview.

Les prochaines étapes du projet Glasswing

Cette publication marque le début d'un effort à long terme. Pour réussir, elle nécessite une large participation de l'intérieur et de l'extérieur du secteur technologique.

Les partenaires de Project Glasswing auront accès à Claude Mythos Preview pour identifier et corriger les vulnérabilités et faiblesses de leurs systèmes fondamentaux — des systèmes qui représentent une grande partie de la surface d'attaque mondiale partagée. Les travaux prévus incluent la détection locale de vulnérabilités, les tests boîte noire binaires, le renforcement des points d'extrémité et les tests de pénétration système.

Les 100 millions de dollars de crédits d'utilisation de modèles promis par Anthropic pour Project Glasswing et d'autres participants couvriront une utilisation importante pendant la période de prévisualisation de la recherche. Par la suite, Claude Mythos Preview sera proposé aux participants au tarif de 25 $ / 125 $ par million de jetons d'entrée / de sortie (les participants peuvent accéder à ce modèle via l'API Claude, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry).

En plus de la quota d'utilisation du modèle, nous avons fait un don de 2,5 millions de dollars à Alpha-Omega et OpenSSF via la Linux Foundation, ainsi qu'un don de 1,5 million de dollars à la Apache Software Foundation, afin d'aider les maintaineurs de logiciels open source à faire face à ce paysage en évolution (les maintaineurs intéressés peuvent postuler pour accéder au programme Claude for Open Source).

Nous prévoyons de faire évoluer ce travail sur une période prolongée, sur plusieurs mois, et de partager autant que possible nos retours d'expérience afin que d'autres organisations puissent les appliquer à leur propre sécurité. Les partenaires partageront entre eux, dans la mesure du possible, des informations et des meilleures pratiques ; dans les 90 jours, Anthropic publiera un rapport public sur nos découvertes, ainsi que sur les vulnérabilités corrigées et les améliorations pouvant être divulguées. Nous collaborerons également avec des organisations de sécurité de premier plan pour élaborer des recommandations pratiques sur l'évolution des pratiques de sécurité à l'ère de l'IA, qui pourraient couvrir : les processus de divulgation de vulnérabilités, les processus de mise à jour logicielle, la sécurité open source et de la chaîne d'approvisionnement, le cycle de vie du développement logiciel et les pratiques de conception sécurisée, les normes des secteurs réglementés, la télémétrie étendue et l'automatisation, ainsi que l'automatisation des correctifs.

Anthropic a également continué à discuter avec des responsables gouvernementaux américains des capacités de cybersécurité en matière d'attaque et de défense de Claude Mythos Preview. Protéger les infrastructures critiques est une priorité nationale essentielle pour les pays démocratiques — l'émergence de ces capacités de cybersécurité souligne une fois de plus que les États-Unis et leurs alliés doivent maintenir une avance décisive dans les technologies d'IA. Le gouvernement joue un rôle indispensable pour aider à préserver ce leadership, évaluer et atténuer les risques pour la sécurité nationale liés aux modèles d'IA. Nous sommes prêts à collaborer avec des représentants gouvernementaux à tous les niveaux pour soutenir ces missions.

Nous espérons que Project Glasswing stimulera un effort plus vaste impliquant le secteur industriel et le secteur public, afin que toutes les parties prenantes puissent répondre aux principales préoccupations liées à l'impact sur la sécurité des modèles puissants. Nous invitons les autres acteurs de l'IA à rejoindre cet effort pour aider à établir des normes industrielles. À moyen terme, une organisation indépendante tierce — capable de rassembler des organisations du secteur privé et du secteur public — pourrait constituer une plateforme idéale pour assurer la suite de ces projets de cybersécurité à grande échelle.

Remarque

  1. Ce projet porte le nom de la papillon aux ailes de verre (Greta oto). Cette métaphore a deux niveaux de signification : les ailes transparentes du papillon lui permettent de disparaître dans l'invisible, tout comme les vulnérabilités discutées dans cet article qui sont cachées dans le code ; les ailes transparentes aident également à éviter les dommages, tout comme la méthode transparente que nous défendons.
  2. Mythos provient du grec ancien et signifie « récit » ou « histoire » : le système d'histoires utilisé par les civilisations pour comprendre le monde.
  3. Les professionnels de la sécurité dont le travail est affecté par ces mesures de sécurité peuvent postuler au programme de vérification cybersécurité bientôt lancé.
Source:Afficher l'original
Clause de non-responsabilité : les informations sur cette page peuvent avoir été obtenues auprès de tiers et ne reflètent pas nécessairement les points de vue ou opinions de KuCoin. Ce contenu est fourni à titre informatif uniquement, sans aucune représentation ou garantie d’aucune sorte, et ne doit pas être interprété comme un conseil en investissement. KuCoin ne sera pas responsable des erreurs ou omissions, ni des résultats résultant de l’utilisation de ces informations. Les investissements dans les actifs numériques peuvent être risqués. Veuillez évaluer soigneusement les risques d’un produit et votre tolérance au risque en fonction de votre propre situation financière. Pour plus d’informations, veuillez consulter nos conditions d’utilisation et divulgation des risques.