Le modèle d'IA restreint d'Anthropic a accompli en quelques semaines ce que les chercheurs en sécurité humains n'ont pas pu faire en décennies. Project Glasswing, la coalition cybersécurité de l'entreprise, a collectivement identifié plus de 10 000 vulnérabilités logicielles de gravité élevée et critique, y compris des milliers de failles zero-day qui étaient cachées, non détectées, dans des systèmes largement utilisés depuis des années.
Parmi les découvertes : une vulnérabilité de 27 ans dans OpenBSD et un bogue de 16 ans dans FFmpeg. Les deux avaient survécu à chaque précédente série de revues de code humaines et de tests automatisés.
Ce qu'est réellement Project Glasswing
Anthropic a lancé Project Glasswing le 7 avril 2026, construit autour de son modèle frontière non encore publié appelé Claude Mythos Preview. L'idée centrale est simple : diriger une IA extrêmement performante vers les infrastructures logicielles critiques et la laisser chercher des failles de sécurité que les humains continuent de manquer.
La version préliminaire de Claude Mythos est si performante pour identifier et exploiter des vulnérabilités de manière autonome qu'Anthropic a décidé de ne pas la publier. Au lieu de cela, ils ont formé une coalition d'entreprises technologiques et d'infrastructures qui ont un accès exclusif au modèle, strictement à des fins de sécurité défensive.
Plus de 40 organisations participent désormais à cette initiative. Anthropic a promis jusqu'à 100 millions de dollars en crédits d'utilisation de modèles pour soutenir cet effort, ainsi qu'environ 4 millions de dollars dédiés à l'amélioration de la sécurité open source.
La mise à jour publiée autour du 22-23 mai 2026 est celle où les chiffres deviennent impressionnants. Les partenaires ont collectivement signalé ces plus de 10 000 vulnérabilités de gravité élevée et critique, des milliers étant classées comme des zéro-jour, ce qui signifie qu'elles étaient précédemment inconnues des mainteneurs du logiciel et de la communauté de sécurité dans son ensemble.
Le goulot d'étranglement de la remédiation
Détecter des vulnérabilités est une chose. Les corriger est un tout autre problème.
Sur les milliers de failles de gravité élevée validées, moins de 100 correctifs ont été déployés jusqu'à présent. L'IA peut découvrir des failles à un rythme qui dépasse largement la capacité de l'industrie à les corriger.
Les découvertes de zéro-day sont particulièrement révélatrices. Une faille de 27 ans dans OpenBSD signifie que, pendant près de trois décennies, chaque audit de sécurité, chaque campagne de fuzzing, chaque paire d'yeux d'experts ayant examiné cette base de code a manqué quelque chose qu'un modèle d'IA a détecté. Le bogue FFmpeg âgé de 16 ans raconte une histoire similaire. Ce ne sont pas des projets obscurs. OpenBSD est réputé pour son accent sur la sécurité, et FFmpeg est intégré à d'innombrables applications multimédias dans le monde entier.
Ce que cela signifie pour les investisseurs
Les 100 millions de dollars en crédits d'utilisation que Anthropic a engagés pour cette initiative témoigne du sérieux avec lequel les principaux laboratoires d'IA prennent la nature à double usage de leurs modèles. En limitant Claude Mythos Preview à une coalition sélectionnée plutôt que de le diffuser largement, Anthropic démontre un déploiement responsable tout en établissant des relations approfondies avec les équipes de sécurité des entreprises.