#AnthropicLaunchesGlasswingProgram Anthropic lance le Projet Glasswing : une coalition de cybersécurité alimentée par $100M AI

Les géants de la technologie s’unissent derrière le modèle "mythique" Claude non encore publié pour découvrir les vulnérabilités logicielles critiques avant que les attaquants ne les exploitent

Anthropic a lancé le Projet Glasswing, une initiative de cybersécurité à l’échelle de l’industrie qui rassemble de grandes entreprises technologiques pour défendre l’infrastructure logicielle critique en utilisant le modèle d’IA le plus puissant — et le plus gardé secret — de la société à ce jour.

L’initiative, annoncée le 8 avril, se concentre sur Claude Mythos Preview, un nouveau modèle de frontière que Anthropic décrit comme ayant atteint un niveau de capacité en codage où il peut "surpasser tous sauf les humains les plus compétents pour trouver et exploiter les vulnérabilités logicielles". Plutôt que de rendre le modèle public, Anthropic le met à disposition exclusivement à des partenaires vérifiés sous des contrôles d’accès stricts.

Un qui’s who de la tech et de la sécurité

La coalition fondatrice comprend 12 organisations : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, et Anthropic elle-même. Environ 40 autres organisations qui construisent ou maintiennent des infrastructures logicielles critiques recevront également un accès.

Anthropic s’engage à fournir jusqu’à $100 millions de crédits d’utilisation** pour le modèle en version preview et $4 millions de dons directs à des organisations de sécurité open-source, dont 2,5 millions de dollars à Alpha-Omega et OpenSSF, et 1,5 million de dollars à la Fondation Apache Software.

Ce que Claude Mythos Preview a découvert

Ces dernières semaines, Anthropic a déployé Claude Mythos Preview pour analyser les principaux systèmes d’exploitation, navigateurs et autres logiciels critiques. Les résultats ont été frappants :

Détails des découvertes
Vulnérabilité OpenBSD Une faille présente depuis 27 ans dans l’un des systèmes d’exploitation les plus sécurisés au monde
Vulnérabilité FFmpeg Une faille qui a survécu 16 ans et 5 millions de tests automatisés sans détection
Chaîne de vulnérabilités du noyau Linux Plusieurs vulnérabilités connectées de manière autonome, permettant une escalade de privilèges de l’utilisateur vers root

Le modèle a identifié des milliers de vulnérabilités à haute gravité dans tous les principaux systèmes d’exploitation et navigateurs web, selon Anthropic. Toutes les vulnérabilités découvertes ont été signalées aux mainteneurs et corrigées.

Pourquoi cela importe : Le seuil de la cybersécurité par l’IA

La justification d’Anthropic pour le Projet Glasswing reflète une évaluation sobère : les modèles d’IA capables de découvrir et d’exploiter des vulnérabilités logicielles ne sont plus théoriques.

"Le délai entre la découverte d’une vulnérabilité et son exploitation par un adversaire s’est réduit — ce qui prenait autrefois des mois se produit maintenant en quelques minutes avec l’IA", a déclaré Elia Zaitsev, CTO de CrowdStrike, qui participe en tant que membre fondateur de la sécurité.

Le coût mondial de la cybercriminalité est estimé à environ $500 milliards par an. Anthropic soutient que les mêmes capacités qui rendent l’IA dangereuse entre de mauvaises mains sont inestimables pour la défense — mais les défenseurs doivent d’abord y avoir accès.

"Nous entrons dans une phase où la cybersécurité n’est plus limitée par la capacité humaine seule", a déclaré Igor Tsyganskiy, EVP de la cybersécurité chez Microsoft.

Comment fonctionne le Projet Glasswing

L’initiative opère à plusieurs niveaux :

· Les partenaires de lancement reçoivent un accès à Claude Mythos Preview pour des travaux de sécurité défensive, notamment la détection locale de vulnérabilités, les tests en boîte noire binaire, la sécurité des points de terminaison et les tests d’intrusion
· Les mainteneurs open-source obtiennent un accès via la Linux Foundation et la Fondation Apache Software, comblant une lacune critique où le code d’infrastructure manque souvent de ressources de sécurité dédiées
· Le partage d’informations est obligatoire — les partenaires doivent partager leurs découvertes avec l’industrie dans son ensemble

Anthony Grieco de Cisco a exprimé l’urgence directement : "Les capacités de l’IA ont franchi un seuil qui change fondamentalement l’urgence de protéger l’infrastructure critique contre les cybermenaces, et il n’y a pas de retour en arrière".

Accès limité par conception

Notamment, Anthropic a déclaré qu’il ne prévoit pas de rendre Claude Mythos Preview accessible au grand public. La décision reflète des préoccupations concernant le potentiel de mauvaise utilisation du modèle pour des opérations cyber offensives.

"Nous avons eu des discussions en cours avec des responsables du gouvernement américain concernant Claude Mythos Preview et ses capacités cyber offensives et défensives", a confirmé Anthropic dans son annonce.

Après la période de prévisualisation de la recherche, le modèle sera disponible pour les participants à des tarifs commerciaux : $25 par million de jetons d’entrée et $125 par million de jetons de sortie, accessible via Claude API, Amazon Bedrock, Google Cloud Vertex AI, et Microsoft Foundry.

Et après

Anthropic s’est engagé à publier un rapport public dans les 90 jours, dévoilant les vulnérabilités découvertes et proposant des recommandations à l’échelle de l’industrie, notamment le patching automatisé et l’amélioration de la sécurité de la chaîne d’approvisionnement.

La société reconnaît que ce n’est que le début. "Les capacités de l’IA de frontier devraient progresser considérablement au cours des prochains mois", a écrit Anthropic. "Pour que les défenseurs de la cybersécurité prennent l’avantage, nous devons agir dès maintenant".