Anthropic a restreint son modèle d'IA le plus puissant pour des raisons de cybersécurité, puis l'a mis au travail
Anthropic a discrètement lancé Project Glasswing, une initiative de cybersécurité inédite fondée sur son modèle le plus puissant à ce jour, Claude Mythos Preview. Plutôt que de le commercialiser, l'entreprise l'a confié à un consortium de partenaires chargés de sécuriser les infrastructures critiques d'Internet : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks, auxquels s'ajoutent plus de 40 autres organisations. Anthropic s'engage à hauteur de 100 millions de dollars en crédits d'utilisation pour le modèle, ainsi que 4 millions de dollars en dons directs à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et à l'OpenSSF via la Linux Foundation, et 1,5 million à la Apache Software Foundation. Les résultats déjà obtenus donnent le vertige : Mythos Preview a détecté de manière autonome un bug vieux de 27 ans dans OpenBSD, et a identifié et exploité sans intervention humaine une faille d'exécution de code à distance vieille de 17 ans dans FreeBSD, CVE-2026-4747, permettant à n'importe qui sur Internet de prendre le contrôle total d'un serveur. Nicholas Carlini, chercheur chez Anthropic, résume : « J'ai trouvé plus de bugs ces dernières semaines que dans tout le reste de ma carrière. »
La décision de ne pas rendre Mythos Preview accessible au grand public est délibérée et assumée. Le modèle n'a pas été entraîné spécifiquement pour la cybersécurité, ses capacités offensives sont apparues comme une conséquence indirecte de progrès généraux en raisonnement, en code et en autonomie. Newton Cheng, responsable du Frontier Red Team Cyber d'Anthropic, l'explique sans détour : les mêmes améliorations qui rendent le modèle capable de corriger des vulnérabilités le rendent tout aussi capable de les exploiter. Et le risque ne relève pas de la spéculation : Anthropic a précédemment documenté ce qu'elle décrit comme le premier cyberattaque largement exécutée par une IA, menée par un groupe soutenu par l'État chinois qui a infiltré une trentaine de cibles mondiales, les agents IA gérant de manière autonome la majorité des opérations tactiques.
Project Glasswing s'inscrit dans un contexte de course entre la diffusion des capacités offensives et la consolidation des défenses. Mythos Preview sature désormais la plupart des benchmarks de sécurité existants, forçant Anthropic à se tourner vers des tâches réelles inédites, notamment des vulnérabilités zero-day. L'initiative cible aussi un angle mort historique : les mainteneurs de logiciels open source, dont le code sous-tend une grande partie des infrastructures mondiales, ont longtemps manqué de ressources en sécurité. Anthropic a en parallèle briefé des responsables haut placés du gouvernement américain sur les capacités complètes du modèle, et les services de renseignement américains évaluent désormais activement comment il pourrait remodeler les opérations de piratage offensif et défensif dans les années à venir.
Les infrastructures open source européennes (Linux Foundation, Apache Software Foundation) bénéficient de 4 millions de dollars de financements directs pour renforcer leur sécurité, et les systèmes critiques basés sur OpenBSD et FreeBSD utilisés en Europe sont directement concernés par les vulnérabilités zero-day découvertes.
