Claude Mythos et Project Glasswing : comment l’IA d’Anthropic découvre 10 000 failles en 1 mois
Le 22 mai 2026, Anthropic a publié les premiers résultats de Project Glasswing, son programme de cybersécurité défensive. En un mois, son modèle interne Claude Mythos Preview a repéré plus de 10 000 failles critiques dans les logiciels qui font tourner Internet. Une cadence inédite qui rebat les cartes de la sécurité informatique mondiale.
Quoi : Project Glasswing, programme cyber défensif d’Anthropic lancé en avril 2026, piloté par le modèle Claude Mythos Preview.
Chiffre clé : Plus de 10 000 vulnérabilités critiques ou hautes détectées en un seul mois.
Open source : 23 019 vulnérabilités totales sur 1 000+ projets, dont 6 202 critiques/hautes. 90,6 % confirmées réelles par 6 cabinets indépendants.
Cloudflare : 2 000 bugs trouvés, 400 critiques. Taux de faux positifs meilleur que des testeurs humains.
Mozilla : 271 failles corrigées sur Firefox 150, soit 10 fois plus que Firefox 148 avec Claude Opus 4.6.
Problème majeur : Sur 530 failles communiquées aux mainteneurs open source, seulement 75 corrigées. Les bénévoles demandent à Anthropic de ralentir.
Mythos non public : Aucun garde-fou suffisant pour empêcher un usage offensif. Anthropic refuse de le rendre accessible.
Qu’est-ce que Project Glasswing
Project Glasswing est une initiative de cybersécurité défensive orchestrée par Anthropic. Le principe est simple : donner un accès exclusif au modèle d’IA le plus avancé de l’entreprise, Claude Mythos Preview, à des défenseurs de l’écosystème numérique pour qu’ils puissent fortifier leurs propres systèmes.
Le programme rassemble une cinquantaine de partenaires triés sur le volet : Google, Microsoft, Apple, Cloudflare, Mozilla, AWS, CrowdStrike, NVIDIA, JPMorganChase, Palo Alto Networks. Chacun accède à Mythos Preview pour scanner ses propres bases de code à la recherche de vulnérabilités.
Jusqu’à présent, la découverte de failles était une tâche ardue, limitée par le temps et l’expertise humaine. Avec Claude Mythos Preview, Anthropic a créé un instrument qui automatise et accélère cette recherche à une échelle inédite.
Les chiffres qui changent tout
Métrique
Résultat
Vulnérabilités totales détectées
10 000+ critiques/hautes en 1 mois
Scan open source
23 019 vulnérabilités sur 1 000+ projets, dont 6 202 critiques/hautes
Confirmation indépendante
90,6 % des 1 752 dossiers vérifiés par 6 cabinets confirmés réels
100 M$ en crédits de calcul + 4 M$ pour sécurité open source
Partenariat OSF
12,5 M$ avec l’Open Source Security Foundation
Exemples concrets : Cloudflare, Mozilla, wolfSSL
Les premiers résultats sont spectaculaires. Cloudflare annonce 2 000 bugs trouvés, dont 400 critiques, sur ses systèmes les plus sensibles. Son équipe juge le taux de faux positifs meilleur que celui d’auditeurs humains expérimentés.
Mozilla a corrigé 271 vulnérabilités sur Firefox 150 grâce à Mythos. La version précédente du même outil, basée sur Claude Opus 4.6, n’en avait remonté qu’une vingtaine sur Firefox 148. C’est dix fois plus, sur la même base de code.
L’un des exemples les plus frappants est la découverte de la faille CVE-2026-5194 dans wolfSSL, une bibliothèque de cryptographie utilisée par des milliards d’appareils. L’IA a non seulement trouvé la faille, mais a aussi construit un exploit fonctionnel permettant de forger de faux certificats de sécurité.
Le vrai problème : le goulot d’étranglement du patch
C’est le paradoxe central de Project Glasswing. La détection des bugs n’est plus le verrou. C’est désormais la cadence des correctifs qui freine tout le monde.
🔴 Le problème
530 failles communiquées aux mainteneurs open source.
75 seulement corrigées à ce jour.
88 avis de sécurité publiés.
Des mainteneurs bénévoles demandent à Anthropic de ralentir le rythme des signalements.
✅ Les réponses d’Anthropic
12,5 M$ de partenariat avec l’Open Source Security Foundation pour aider les mainteneurs.
Claude Security en bêta publique Enterprise (Opus 4.7) : 2 100+ vulnérabilités corrigées en 3 semaines.
UK AI Security Institute : Mythos premier modèle à résoudre les 2 simulations cyber range end-to-end.
Le rapport l’admet noir sur blanc : Mythos s’ajoute à un écosystème de sécurité déjà saturé. Le constat fait écho aux dégâts récents observés avec 380 000 applications IA mal codées qui exposent des données sensibles.
Pourquoi Mythos reste secret
Anthropic est franc sur les capacités du modèle. Aucune entreprise, y compris elle-même, n’a aujourd’hui mis au point des garde-fous capables d’empêcher un système de ce niveau d’être détourné en arme offensive.
Tant que ce verrou n’existe pas, la firme refuse de lancer une version publique. Le sujet rejoint le débat ouvert depuis l’arrivée d’Andrej Karpathy chez Anthropic : la sécurité par défaut devient un argument concurrentiel.
⚠️ Le risque d’un modèle non protégé
Anthropic avertit que des modèles aussi puissants que Mythos Preview seront bientôt développés par de nombreuses entreprises d’IA. Si un modèle similaire est publié sans garde-fous, il deviendra considérablement plus facile et moins coûteux pour n’importe qui d’exploiter des logiciels vulnérables.
C’est précisément la raison d’être de Project Glasswing : anticiper cette réalité en aidant les défenseurs à se préparer maintenant.
Ce qui arrive ensuite
Anthropic prévoit une montée en puissance graduelle. Claude Security, l’outil bâti sur Claude Opus 4.7, est désormais en bêta publique pour les clients Enterprise. En trois semaines, il a aidé à corriger plus de 2 100 vulnérabilités dans des bases de code internes.
Une partie des outils utilisés par les partenaires de Glasswing sera ouverte aux équipes cyber qualifiées. L’entreprise a également signé un partenariat de 12,5 millions de dollars avec l’Open Source Security Foundation pour aider les mainteneurs débordés à absorber le flot de rapports.
Le budget global est colossal : jusqu’à 100 millions de dollars en crédits de calcul et 4 millions de dollars dédiés à la sécurité open source. L’UK AI Security Institute a déjà confirmé que Mythos est le premier modèle à résoudre les deux simulations de cyber range end-to-end.
Questions fréquentes
Qu’est-ce que Project Glasswing ? ▼
C’est un programme de cybersécurité défensive lancé par Anthropic en avril 2026. Il donne accès au modèle Claude Mythos Preview à une cinquantaine de partenaires (Google, Apple, Cloudflare, Mozilla, etc.) pour détecter des vulnérabilités dans leurs logiciels.
Claude Mythos Preview est-il disponible au public ? ▼
Non. Anthropic refuse de le rendre public car aucun garde-fou suffisant n’existe pour empêcher un usage offensif. Le modèle est capable de trouver et exploiter des vulnérabilités à un niveau supérieur à la plupart des humains.
Quelle est la faille CVE-2026-5194 ? ▼
Une vulnérabilité critique découverte par Mythos dans wolfSSL, une bibliothèque de cryptographie utilisée par des milliards d’appareils. L’IA a construit un exploit fonctionnel permettant de forger de faux certificats de sécurité.
Pourquoi les mainteneurs open source demandent-ils de ralentir ? ▼
Sur 530 failles communiquées, seulement 75 ont été corrigées. Les équipes bénévoles sont débordées par le volume de rapports. Anthropic répond avec un partenariat de 12,5 M$ auprès de l’Open Source Security Foundation.
Quelle est la différence entre Glasswing et Claude Security ? ▼
Glasswing utilise Mythos Preview (modèle non public) pour les partenaires sélectionnés. Claude Security est bâti sur Opus 4.7 et est en bêta publique pour les clients Enterprise. Les deux visent la détection de vulnérabilités, mais avec des modèles et des accès différents.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
![Claude Opus 4.6 [Avis] - Le nouveau standard en 2026](https://alexitauzin.com/wp-content/uploads/2026/02/claude-opus-4-6-chatgpt-150x150.jpg "Claude Opus 4.6 : l'IA qui pourrait vous faire résilier ChatGPT dès ce matin (voici pourquoi)")
