Anthropic a révélé les premiers résultats de son projet Glasswing, une initiative défensive destinée à sécuriser les infrastructures logicielles critiques à l’échelle mondiale. En à peine un mois d’activité, le programme a permis de recenser plus de 10 000 vulnérabilités de niveau élevé ou critique dans des logiciels largement déployés.
Ce projet repose sur un accès anticipé et restreint à Claude Mythos Preview, un modèle d’intelligence artificielle conçu pour détecter de manière autonome des failles de sécurité avant qu’elles ne puissent être exploitées par des acteurs malveillants. Environ 50 partenaires participent actuellement à cette phase préliminaire.
A lire aussi
- Test NZXT Kraken Elite 420 : un écran toujours plus grand et un AIO toujours plus performant
- Microsoft : un leaker mystère enchaîne les failles zero-day critiques
Des chiffres précis sur l’ampleur des découvertes
Sur les 10 000 vulnérabilités signalées, 6 202 ont été classées comme graves ou critiques et concernent plus de 1 000 projets open source. Une analyse approfondie a confirmé que 1 726 d’entre elles constituent de véritables problèmes de sécurité, dont 1 094 jugés de haute ou de critique sévérité.
Parmi les découvertes notables figure une faille critique dans WolfSSL, une bibliothèque cryptographique répandue, référencée CVE-2026-5194 avec un score CVSS de 9,1. Cette vulnérabilité permettrait à un attaquant de falsifier des certificats et de se faire passer pour un service légitime. Au total, 97 correctifs ont déjà été intégrés en amont et 88 avis de sécurité ont été publiés.
Au-delà de la détection de failles
Les capacités de Mythos Preview dépassent la simple identification de vulnérabilités dans le code. Anthropic indique qu’une banque partenaire du projet a utilisé le modèle pour détecter et bloquer un virement frauduleux de 1,5 million de dollars, après qu’un attaquant eut compromis la messagerie d’un client et effectué des appels téléphoniques usurpés.
La plateforme spécialisée en sécurité offensive XBOW décrit Mythos Preview comme un modèle significativement plus performant que ses prédécesseurs pour identifier des candidats à la vulnérabilité, notamment grâce à sa capacité à analyser le code source avec une approche orientée sécurité. Des analyses récentes soulignent également son aptitude à enchaîner des vulnérabilités pour construire des vecteurs d’attaque complets.
Un appel pressant à raccourcir les délais de correction
Anthropic souligne un déséquilibre structurel : il est aujourd’hui plus facile de trouver des failles que de les corriger. Microsoft a d’ailleurs signalé que le volume de correctifs mensuels qu’il publie devrait continuer à augmenter, phénomène directement lié à la montée en puissance des outils d’analyse assistés par IA.
Face à la perspective que des modèles aux capacités comparables à Mythos Preview deviennent accessibles au grand public dans un avenir proche, Anthropic recommande aux équipes de sécurité de réduire leurs délais de test et de déploiement des correctifs, de renforcer les configurations réseau par défaut, d’imposer l’authentification à plusieurs facteurs et de maintenir des journaux d’activité complets.
Un programme pour les professionnels de la sécurité
Anthropic a parallèlement lancé un programme de vérification destiné aux professionnels de la cybersécurité, leur permettant d’utiliser ses modèles sans certaines restrictions habituelles pour des usages légitimes comme les tests d’intrusion ou le red teaming. Une démarche similaire à celle d’OpenAI, qui propose un accès analogue à GPT-5.5-Cyber pour des workflows spécialisés.
Mythos Preview et GPT-5.5-Cyber ne sont pas encore disponibles au public. Anthropic justifie cette restriction par l’absence de garanties suffisantes pour prévenir un usage malveillant à grande échelle de tels outils.
Source : Thehackernews
