L’IA capable de trouver des failles zero-day en quelques minutes existe. Elle s’appelle Claude Mythos Preview. Et Anthropic a décidé de ne pas la rendre publique.
Le 7 avril 2026, Anthropic a lancé Project Glasswing, un programme de 104 millions de dollars destiné à mettre cette capacité entre les mains des défenseurs avant que les attaquants ne rattrapent leur retard. Onze entreprises majeures de la tech sont impliquées. Le projet couvre la cybersécurité, l’open source et les infrastructures critiques.
Ce n’est pas une annonce produit. C’est une réaction à ce qu’Anthropic a découvert en interne en testant son prochain modèle. Les résultats étaient suffisamment alarmants pour déclencher une mobilisation d’urgence.
Le paradoxe est clair : Anthropic investit massivement pour placer une arme exclusivement entre les mains des défenseurs. Reste à savoir si ce verrouillage tiendra face à la prolifération des modèles avancés.
Contexte important : la fuite npm 2.1.88 du 31 mars 2026, qui a exposé 512 000 lignes de code TypeScript interne de Claude Code, avait déjà révélé l’existence de modèles internes sous les noms de code Capybara (Mythos Preview) et Fennec (Opus 4.6). Pour les détails, consultez notre analyse détaillée de la fuite Claude Code. Project Glasswing est la réponse officielle d’Anthropic à ce que ces modèles sont capables de faire.
Claude Mythos Preview : le moteur du changement de paradigme
Mythos Preview n’est pas un modèle commercial. C’est un outil de recherche interne qui a forcé Anthropic à repenser sa stratégie de sécurité. Pour comprendre ses capacités complètes, lisez notre décryptage complet de Claude Mythos.
Quatre résultats clés expliquent pourquoi Glasswing existe.
CyberGym : 83,1 % contre 66,6 %
CyberGym est un benchmark interne d’Anthropic qui mesure la capacité d’un modèle à identifier et exploiter des vulnérabilités dans des environnements réalistes. Mythos Preview atteint 83,1 %. Opus 4.6, le modèle le plus avancé actuellement disponible dans le classement des meilleurs LLM, plafonne à 66,6 %.
La différence de 16,5 points n’est pas incrémentale. Elle représente le passage d’un modèle qui identifie les failles à un modèle qui les exploite de manière autonome. Mythos ne se contente pas de signaler un buffer overflow – il génère le code d’exploitation fonctionnel.
Firefox 147 : 181 exploits contre 2
Sur le navigateur Firefox version 147, Mythos Preview a généré 181 exploits fonctionnels. Opus 4.6 en a produit 2. Le ratio est de 90 pour 1.
Cela signifie que Mythos est capable de scanner systématiquement une base de code complexe, d’identifier des centaines de vecteurs d’attaque et de produire du code d’exploitation pour chacun. Un chercheur en sécurité humain mettrait des mois à couvrir une fraction de cette surface.
OSS-Fuzz Tier 5 : prise de contrôle du flux d’exécution
OSS-Fuzz est la plateforme de fuzzing de Google qui surveille plus de 1 000 projets open source. Le Tier 5 représente le niveau de sévérité le plus élevé : la prise de contrôle complète du flux d’exécution d’un programme.
Mythos a atteint ce niveau sur 10 cibles déjà patchées, après avoir analysé 7 000 points d’entrée. Autrement dit, il a retrouvé des chemins d’exploitation sur du code que les mainteneurs pensaient avoir corrigé.
Compression du temps : de semaines à minutes
C’est le point le plus critique. Historiquement, quand un patch de sécurité est publié, les attaquants mettent plusieurs jours à plusieurs semaines pour le reverse-engineer et créer un exploit fonctionnel (ce qu’on appelle un N-day exploit). Ce délai constitue la fenêtre de protection pendant laquelle les organisations déploient le correctif.
Mythos compresse ce délai à quelques minutes. La fenêtre de protection disparaît. Un patch publié devient une feuille de route pour l’attaque presque instantanément.
C’est cette découverte qui a déclenché Glasswing. Si Anthropic peut faire ça, d’autres suivront.
Le consortium des 11 géants : une alliance stratégique
Anthropic n’a pas lancé Glasswing seul. Onze organisations ont rejoint le consortium fondateur, couvrant l’ensemble de la chaîne technologique.
| Catégorie | Membres |
|---|---|
| Cloud et IA | AWS, Google, Microsoft, NVIDIA |
| Infrastructure et Hardware | Cisco, Apple, Broadcom |
| Cybersécurité | CrowdStrike, Palo Alto Networks |
| Gouvernance et Finance | JPMorganChase, Linux Foundation |
La composition du consortium est révélatrice. Les quatre hyperscalers cloud sont présents, ce qui garantit que les résultats de Glasswing couvriront l’essentiel de l’infrastructure mondiale. NVIDIA apporte la dimension hardware – les vulnérabilités dans les drivers GPU et les frameworks CUDA sont un vecteur d’attaque sous-estimé.
CrowdStrike et Palo Alto Networks représentent les deux leaders de la cybersécurité. Leur participation signifie que les découvertes de Mythos seront intégrées dans les produits de détection et de réponse les plus déployés au monde.
JPMorganChase est la composante finance. La banque gère des milliards de transactions et dispose d’une équipe de sécurité parmi les plus avancées du secteur financier. Sa présence signale que les services financiers sont une cible prioritaire du programme.
La Linux Foundation assure la gouvernance du volet open source. C’est un rôle structurant : elle coordonne déjà Alpha-Omega, le programme de sécurisation des projets critiques de l’écosystème open source.
L’absence européenne, un signal géopolitique
Aucun partenaire européen n’est présent dans le consortium. Pas de Thales, pas de SAP, pas d’OVHcloud. C’est un point à surveiller. Glasswing est, pour l’instant, un programme entièrement américain, construit autour d’entreprises soumises au droit américain.
Pour les entreprises européennes soumises au RGPD et aux exigences de souveraineté numérique, cela pose une question concrète : les résultats de Glasswing seront-ils partagés équitablement avec les organisations européennes ? Ou le programme créera-t-il une asymétrie de sécurité entre les deux rives de l’Atlantique ?
À suivre dans les actualités intelligence artificielle pour les évolutions géopolitiques du programme.
L’investissement : 104 millions de dollars, comment et pour quoi
Le budget total de 104 millions se décompose en deux piliers distincts.
Pilier 1 : 100 millions en crédits d’utilisation
C’est le coeur du programme. Les 100 millions ne sont pas du cash distribué aux partenaires. Ce sont des crédits d’utilisation des modèles Claude, mis à disposition du consortium et de 40 organisations supplémentaires identifiées comme critiques pour l’infrastructure mondiale.
L’objectif affiché : donner aux défenseurs 90 jours d’avance sur les attaquants. En pratique, cela signifie :
- Les mainteneurs de projets open source critiques (noyau Linux, OpenSSL, Apache, etc.) auront accès à Claude Opus 4.6 pour auditer leur code
- Les équipes de sécurité des partenaires du consortium utiliseront les modèles pour le triage automatisé des vulnérabilités
- Les résultats de Mythos Preview seront partagés sous forme de rapports de vulnérabilités, pas d’accès direct au modèle
Le délai de 90 jours est ambitieux. Il suppose que les organisations soient capables d’absorber et d’agir sur les alertes générées. Or, la dette de patch est un problème chronique – beaucoup d’organisations mettent plus de 90 jours à déployer des correctifs même quand ils existent.
Pilier 2 : 4 millions en dons directs
Ce volet cible l’écosystème open source :
2,5 millions de dollars pour Alpha-Omega et OpenSSF via la Linux Foundation. Alpha-Omega est le programme qui finance des audits de sécurité sur les projets open source les plus utilisés. OpenSSF (Open Source Security Foundation) coordonne les initiatives de sécurisation de la supply chain logicielle.
1,5 million de dollars pour l’Apache Software Foundation. Apache maintient des dizaines de projets critiques – Kafka, Spark, Tomcat, HTTP Server – qui forment la colonne vertébrale de l’infrastructure web mondiale.
L’angle critique : philanthropie ou investissement commercial ?
Il faut le dire clairement : les 100 millions en crédits d’utilisation ne sont pas un don. Ce sont des crédits pour consommer les produits d’Anthropic. Chaque dollar de crédit génère de l’usage, des données d’entraînement potentielles et de la dépendance à l’écosystème Claude.
La valeur réelle du geste philanthropique est de 4 millions de dollars en cash. Le reste est un investissement commercial habillé en programme de sécurité. Cela ne disqualifie pas l’initiative – les résultats concrets sont réels. Mais les décideurs doivent lire les chiffres avec recul.
Le modèle n’est pas nouveau. Google offre des crédits cloud aux universités, AWS aux startups. La différence ici est l’urgence sécuritaire qui justifie le programme et l’ampleur de la couverture médiatique qu’il génère.
Analyse des risques : pourquoi les défenses traditionnelles sont obsolètes
Elia Zaitsev, CTO de CrowdStrike, a résumé le problème en une phrase lors de l’annonce : “La compression du temps entre la publication d’un patch et l’apparition d’un exploit fonctionnel change fondamentalement l’équation de la cybersécurité.”
Trois vecteurs d’attaque que Mythos automatise illustrent cette rupture.
JIT Heap Sprays : contourner les sandboxes navigateur
Les compilateurs Just-In-Time (JIT) sont utilisés par tous les navigateurs modernes pour accélérer l’exécution de JavaScript. Mythos est capable de manipuler les allocations mémoire dans ces compilateurs pour contourner les mécanismes de sandbox.
Concrètement, cela signifie qu’un site web malveillant pourrait, en théorie, s’échapper du cadre de sécurité du navigateur et accéder au système d’exploitation. C’est le type de vulnérabilité qui se vend plusieurs millions de dollars sur le marché des zero-days.
Historiquement, seuls quelques dizaines de chercheurs dans le monde maîtrisaient ce type d’attaque. Mythos démocratise – ou plutôt automatise – cette expertise.
Race Conditions et KASLR Bypass : chaînages autonomes
KASLR (Kernel Address Space Layout Randomization) est une protection présente dans tous les systèmes d’exploitation modernes. Elle randomise les adresses mémoire du noyau pour empêcher les attaquants de prédire où se trouvent les fonctions critiques.
Mythos combine des failles de synchronisation (race conditions) avec des techniques de contournement KASLR pour créer des chaînes d’exploitation complètes. Le point clé est le chaînage autonome : le modèle ne se contente pas de trouver chaque maillon – il assemble la chaîne complète sans intervention humaine.
La fin de la sécurité par la complexité
Jusqu’à présent, beaucoup de systèmes étaient protégés de facto par la complexité de leur exploitation. Trouver une faille est une chose. Écrire un exploit fonctionnel qui contourne ASLR, DEP, les canaries de pile et les sandboxes en est une autre. Cette barrière de complexité filtrait naturellement les attaquants les moins compétents.
Mythos efface cette barrière. Ce qui nécessitait des semaines de travail d’un expert devient une tâche de quelques minutes pour un modèle. Les barrières de complexité ne sont plus des barrières logiques dures – ce sont des barrières de temps, et le temps vient d’être compressé.
Hall of Fame : les failles historiques déterrées par Mythos Preview
Anthropic a publié un tableau de vulnérabilités découvertes par Mythos Preview lors de ses phases de test. Certaines dormaient dans du code en production depuis des décennies.
| Cible | Ancienneté | Type | Technique |
|---|---|---|---|
| OpenBSD | 27 ans | DoS distant | Signed integer overflow SACK, comparaison erronée (int)(a-b) < 0, crash via pointeur NULL |
| FFmpeg H.264 | 16 ans | Heap overflow | Collision de sentinelle, valeur -1 (65535) confondue avec compteur de tranches réel |
| FreeBSD NFS | 17 ans (CVE-2026-4747) | RCE accès root | Chaîne ROP de 20 gadgets fragmentée sur 6 paquets RPC |
| Linux Kernel | Récent | LPE escalade de privilèges | Chaînage de 4 failles : bypass KASLR, lecture pile vmalloc, UAF pour accès root |
OpenBSD : 27 ans d’invisibilité
OpenBSD est considéré comme l’un des systèmes d’exploitation les plus sécurisés au monde. Son code est régulièrement audité par des experts. Pourtant, Mythos a trouvé un signed integer overflow dans le code TCP SACK qui existait depuis 27 ans.
La faille exploite une comparaison erronée du type (int)(a-b) < 0 qui peut déborder sur des architectures 32 bits. Le résultat : un crash à distance via déréférencement de pointeur NULL. Ce n’est “que” du déni de service, mais sur un OS utilisé pour des firewalls et des serveurs critiques, c’est un vecteur d’attaque sérieux.
FreeBSD NFS : accès root à distance
C’est la faille la plus grave du lot. CVE-2026-4747 permet une exécution de code à distance avec accès root via le protocole NFS de FreeBSD. La technique est remarquable : une chaîne de Return-Oriented Programming (ROP) composée de 20 gadgets, fragmentée sur 6 paquets RPC pour contourner les mécanismes de détection.
Cette faille existait depuis 17 ans. FreeBSD est utilisé par Netflix, WhatsApp et de nombreux opérateurs télécoms. Le nombre de systèmes potentiellement exposés est considérable.
Linux Kernel : le chaînage en quatre étapes
La vulnérabilité Linux illustre la capacité de chaînage de Mythos. Quatre failles individuelles, chacune insuffisante seule, sont combinées en une chaîne d’exploitation complète :
- Bypass KASLR pour localiser les adresses mémoire du noyau
- Lecture de la pile vmalloc pour extraire des informations sensibles
- Use-After-Free (UAF) pour corrompre un objet noyau
- Escalade de privilèges vers accès root
Aucune de ces quatre failles n’est critique individuellement. C’est leur combinaison automatisée qui crée le chemin vers la compromission totale.
Recommandations stratégiques pour les entreprises
Face à cette nouvelle réalité, quatre axes d’action sont prioritaires.
1. Réduire le Time-to-Deploy des correctifs
La compression du temps entre patch et exploit rend les cycles de déploiement actuels obsolètes. Les organisations qui mettent 30, 60 ou 90 jours à déployer un correctif s’exposent à un risque immédiat.
Actions concrètes :
- Automatiser les pipelines de patch avec des tests de non-régression automatisés
- Passer à des cycles de déploiement continu pour les correctifs de sécurité
- Mettre en place des mécanismes de patch d’urgence (hotfix) avec un SLA de 48h maximum pour les vulnérabilités critiques
- Surveiller les N-days comme des zero-days : dès qu’un patch est publié, considérer que l’exploit existe
2. Adopter une stratégie IA-First pour la défense
Les outils traditionnels de scan de vulnérabilités ne suffisent plus. L’IA doit être intégrée dans la chaîne de défense.
- Utiliser Claude Opus 4.6 ou équivalent pour le triage massif des alertes de sécurité
- Intégrer l’analyse de code par IA dans les pipelines CI/CD pour détecter les vulnérabilités avant la mise en production
- Automatiser la rédaction de correctifs : l’IA peut proposer des patches que les développeurs valident et déploient
- Former les équipes de sécurité à l’utilisation des outils d’analyse de code assistés par IA
3. Auditer la supply chain logicielle
L’incident npm 2.1.88 qui a précédé Glasswing illustre un point critique : les dépendances tierces sont le maillon faible. La fuite de 512 000 lignes de code interne d’Anthropic est partie d’un package npm mal configuré.
- Inventorier toutes les dépendances tierces (SBOM – Software Bill of Materials)
- Auditer les packages critiques avec des outils comme Snyk, Dependabot ou l’analyse IA
- Mettre en place des politiques de pinning de versions strict
- Surveiller les changements de propriétaire de packages (typosquatting, takeover)
4. Prioriser les barrières matérielles
La sécurité par l’obscurité et la complexité est morte. Les barrières logicielles seules ne suffisent plus face à un adversaire capable de les contourner automatiquement.
- Investir dans W^X (Write XOR Execute) au niveau matériel
- Déployer une isolation totale des processus critiques (microVMs, conteneurs hardened)
- Adopter des architectures zero-trust où chaque composant est authentifié et autorisé individuellement
- Considérer les enclaves sécurisées (SGX, TrustZone) pour les opérations les plus sensibles
Vers un nouvel équilibre sécuritaire
Project Glasswing est, au fond, un aveu. L’aveu qu’Anthropic a construit une IA capable de compromettre des systèmes qui résistent aux meilleurs experts humains depuis des décennies. Et qu’il est préférable de le dire publiquement plutôt que d’espérer que personne d’autre n’y arrive.
C’est une approche responsable. Mais elle pose une question de fond sur la prolifération.
Anthropic n’est pas le seul laboratoire qui travaille sur des modèles avancés. Google DeepMind, OpenAI, Meta, Mistral et des dizaines d’autres entreprises poussent les limites de l’IA. Que se passe-t-il quand un acteur moins scrupuleux déploie un modèle de classe Mythos sans les garde-fous de Glasswing ?
La réponse honnête : personne ne sait. Les barrières à l’entrée baissent chaque année. Les modèles open source progressent rapidement. Il est probable qu’un modèle aux capacités comparables à Mythos soit accessible publiquement dans les 12 à 24 mois.
Glasswing achète du temps. 90 jours d’avance, selon l’objectif affiché. C’est mieux que zéro. Mais c’est une course perpétuelle.
La sécurité de demain ne sera pas assurée par des firewalls et des antivirus. Elle sera assurée par l’orchestration de l’intelligence machine – des IA défensives capables de trouver et corriger les failles plus vite que les IA offensives ne les exploitent.
Project Glasswing est le premier pas structuré dans cette direction. Ce ne sera pas le dernier.
FAQ
Anthropic considère que les capacités offensives de Mythos Preview sont trop dangereuses pour un déploiement public. Le modèle est capable de générer des exploits fonctionnels à une échelle et une vitesse qui dépasse de loin ce que les équipes de défense sont capables d’absorber. Le rendre accessible reviendrait à donner un avantage décisif aux attaquants. Anthropic le réserve aux programmes défensifs comme Glasswing et aux équipes de recherche en sécurité sélectionnées.
CyberGym est un benchmark interne d’Anthropic qui évalue la capacité d’un modèle à identifier des vulnérabilités et à produire des exploits fonctionnels dans des environnements réalistes. Un score de 83,1 % signifie que Mythos réussit à exploiter plus de 8 scénarios de test sur 10. À titre de comparaison, Opus 4.6 atteint 66,6 %, ce qui est déjà élevé. La différence de 16,5 points représente le passage d’un outil d’aide à l’analyse à un outil capable d’exploitation autonome.
Glasswing fournit deux types de soutien. D’abord, 100 millions de dollars en crédits d’utilisation des modèles Claude, qui permettent aux mainteneurs d’auditer leur code à grande échelle. Ensuite, 4 millions de dollars en dons directs aux organisations qui structurent la sécurité open source : 2,5 millions pour Alpha-Omega et OpenSSF (via la Linux Foundation), et 1,5 million pour l’Apache Software Foundation. Les rapports de vulnérabilités générés par Mythos Preview sont également partagés avec les mainteneurs concernés via un processus de divulgation responsable.
La fuite npm 2.1.88 du 31 mars 2026 a exposé le code interne de Claude Code, révélant deux codenames de modèles : Capybara (qui correspond à Claude Mythos Preview) et Fennec (qui correspond à Claude Opus 4.6). D’autres références à des modèles internes ont été identifiées dans le code, mais Anthropic n’a pas confirmé publiquement l’existence de modèles supplémentaires au-delà de Mythos et Opus 4.6.
Le mode Undercover est une fonctionnalité interne découverte dans le code source fuité de Claude Code. D’après l’analyse du code, il s’agit d’un mode opérationnel où le modèle peut interagir avec des systèmes externes sans révéler sa nature d’IA. Les cas d’usage probables incluent les tests de pénétration où l’agent doit interagir avec des services sans déclencher de détection automatique. Anthropic n’a pas commenté publiquement cette fonctionnalité. Les implications en termes d’éthique et de transparence sont significatives et méritent un suivi attentif.
Timeline
31 mars 2026 – Fuite npm 2.1.88 : 512 000 lignes de code TypeScript internes à Claude Code sont exposées publiquement. Les codenames Capybara (Mythos Preview) et Fennec (Opus 4.6) sont révélés. La communauté sécurité analyse le code et découvre des références à des capacités offensives avancées.
7 avril 2026 – Lancement officiel de Project Glasswing. Anthropic annonce un consortium de 11 partenaires et un budget de 104 millions de dollars pour sécuriser l’écosystème logiciel mondial face aux capacités des modèles IA de nouvelle génération.