Project Glasswing, l’initiative d’Anthropic pour protéger les logiciels critiques avec l’IA

Anthropic a annoncé Project Glasswing, une alliance de cybersécurité qui réunit Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. L'objectif est d'utiliser l'intelligence artificielle de manière défensive pour détecter et corriger les failles de sécurité dans les logiciels les plus critiques au monde avant qu'elles ne puissent être exploitées par des acteurs malveillants.

Au cœur de l'initiative se trouve Claude Mythos Preview, un nouveau modèle d'intelligence artificielle développé par Anthropic qui a démontré une capacité notable à identifier des vulnérabilités dans le code informatique. Au cours des dernières semaines, le modèle a détecté des milliers de failles de sécurité inconnues dans tous les principaux systèmes d'exploitation et navigateurs web. Certaines de ces failles n'avaient pas été détectées depuis des décennies, malgré des millions de tests automatisés.

Parmi les cas documentés, le modèle a trouvé une vulnérabilité vieille de 27 ans dans OpenBSD, un système d'exploitation utilisé dans les pare-feux et les infrastructures critiques, qui permettait à un attaquant de bloquer à distance n'importe quelle machine l'exécutant. Il a également détecté un bug vieux de 16 ans dans FFmpeg, une bibliothèque largement utilisée pour le traitement vidéo, dans une ligne de code analysée cinq millions de fois par des outils automatisés sans jamais être signalée. De plus, il a identifié et enchaîné plusieurs vulnérabilités dans le noyau Linux pour obtenir un contrôle total sur un système à partir d'un accès utilisateur ordinaire. Toutes les failles ont été signalées aux responsables des logiciels concernés et ont depuis été corrigées.

Dans les tests de cybersécurité CyberGym, Mythos Preview a obtenu un score de 83,1 %, contre 66,6 % pour Claude Opus 4.6. Anthropic ne prévoit pas de rendre ce modèle disponible au grand public ; son utilisation sera limitée aux partenaires du projet et à plus de 40 organisations gérant des infrastructures logicielles critiques et open source.

La société a engagé jusqu'à 100 millions de dollars en crédits d'utilisation du modèle pour les participants, et a fait don de 4 millions de dollars supplémentaires à des organisations de sécurité open source. Dans un délai de 90 jours, Anthropic publiera un rapport sur les résultats obtenus et les vulnérabilités pouvant être rendues publiques.

L'initiative émerge du constat que l'IA a considérablement réduit le temps et le niveau d'expertise nécessaires pour exploiter des failles logicielles. Project Glasswing vise à permettre aux défenseurs de tirer parti de ces mêmes capacités avant que les attaquants ne le fassent.

Points clés

• Anthropic lance Project Glasswing pour utiliser l'IA dans la détection de vulnérabilités dans les logiciels critiques.
• Le modèle Claude Mythos Preview a trouvé des milliers de failles graves dans tous les principaux systèmes d'exploitation et navigateurs.
• Certaines failles détectées n'avaient pas été découvertes depuis des décennies malgré des millions de tests automatisés.
• Douze grandes entreprises technologiques participent en tant que partenaires, dont AWS, Microsoft, Google, Apple et Cisco.
• Anthropic ne mettra pas le modèle à disposition du grand public en raison du risque qu'il représenterait entre de mauvaises mains.
• La société consacre 100 millions de dollars en crédits d'utilisation et 4 millions en dons à des projets de sécurité open source.
• Dans 90 jours, Anthropic publiera un rapport sur les résultats et les vulnérabilités pouvant être rendues publiques.