Anthropic a publié vendredi 22 mai un premier bilan de Project Glasswing, son programme cyber lancé en avril. En un mois, son modèle interne Mythos Preview a repéré plus de 10 000 failles critiques dans les logiciels qui font tourner Internet. Une cadence inédite, qui rebat les cartes de la sécurité informatique.

À retenir

Plus de 10 000 failles critiques détectées en un mois par l’IA Mythos.
6 202 vulnérabilités graves dans 1 000+ projets open source scannés.
Anthropic refuse pour l’instant de rendre Mythos accessible au public.

La publication, mise en ligne sur le blog research d’Anthropic, marque une bascule pour le secteur. La détection des bugs n’est plus le verrou : c’est désormais la cadence des correctifs qui freine tout le monde. Plusieurs des cinquante partenaires du programme rapportent un rythme de découverte multiplié par dix grâce au modèle.

Sur 1 000 projets open source scannés ces derniers mois, Mythos Preview a remonté 23 019 vulnérabilités, dont 6 202 jugées critiques ou hautes. Sur les 1 752 dossiers déjà examinés par six cabinets de sécurité indépendants, 90,6 % se sont avérés réels. Au rythme actuel, la firme attend près de 3 900 failles graves confirmées dans le seul périmètre open source.

Un cas illustre l’enjeu. La bibliothèque cryptographique wolfSSL, utilisée par des milliards d’appareils, est passée sous la loupe du modèle. Mythos y a construit un exploit qui permettait de forger des certificats SSL pour reproduire à l’identique un site bancaire ou de messagerie. La faille, désormais corrigée, porte la référence CVE-2026-5194. Une analyse technique complète sera publiée dans les semaines qui viennent selon Anthropic, le temps que la mise à jour soit largement déployée.

Cloudflare et Mozilla en première ligne

Côté partenaires, les premiers résultats sont spectaculaires. Cloudflare annonce 2 000 bugs trouvés, dont 400 critiques, sur ses systèmes les plus sensibles. Son équipe juge même le taux de faux positifs meilleur que celui d’auditeurs humains expérimentés. De son côté, Mozilla a corrigé 271 vulnérabilités sur Firefox 150 grâce à Mythos, alors que la version précédente du même outil, basée sur Claude Opus 4.6, n’en avait remonté qu’une vingtaine sur Firefox 148. C’est dix fois plus, sur la même base de code.

Le modèle a aussi servi à des cas très concrets. Chez l’une des banques partenaires de Glasswing, il a permis d’empêcher un virement frauduleux de 1,5 million de dollars. Un attaquant avait piraté l’adresse e-mail d’un client puis passé de faux appels téléphoniques pour valider l’opération. Mythos a recoupé les signaux faibles avant que la transaction ne parte.

L’effet domino se voit déjà chez les éditeurs. Palo Alto Networks a publié, dans sa dernière mise à jour, cinq fois plus de correctifs qu’à l’accoutumée. Microsoft prévient que ses bulletins de sécurité mensuels vont continuer à grossir. Oracle évoque un rythme de détection et de patch nettement accéléré sur tous ses produits. Anthropic, qui s’apprête à faire grossir sa valorisation au-delà de 950 milliards de dollars, gagne ici un argument industriel inédit.

Pourquoi Mythos reste verrouillé au grand public

Anthropic est franc sur les capacités du modèle. Aucune entreprise, y compris elle-même, n’a aujourd’hui mis au point des garde-fous capables d’empêcher un système de ce niveau d’être détourné en arme offensive. Tant que ce verrou n’existe pas, la firme refuse de lancer une version publique. Le sujet rejoint le débat ouvert depuis l’arrivée d’Andrej Karpathy chez Anthropic : la sécurité par défaut devient un argument concurrentiel.

Le verso du tableau est moins brillant. Sur 530 failles graves déjà remontées aux mainteneurs open source, seules 75 ont été corrigées et 65 ont reçu un avis public. Plusieurs équipes bénévoles, débordées, ont même demandé à Anthropic de ralentir la cadence des signalements. Le rapport l’admet noir sur blanc : Mythos « s’ajoute à un écosystème de sécurité déjà saturé ». Le constat fait écho aux dégâts récents observés avec 380 000 applis IA mal codées qui exposent des données sensibles.

En attendant, Anthropic pousse une alternative grand public via Claude Security, désormais en bêta publique pour ses clients Enterprise. En trois semaines, l’outil — bâti sur Claude Opus 4.7 — a aidé à corriger plus de 2 100 vulnérabilités dans des bases de code internes. Une partie des outils utilisés par les partenaires de Glasswing sera ouverte aux équipes cyber qualifiées, dans la lignée du rachat de Stainless qui muscle déjà l’infrastructure développeur du groupe.

L’éditeur a aussi signé avec l’Open Source Security Foundation un partenariat de 12,5 millions de dollars pour aider les mainteneurs débordés à absorber le flot de rapports. Pour les utilisateurs finaux, l’enjeu est ailleurs : installer les mises à jour le jour même. Le délai entre la sortie d’un patch et son adoption massive reste la principale fenêtre d’attaque, particulièrement scrutée depuis le malware Phone Link qui vole les codes SMS bancaires. La bataille pour fiabiliser le code mondial ne fait que commencer.