Une percée dans la cybersécurité offensive automatisée
Le projet Glasswing, piloté par la startup Anthropic en collaboration avec des partenaires, a marqué une avancée significative dans le domaine de la cybersécurité en utilisant le modèle d’intelligence artificielle Claude Mythos Preview. En l’espace d’un seul mois, ce système a scanné des systèmes logiciels clés à travers le monde et découvert plus de 10 000 vulnérabilités de gravité élevée ou critique. Parmi celles-ci, plus de 6 200 failles ont été classées comme graves, susceptibles de permettre des intrusions majeures ou des compromissions totales de systèmes.
Un volume inédit de détections
Selon les informations communiquées par Anthropic, ce résultat représente un volume de détection sans précédent pour un seul outil automatisé sur une période aussi courte. Les vulnérabilités identifiées concernent des composants logiciels largement déployés, incluant des bibliothèques open source, des applications d’entreprise et des infrastructures critiques. La capacité de Claude Mythos Preview à analyser rapidement de vastes bases de code et à identifier des schémas de failles a permis de couvrir un spectre très large, là où des audits humains ou des outils traditionnels auraient nécessité des mois, voire des années.
Nature des failles et implications
Les failles découvertes se répartissent en plusieurs catégories : injections de code, dépassements de tampon, problèmes de configuration, vulnérabilités liées à l’authentification, ou encore des faiblesses dans la gestion des accès. La gravité élevée ou critique signifie que ces bugs pourraient, en théorie, être exploités pour prendre le contrôle d’un système, voler des données sensibles, ou provoquer des dénis de service. Anthropic n’a pas divulgué l’identité des fournisseurs ou des projets logiciels concernés, mais a indiqué que le processus de divulgation responsable était en cours avec les équipes de sécurité des organisations impactées.
Modèle et méthodologie
Claude Mythos Preview est un modèle de langage conçu spécifiquement pour des tâches de raisonnement et d’analyse de code. Contrairement à une simple recherche par motifs, il est capable de comprendre le contexte sémantique du code pour identifier des vulnérabilités logiques complexes. Anthropic précise que le projet Glasswing n’est pas un outil de test d’intrusion classique, mais une plateforme d’analyse à grande échelle qui combine l’IA avec des techniques de fuzzing et de vérification formelle.
Contexte et réactions
Cette annonce intervient dans un climat de tension croissante autour de la sécurité des chaînes d’approvisionnement logicielles, où une seule vulnérabilité peut affecter des millions d’utilisateurs. Des experts en cybersécurité, sollicités en marge de l’annonce, ont salué la performance technique tout en appelant à une utilisation encadrée de tels modèles, capables à la fois de défendre et d’attaquer. L’entreprise elle-même a souligné que l’objectif était de renforcer la sécurité collective en amont, avant que des acteurs malveillants n’exploitent ces failles.
Prochaines étapes
Anthropic prévoit de publier un rapport technique détaillé dans les semaines à venir, décrivant les méthodes employées et les leçons tirées. Par ailleurs, la société entend étendre le projet Glasswing à d’autres domaines, comme la sécurité des bases de données et des protocoles réseau. Les partenaires impliqués n’ont pas été nommés, mais ils incluraient des organisations de recherche en sécurité et des CERT nationaux.
