Lancé en avril 2026, le projet Glasswing de la société Anthropic vise à sécuriser les logiciels les plus critiques avant que des modèles d’intelligence artificielle encore plus puissants ne soient utilisés pour les attaquer. Le premier bilan de cette initiative, dévoilé par l’entreprise, fait état de résultats spectaculaires : en quelques semaines, le modèle Claude Mythos Preview, déployé auprès d’une cinquantaine de partenaires, a permis d’identifier plus de 10 000 failles de sécurité jugées critiques ou de haute sévérité. Une part significative de ces vulnérabilités concerne des systèmes fondamentaux de l’écosystème numérique mondial.

Une détection accélérée, un nouveau goulot d’étranglement

L’un des principaux atouts de Claude Mythos Preview réside dans sa rapidité d’exécution. Le modèle analyse des milliers de projets open source et des systèmes industriels complexes pour y déceler des failles exploitables. Dans certains cas, le rythme de détection des bogues a été multiplié par plus de dix. Cloudflare, l’un des partenaires, a ainsi repéré 2 000 vulnérabilités dans ses systèmes critiques, dont 400 considérées comme à haut risque ou critiques. De son côté, Mozilla avait précédemment annoncé avoir découvert et corrigé 271 failles dans le navigateur Firefox grâce à cette approche.

Cependant, cette accélération de la détection met sous tension l’ensemble de la chaîne de correction. Selon Anthropic, le véritable goulot d’étranglement n’est plus la découverte des vulnérabilités, mais leur vérification, leur qualification et surtout leur correction dans les délais requis. L’IA rend ainsi visible une dette technique massive que les organisations peinent à absorber. Les vulnérabilités sont plus facilement et rapidement connues, parfois documentées, mais restent exploitables tant que les correctifs ne sont pas déployés à grande échelle. Le volume de vulnérabilités découvertes dépasse largement les capacités humaines de triage et de correction.

Un accès encadré pour éviter les usages détournés

Claude Mythos Preview n’est pas accessible au grand public. Anthropic considère qu’aucun acteur, y compris l’entreprise elle-même, ne dispose encore de garde-fous suffisamment solides pour empêcher totalement des usages détournés de modèles de cette puissance. La société indique néanmoins travailler à la mise au point de modèles qui pourraient être diffusés ultérieurement, une fois ces mécanismes de sécurité jugés suffisamment matures.

Dans cette phase intermédiaire, Anthropic privilégie une approche encadrée, reposant sur des collaborations avec des partenaires institutionnels et gouvernementaux, notamment aux États-Unis, afin d’élargir progressivement le périmètre du projet Glasswing. Cette stratégie pourrait marquer un rapprochement opérationnel avec les autorités américaines, après des tensions passées sur les questions de gouvernance de l’IA.

Des implications pour l’ensemble du secteur

Le projet Glasswing illustre un changement de paradigme dans la cybersécurité : le centre de gravité se déplace de la détection vers la capacité de correction et de déploiement des correctifs. Les équipes de sécurité doivent désormais repenser les infrastructures logicielles pour réduire la dépendance à des cycles de mise à jour lents et hétérogènes. Alors que d’autres acteurs comme OpenAI ou Microsoft lancent également des initiatives dans ce domaine, l’IA générative s’impose comme un outil à double tranchant, capable à la fois de découvrir des failles à grande échelle et de submerger les défenseurs sous un déluge de vulnérabilités à traiter.