3 min de lecture
Project Glasswing : Anthropic mobilise douze géants tech contre les failles critiques
Anthropic a lancé Project Glasswing le 7 avril, une coalition de douze entreprises utilisant Claude Mythos Preview pour trouver des milliers de failles zero-day dans les logiciels critiques.
Project Glasswing : Anthropic mobilise douze géants tech contre les failles critiques
Anthropic a rendu public le 7 avril le détail de Project Glasswing, une initiative de cybersécurité défensive qui donne accès à Claude Mythos Preview, son modèle le plus puissant, à une coalition de douze entreprises technologiques majeures. Objectif : identifier et corriger les vulnérabilités les plus critiques de l'infrastructure logicielle mondiale avant qu'elles ne soient exploitées. La décision traduit un pari inhabituel : utiliser un modèle jugé trop dangereux pour une diffusion publique comme bouclier défensif collectif.
Un modèle capable de trouver ce que personne n'avait vu en dix-sept ans
En quelques semaines, Claude Mythos Preview a identifié des milliers de failles zero-day dans tous les systèmes d'exploitation majeurs et dans tous les navigateurs web répandus. Parmi les découvertes documentées : une vulnérabilité d'exécution de code à distance vieille de dix-sept ans dans FreeBSD (CVE-2026-4747), permettant à n'importe qui d'obtenir un accès root sur une machine exposée via NFS sans aucune interaction humaine après la requête initiale. Un bug de vingt-sept ans dans OpenBSD et une faille de seize ans dans FFmpeg figurent également dans la liste.
Plus inquiétant encore, le modèle a enchaîné quatre vulnérabilités distinctes dans un navigateur majeur pour construire un exploit capable d'échapper simultanément au bac à sable du navigateur et à celui du système d'exploitation. À la date de l'annonce officielle, plus de 99 % des failles identifiées n'étaient pas encore corrigées. Anthropic a choisi de ne pas divulguer publiquement la liste complète des vulnérabilités pour laisser le temps aux mainteneurs de logiciels de publier des correctifs.
Une coalition à cent millions de dollars
Pour accéder à Claude Mythos Preview via cette initiative, douze organisations ont rejoint le projet : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks et Anthropic lui-même. Le modèle est accessible via l'API Claude, Amazon Bedrock, Google Cloud Vertex AI et Microsoft Foundry, à 25 dollars par million de tokens en entrée et 125 dollars en sortie.
Anthropic mobilise 100 millions de dollars en crédits d'utilisation du modèle pour financer l'initiative sur la durée de la prévisualisation, auxquels s'ajoutent 4 millions de dollars de dons directs à des organisations de sécurité open source. La Linux Foundation et plus de quarante mainteneurs de logiciels critiques participent également à la démarche. La présence d'entreprises comme JPMorgan Chase, extérieures au secteur technologique strict, illustre l'ambition de couvrir des infrastructures bien au-delà du périmètre habituel des éditeurs de logiciels.
Ce que ça signifie pour vous
Pour les développeurs et mainteneurs de logiciels open source, Project Glasswing représente une opportunité directe de bénéficier d'audits de sécurité assistés par un modèle frontier, sans avoir à en supporter le coût. La Linux Foundation joue ici le rôle d'intermédiaire pour les projets communautaires.
Pour les équipes de sécurité en entreprise, la question porte davantage sur les délais. Si un modèle peut trouver des milliers de failles critiques en quelques semaines, le même modèle entre les mains d'acteurs malveillants raccourcirait drastiquement la fenêtre d'exploitation. Anthropic maintient pour l'instant que Mythos ne sera pas disponible en dehors du cadre Glasswing, mais la pression commerciale sur ce type de décision est réelle et documentée dans d'autres secteurs.
Sources : Project Glasswing, Anthropic · The Hacker News · Fortune · Council on Foreign Relations