Project Glasswing d'Anthropic : quand l'IA trouve les zero-days plus vite que les humains ne peuvent les compter

Project Glasswing d'Anthropic : quand l'IA trouve les zero-days plus vite que les humains ne peuvent les compter

lschvn8 min de lecture

Ce bogue a résisté vingt-sept ans de recherche en sécurité par des humains. Des milliers de CVE ont été déposées et corrigées. D'innombrables auditeurs, testeurs de pénétration et chercheurs indépendants ont examiné le code. Puis, en l'espace de quelques minutes, un modèle d'intelligence artificielle a identifié une vulnérabilité de crash distant dans OpenBSD, sans nécessiter la moindre authentification. En quelques jours, l'exploit était rédigé et le correctif déployé. Voilà le récit de Claude Mythos Preview et de Project Glasswing.

Anthropic ne cherchait pas à développer un modèle de sécurité offensive. La société indique avoir mené des recherches sur la sécurité de l'IA et les capacités des modèles lorsqu'elle a constaté un fait alarmant : les mêmes capacités de raisonnement qui rendent les modèles de pointe utiles en ingénierie logicielle les rendent également remarquablement efficaces pour découvrir, et exploiter, des vulnérabilités logicielles. Non pas en théorie. En pratique. Des exploits fonctionnels. Du jour au lendemain.

La découverte

Les chiffres issus des tests internes de l'équipe rouge d'Anthropic sont éloquents. Sur CyberGym, un benchmark conçu pour évaluer la capacité d'un modèle à reproduire des vulnérabilités connues, Claude Mythos a obtenu un score de 83,1 %. Claude Opus 4.6 a obtenu 66,6 %. L'écart est considérable. Sur SWE-bench Verified, un test de capacité réelle en ingénierie logicielle, Mythos a atteint 94,6 % contre 91,3 % pour Opus 4.6. Sur Terminal-Bench, qui mesure la capacité d'un modèle à opérer dans un environnement shell et à enchaîner des opérations de terminal complexes, Mythos a obtenu un score de 92,1 %. Ces chiffres ne sont pas de simples références théoriques. Ils décrivent un modèle capable d'accomplir de manière fiable ce que font les chercheurs en sécurité, trouver des bogues, comprendre les chemins de code et rédiger des exploits fonctionnels, sans qu'on lui demande de se comporter de manière éthique ou prudente.

En l'espace d'un mois de tests coordonnés, Mythos a découvert des vulnérabilités zero-day dans pratiquement tous les systèmes d'exploitation et navigateurs majeurs utilisés à ce jour.

La plus ancienne était un bogue de crash distant vieux de vingt-sept ans dans OpenBSD, nécessitant aucune authentification. Il se trouvait dans la base de code depuis 1999, invisible à des décennies de réviseurs humains. Le plus techniquement alarmant était une faille vieille de seize ans dans FFmpeg, la bibliothèque de codec multimédia omniprésente utilisée dans tout, des navigateurs aux plateformes de visioconférence en passant par les systèmes d'exploitation mobiles. Cinq millions de tests automatisés avaient été exécutés sur la base de code de FFmpeg au fil des années. Mythos a néanmoins trouvé le bogue, sans instruction spéciale ni accès autre que celui dont disposerait n'importe quel développeur.

Les propres ingénieurs d'Anthropic, des non-spécialistes sans formation formelle en sécurité, se sont vu accorder l'accès et ont été priés de voir ce que Mythos pouvait accomplir pendant la nuit. Ils se sont réveillés avec des exploits fonctionnels complets. De l'exécution de code à distance. Aucun guidage. Aucun aiguillage. Le modèle avait identifié la vulnérabilité, compris le chemin d'exploitation et rédigé un code de preuve de concept fonctionnel de manière entièrement autonome.

D'autres découvertes incluaient une élévation de privilèges dans le noyau Linux permettant à un compte utilisateur standard de passer en root, un heap spray JIT du navigateur combiné à une évasion de bac à sable (enchaînant quatre vulnérabilités distinctes), et un exploit root NFS distant pour FreeBSD construit sur une chaîne ROP (Return-Oriented Programming) de 20 gadgets. Tous les navigateurs et systèmes d'exploitation majeurs étaient affectés. L'ensemble des vulnérabilités ont été divulguées et corrigées.

La coalition

Le 7 avril 2026, Anthropic a annoncé Project Glasswing, une coalition industrielle formelle conçue pour agir sur ce que l'équipe rouge avait découvert. Treize partenaires fondateurs ancrent l'initiative : AWS, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Apple est le nom le plus marquant de la liste, une entreprise qui s'est montrée notablement discrète dans sa communication publique sur l'intelligence artificielle, et qui fait désormais officiellement partie du partenariat IA-cybersécurité le plus significatif de l'histoire du secteur.

Anthropic s'engage à hauteur de 100 millions de dollars en crédits API pour l'effort et de 4 millions de dollars supplémentaires en financement direct à destination d'organisations de sécurité open source, notamment le projet Alpha-Omega, l'Open Source Security Foundation (OpenSSF) et la Apache Software Foundation. Après l'annonce, l'API Glasswing est tarifée à 25 dollars par million de tokens pour les fenêtres de contexte et 125 dollars par million de tokens pour la génération, un point de prix délibérément accessible, conçu pour couvrir les projets open source vulnérables, et non pour maximiser les revenus.

Les partenaires ne se contentent pas de recevoir l'accès à Mythos. Ils apportent leurs découvertes, coordonnent la divulgation et intègrent le modèle dans leurs propres pipelines de sécurité. Plus de quarante organisations supplémentaires avaient reçu ou vu leur accès étendu au système au moment du lancement, allant de laboratoires académiques de sécurité à des entreprises de taille intermédiaire présentant une exposition critique en matière d'infrastructure.

L'effondrement du calendrier d'attaque

La fenêtre entre la découverte d'une vulnérabilité et la disponibilité d'un exploit s'est historiquement comptée en mois. Les chercheurs en sécurité trouvent un bogue, le vérifient, rédigent une preuve de concept, coordonnent avec le fournisseur et attendent un correctif, un processus qui s'étend couramment sur 90 à 180 jours, même dans le cadre de programmes de divulgation coordonnée. Mythos ne suit pas ce calendrier. Le modèle a trouvé, vérifié et produit un code d'exploit fonctionnel pour plusieurs vulnérabilités critiques au cours d'une seule et même session.

Il ne s'agit pas d'une accélération théorique. C'est un effondrement pratique de la fenêtre de menace. Les défenseurs qui disposaient auparavant de mois pour corriger disposent désormais de minutes, ou tout au plus d'heures, avant qu'un acteur compétent ne puisse produire un exploit opérationnel. La nature duale de la technologie signifie que cette capacité n'est pas confinée à un environnement de recherche. Elle est opérationnelle, accessible et évolutive.

Ce que cela signifie pour le secteur

Pour les opérateurs d'agents d'IA, y compris les plateformes comme OpenClaw qui accordent aux systèmes autonomes un accès persistant aux fichiers, au code et aux ressources réseau, les implications sont directes. Les agents d'IA ne sont pas de simples outils de productivité. Ce sont des environnements d'exécution. Si un modèle comme Mythos peut découvrir et exploiter des vulnérabilités de manière autonome, alors tout modèle suffisamment capable évoluant dans un environnement permissif constitue potentiellement un vecteur d'action tanto offensive que défensive. La même capacité qui corrige votre système peut, dans le mauvais contexte ou avec le mauvais aiguillage, l'attaquer.

Pour les équipes de sécurité, le tableau est plus complexe. La découverte de vulnérabilités assistée par IA est désormais plus rapide que les tests de pénétration menés par des humains. Les organisations qui intègrent ces capacités dans leurs opérations d'équipe rouge découvriront davantage de bogues, plus rapidement. Mais leurs adversaires également. La course offense-défense s'oriente vers une dynamique qui exige de nouveaux cadres de gouvernance, non seulement pour les modèles tels que Mythos, mais pour l'écosystème plus large de systèmes d'IA capables qui suivront.

Anthropic ne rend pas Mythos publiquement accessible, invoquant le risque clair et immédiat que des non-spécialistes l'utilisent pour générer des exploits fonctionnels sans infrastructure de divulgation. Le modèle est disponible pour les partenaires Glasswing et un ensemble sélectionné de mainteneurs open source. Cette décision témoigne d'un sincère souci du problème de l'usage dual. Mais elle ne résout pas la dynamique sous-jacente : le calendrier d'attaque s'est effondré, les outils sont bien réels, et le secteur commence à peine à comprendre ce que cela implique.

Avertissements : Seul un sous-ensemble des vulnérabilités découvertes par Mythos a été publiquement divulgué ; Anthropic estime que plus de 99 % des découvertes du modèle restent non divulguées dans l'attente des correctifs coordonnés des fournisseurs. Le modèle n'est pas accessible au public. Son efficacité dépend partiellement de l'accès au code source et aux binaires, il fonctionne de manière moins fiable contre les cibles en boîte noire sans visibilité sur le code. Ces facteurs limitent la vérification indépendante de certaines affirmations de ce rapport.

Questions fréquentes

Articles connexes

Plus de couverture avec des sujets et tags en commun.

Bug Claude Code #74066 : Des Utilisateurs Signalent une Fuite de Contexte Entre Workspaces sur Sonnet 5, Anthropic N'a Pas Encore Répondu
security

Bug Claude Code #74066 : Des Utilisateurs Signalent une Fuite de Contexte Entre Workspaces sur Sonnet 5, Anthropic N'a Pas Encore Répondu

Un bug ouvert déposé contre Claude Code le 2026-07-04 par un utilisateur [Enterprise ZDR](https://docs.anthropic.com/en/docs/build-with-claude/zero-data-retention) décrit une session de travail sur Sonnet 5 qui commence soudainement à faire référence à une construction de temple Minecraft non liée, puis persiste dans la mauvaise tâche dans son récapitulatif. Le rapporteur (GitHub : [@milesrichardson-edb](https://github.com/milesrichardson-edb), issue [anthropics/claude-code#74066](https://github.com/anthropics/claude-code/issues/74066)) est sur Enterprise Zero Data Retention, le niveau qu'Anthropic présente spécifiquement comme isolé par session. Le triage sur le JSONL de session locale du rapporteur à `~/.claude/projects/<encoded-cwd>/<session-id>.jsonl` montre que le texte fuité n'est pas dans la transcription, ce qui exclut une fuite de contexte locale par chevauchement de fichier. Quatre autres utilisateurs dans les commentaires (avec des historiques de travail remontant à l'an dernier) décrivent un comportement quasi identique sur Claude Code, Claude Mobile et Claude deep research. Le fit architectural le plus plausible est un état de cache KV partagé dans l'inférence ([selon @yv3nne dans les commentaires](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880448776)), mais aucun ingénieur d'Anthropic n'a commenté l'issue dans les 22 heures depuis son dépôt, et l'issue a atteint le sommet de [Hacker News](https://news.ycombinator.com/item?id=42481789) le 2026-07-04. Le ton dans le fil est partagé : la moitié suspectant une vraie réutilisation de cache plateforme, l'autre moitié suspectant une [hallucination spécifique à Sonnet 5 déclenchée par un lexer Pygments](https://github.com/anthropics/claude-code/issues/74066#issuecomment-4880334711). Les deux lectures sont crédibles.
Anthropic accuse Alibaba d'une distillation « éhontée » de Claude à l'échelle industrielle : 28,8 millions d'échanges, ~25 000 comptes frauduleux, du 22 avril au 5 juin
security

Anthropic accuse Alibaba d'une distillation « éhontée » de Claude à l'échelle industrielle : 28,8 millions d'échanges, ~25 000 comptes frauduleux, du 22 avril au 5 juin

Anthropic a publié un billet de blog le 2026-06-24 (https://www.anthropic.com/news/detecting-and-preventing-distillation-attacks) accusant Alibaba d'avoir mené une campagne de distillation à l'échelle industrielle contre Claude. Anthropic affirme que la campagne s'est déroulée du 22 avril au 5 juin 2026 et a produit plus de 28,8 millions d'échanges avec Claude via près de 25 000 comptes frauduleux. L'accusation est la deuxième divulgation publique de distillation par Anthropic : la première, le 2026-02-23, nommait DeepSeek, Moonshot AI et MiniMax comme auteurs de 16 millions d'échanges à travers 24 000 comptes frauduleux. Reuters (Krystal Hu, Eduardo Baptista) et Bloomberg (Saritha Rai) ont rapporté la nouvelle allégation le 2026-06-24 ; le WSJ a publié Anthropic Claims Alibaba Ran 'Brazen' Campaign to Access Its Claude AI Model le même jour. Alibaba n'a pas encore publié de communiqué au moment de la rédaction.
OpenAI Codex 0.141 ajoute des exécuteurs distants chiffrés en Noise, un `PathUri` multi-OS, un marketplace de plugins et un pin SQLite WAL-Reset
security

OpenAI Codex 0.141 ajoute des exécuteurs distants chiffrés en Noise, un `PathUri` multi-OS, un marketplace de plugins et un pin SQLite WAL-Reset

Codex 0.141.0 (18 juin 2026) fait de Noise IK le transport par défaut entre l'orchestrateur et l'exec-server, livre une couche PathUri / NativePathString qui fait le round-trip des chemins POSIX, Windows-drive et UNC sans exposer l'encodage URI côté API, ouvre un marketplace de plugins `created-by-me-remote`, relève le timeout d'outil MCP à 300 secondes, et épingle la SQLite bundlée à 3.51.3 pour conserver le fix de corruption WAL-reset après un refresh de dépendances.

Commentaires

Connexion Connectez-vous pour participer à la conversation.

Pas encore de commentaires. Soyez le premier à partager vos pensées.