Claude Mythos: Anthropic lance Project Glasswing cyber
Claude Mythos reste non public: avec Project Glasswing, Anthropic confie son IA à des acteurs clés pour traquer des failles zero-day et sécuriser l’open source.
L’IA la plus puissante d’Anthropic n’arrive pas sur le marché comme les autres. Au lieu d’une mise à disposition générale, l’entreprise a choisi un déploiement contrôlé, motivé par un constat simple: certaines capacités en cybersécurité deviennent trop sensibles pour être diffusées sans garde-fous.
Au coeur de cette stratégie, Claude Mythos Preview. Selon Anthropic, le modèle a déjà identifié des milliers de vulnérabilités touchant les principaux systèmes d’exploitation et navigateurs. Plutôt que de le publier, l’entreprise le met au travail via Project Glasswing, en l’ouvrant à des organisations qui maintiennent l’infrastructure logicielle critique.
Project Glasswing: un accès réservé aux gardiens d’Internet
Project Glasswing est l’initiative par laquelle Anthropic donne accès à Claude Mythos Preview à un cercle d’acteurs jugés capables d’en faire un usage défensif et encadré. Les partenaires de lancement cités incluent notamment Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, Nvidia et Palo Alto Networks.
Au-delà de ce noyau, Anthropic étend l’accès à plus de 40 autres organisations qui développent ou maintiennent des briques logicielles critiques. L’entreprise annonce jusqu’à 100 millions de dollars de crédits d’usage pour Mythos Preview dans le cadre du programme, ainsi que 4 millions de dollars de dons à des organisations de sécurité open source.
Pour les détails officiels du programme, Anthropic renvoie vers sa page dédiée: https://www.anthropic.com/glasswing
Claude Mythos Preview: des capacités cyber qui dépassent les tests
Point important: Mythos Preview n’aurait pas été entraîné spécifiquement pour la cybersécurité. Anthropic explique que ces compétences sont apparues comme une conséquence d’améliorations générales en code, raisonnement et autonomie. Problème: les mêmes progrès qui aident à corriger des failles peuvent aussi faciliter leur exploitation.
Anthropic indique que le modèle a progressé au point de saturer la plupart des benchmarks de sécurité existants, ce qui l’a poussée à se concentrer sur des tâches plus proches du terrain, notamment la recherche de vulnérabilités zero-day - des failles inconnues des éditeurs au moment de la découverte.
Deux exemples donnés illustrent le niveau atteint:
- une faille vieille de 27 ans dans OpenBSD, un système réputé pour sa posture de sécurité
- l’identification et l’exploitation de manière entièrement autonome d’une vulnérabilité d’exécution de code à distance dans FreeBSD (CVE-2026-4747), permettant à un utilisateur non authentifié de prendre le contrôle complet d’un serveur NFS
Anthropic précise qu’aucun humain n’est intervenu dans la découverte ou l’exploitation après l’invite initiale demandant de trouver le bug. Nicholas Carlini, membre de l’équipe de recherche, souligne aussi la capacité du modèle à enchaîner plusieurs vulnérabilités pour obtenir un résultat sophistiqué, en combinant parfois trois, quatre ou cinq failles.
Pourquoi Anthropic refuse une sortie publique
Anthropic affirme ne pas prévoir de rendre Claude Mythos Preview disponible au grand public, précisément à cause de ses capacités en cybersécurité. Newton Cheng, Frontier Red Team Cyber Lead, met en avant un risque de prolifération rapide: à mesure que l’IA progresse, ces compétences pourraient se diffuser au-delà d’acteurs engagés dans un déploiement sûr. Les impacts potentiels évoqués sont lourds: économies, sécurité publique, sécurité nationale.
L’entreprise insiste sur le fait que ce risque n’est pas théorique. Elle rappelle avoir déjà communiqué sur ce qu’elle présente comme le premier cas documenté d’une cyberattaque largement exécutée par IA: un groupe soutenu par un Etat chinois aurait utilisé des agents IA pour infiltrer environ 30 cibles mondiales, l’IA prenant en charge la majorité des opérations tactiques de façon autonome.
Anthropic indique également avoir briefé, en privé, des responsables seniors du gouvernement américain sur l’étendue des capacités de Mythos Preview. La communauté du renseignement évaluerait activement comment un tel modèle pourrait transformer les opérations de hacking défensives et offensives.
Pour un éclairage sur les questions soulevées côté opérations cyber, un article de Nextgov est cité dans l’actualité: https://www.nextgov.com/cybersecurity/2026/04/anthropics-glasswing-initiative-raises-questions-us-cyber-operations/412721/
Le défi open source: sécuriser ce que tout le monde utilise
Un angle central de Project Glasswing concerne l’open source. La Linux Foundation, via son CEO Jim Zemlin, rappelle un déséquilibre structurel: la sécurité a longtemps été un luxe réservé aux grandes organisations dotées d’équipes dédiées, tandis que de nombreux mainteneurs open source - dont le code soutient une part importante des infrastructures critiques - ont dû se débrouiller avec des moyens limités.
Anthropic annonce des dons destinés à renforcer cette chaîne de sécurité:
- 2,5 millions de dollars à Alpha-Omega et OpenSSF via la Linux Foundation
- 1,5 million de dollars à l’Apache Software Foundation
L’objectif affiché est de donner aux mainteneurs de codebases critiques un accès à l’analyse de vulnérabilités à grande échelle, auparavant difficilement accessible.
Et après: vers un standard de déploiement contrôlé
Anthropic dit viser, à terme, un déploiement à grande échelle de modèles de classe Mythos, mais seulement une fois de nouveaux garde-fous en place. La stratégie annoncée consiste à lancer d’abord ces protections avec un futur modèle Claude Opus, afin de les affiner sur un système jugé moins risqué que Mythos Preview.
Le contexte concurrentiel évolue déjà. OpenAI a, de son côté, qualifié GPT-5.3-Codex (sorti en février) de premier modèle classé comme hautement capable pour des tâches de cybersécurité selon son Preparedness Framework. Le message implicite est clair: pour les modèles de frontière qui atteignent ce niveau, la norme pourrait devenir le déploiement contrôlé plutôt que la diffusion ouverte.
La question reste entière: ce standard tiendra-t-il lorsque ces capacités se généraliseront? Project Glasswing apporte une réponse pragmatique à court terme - concentrer la puissance là où elle peut renforcer la défense - mais ne peut, à lui seul, résoudre le problème de fond de la prolifération.
Conclusion
Avec Claude Mythos Preview, Anthropic met en avant une ligne de conduite de plus en plus visible dans l’IA avancée: limiter l’accès quand le potentiel d’abus dépasse les bénéfices d’une sortie publique. Project Glasswing vise à transformer une capacité offensive potentielle en levier défensif, en la confiant à des acteurs clés et en soutenant l’écosystème open source. Reste à savoir si cette approche de contrôle et de garde-fous pourra suivre le rythme d’une diffusion inévitable des compétences cyber des modèles de nouvelle génération.