Anthropic vient d'annoncer Project Glasswing et de dévoiler Claude Mythos Preview, un modèle frontier non commercialisé capable de découvrir et d'exploiter des failles de sécurité de manière entièrement autonome. En quelques semaines de tests, le modèle a identifié des milliers de vulnérabilités critiques dans chaque grand système d'exploitation et chaque navigateur web majeur — dont certaines dormaient depuis vingt-sept ans.
Une rupture de niveau, pas une évolution progressive
Depuis deux ans, les modèles de langage progressaient régulièrement dans leur capacité à lire et à raisonner sur du code. Mais la publication des résultats de Mythos Preview marque un seuil qualitatif : là où Claude Opus 4.6 ne parvenait à produire un exploit fonctionnel que deux fois sur plusieurs centaines de tentatives, Mythos Preview y arrive cent quatre-vingt-une fois. Ce n'est plus une amélioration marginale, c'est un changement de nature.
Ce qui rend ce basculement particulièrement significatif, c'est qu'il n'a pas été programmé. Ces capacités offensives ont émergé comme une conséquence indirecte des progrès généraux du modèle en raisonnement et en codage. Les prochains modèles hériteront naturellement de capacités comparables.
Des failles vieilles de vingt ans découvertes en une nuit
Les exemples donnent le vertige. Mythos Preview a identifié un bug de vingt-sept ans dans OpenBSD qui permettait à un attaquant distant de planter n'importe quelle machine connectée. Il a également trouvé une faille de seize ans dans FFmpeg, la bibliothèque qui traite la vidéo de YouTube à Netflix, dans une ligne de code que les outils automatisés avaient exécutée cinq millions de fois sans jamais la détecter.
Plus frappant : des ingénieurs d'Anthropic sans formation en sécurité ont demandé au modèle de chercher des vulnérabilités et se sont réveillés le lendemain avec un exploit complet. La barrière à l'entrée pour mener des attaques sophistiquées vient de chuter radicalement.
La course défense-attaque bascule
Project Glasswing regroupe douze partenaires industriels majeurs qui utilisent le modèle pour scanner les logiciels critiques. Cent millions de dollars en crédits sont engagés. Mais l'histoire des technologies offensives est claire : les capacités qui existent aujourd'hui dans un laboratoire se retrouvent demain dans les mains d'acteurs malveillants. La fenêtre entre la découverte d'une vulnérabilité et son exploitation se compte désormais en heures.
Ce que les organisations doivent changer maintenant
Trois impératifs s'imposent. Le premier : accélérer drastiquement les cycles de correctifs. Chaque jour de délai devient une fenêtre d'exposition critique. Le deuxième : adopter dès aujourd'hui les modèles disponibles pour scanner ses propres systèmes avant que des tiers ne le fassent. Le troisième : repenser la gouvernance — les politiques de divulgation et les plans de réponse aux incidents ont été conçus pour un monde qui n'existe plus.
L'IA comme force structurelle de la sécurité
Sur le long terme, l'analogie avec les fuzzers est éclairante. Aujourd'hui, des projets comme OSS-Fuzz protègent des milliers de logiciels open source en continu. Les modèles de langage suivront la même trajectoire — mais la transition sera plus courte et plus brutale.
Ce qui se joue avec Project Glasswing, c'est une prise de conscience collective : la sécurité logicielle entre dans son ère industrielle, pilotée par des agents autonomes capables de travailler à une échelle et une vitesse hors de portée des équipes humaines. Les organisations qui s'y préparent maintenant définiront les nouvelles normes du secteur.
Sources : Anthropic – Project Glasswing (avril 2026), Anthropic Frontier Red Team Blog (avril 2026)