Anthropic Project Glasswing : Claude Mythos et cybersécurité

Un modèle IA si dangereux qu'Anthropic refuse de le diffuser

Le 7 avril 2026, Anthropic a fait quelque chose d'inédit dans l'industrie IA : restreindre volontairement l'accès à l'un de ses propres modèles frontier.

Claude Mythos Preview n'est pas disponible via l'API Claude standard. Pas de pricing page. Pas de "get started" en trois clics. Le modèle est enfermé dans un programme d'accès contrôlé nommé Project Glasswing.¹

Pourquoi ? Parce que Mythos est capable d'identifier — et d'exploiter — des vulnérabilités zero-day dans tous les grands systèmes d'exploitation et tous les grands navigateurs web.² En quelques semaines de tests internes, le modèle a découvert des milliers de failles critiques, dont certaines dormaient dans le code source depuis une à deux décennies.³

Un brouillon de blog post fuité le mois dernier résumait la situation sans détour : Mythos est "currently far ahead of any other AI model in cyber capabilities" et "presages an upcoming wave of models that can exploit vulnerabilities in ways that far outpace the efforts of defenders".²

Anthropic a prévenu des responsables gouvernementaux que Mythos rend les cyberattaques à grande échelle "significantly more likely" cette année.² La décision de ne pas le publier en accès libre n'est pas un effet d'annonce. C'est une mesure de précaution calibrée.

Anthropic Project Glasswing : pourquoi le nom compte

Les recherches sur Anthropic Project Glasswing, Project Glasswing Anthropic ou Claude Mythos Preview renvoient au même enjeu : comment utiliser une IA très avancée pour défendre des logiciels critiques sans créer un outil d’attaque généralisé.

La réponse d’Anthropic est l’accès contrôlé. Project Glasswing n’est donc pas une simple annonce produit. C’est un modèle de gouvernance pour une capacité dual-use : utile pour trouver et corriger des failles, dangereuse si elle est diffusée sans supervision.

Project Glasswing : comment fonctionne l'accès contrôlé

Glasswing n'est pas un lancement produit. C'est un consortium défensif.

Le principe : donner accès à Mythos Preview à des organisations capables de l'utiliser pour sécuriser des infrastructures critiques — pas pour les attaquer. Chaque partenaire peut scanner ses propres systèmes, corriger les failles identifiées, et partager ses apprentissages avec le reste de l'industrie.¹

L'engagement financier d'Anthropic est concret : jusqu'à 100 millions de dollars en crédits d'utilisation de Claude Mythos Preview, plus 4 millions de dollars en dons directs aux organisations de sécurité open source.³

Au-delà des 12 partenaires fondateurs, environ 40 organisations supplémentaires responsables de logiciels critiques ont reçu un accès au modèle.¹ Le périmètre total : une cinquantaine d'acteurs qui, ensemble, couvrent l'essentiel de l'infrastructure numérique mondiale.

Un consortium qui couvre toute la chaîne numérique

La liste des 12 partenaires fondateurs de Glasswing n'est pas anodine :¹

• Cloud : Amazon Web Services, Google, Microsoft
• Hardware : Nvidia, Broadcom
• Endpoints : Apple
• Réseau et sécurité : Cisco, CrowdStrike, Palo Alto Networks
• Finance : JPMorgan Chase
• Open source : Linux Foundation

Chaque maillon de la chaîne est couvert. Du silicium (Nvidia, Broadcom) aux applications (Apple), en passant par le cloud (AWS, Google, Microsoft), la détection (CrowdStrike, Palo Alto Networks), les réseaux (Cisco), la finance (JPMorgan Chase) et les fondations du logiciel libre (Linux Foundation).

Ce que Glasswing change pour la cybersécurité

Le cycle de disclosure traditionnel fonctionne ainsi : un chercheur trouve une faille, la signale au vendor, attend un patch (souvent plusieurs mois), puis publie les détails. Ce processus laisse une fenêtre d'exposition de plusieurs semaines, parfois plusieurs mois.

Mythos comprime ce cycle. Le modèle scanne des codebases entières de manière autonome, identifie les vulnérabilités, et peut proposer des correctifs — le tout en quelques heures, là où une équipe humaine mettrait des semaines.¹

L'angle open source est stratégique. Les projets open source manquent chroniquement de ressources pour l'audit de sécurité. Le partenariat avec la Linux Foundation et les 4 M$ de dons signalent qu'Anthropic veut que Mythos bénéficie aussi aux logiciels dont dépendent tous les autres : le noyau Linux, OpenSSL, les bibliothèques fondamentales.⁴

Le débat dual-use est légitime. Si un modèle peut trouver des failles, il peut aussi les exploiter. C'est précisément pour cela qu'Anthropic a choisi l'accès restreint plutôt que la publication ouverte. Le risque d'un Mythos en libre accès — un outil d'attaque automatisé à la portée de n'importe qui — dépasse les bénéfices d'une diffusion large.

Ce que ça signifie pour les entreprises qui déploient des agents IA

Quand Anthropic investit 100 M$ pour sécuriser la supply chain logicielle, ça envoie un message clair : la sécurité IA n'est plus un sujet technique réservé aux RSSI. C'est un enjeu de direction générale.

Les entreprises qui déploient des agents IA en production — chatbots, callbots, automatisation back-office — tournent sur la même infrastructure que Glasswing cherche à durcir. Vos agents utilisent des OS, des navigateurs, des API, des bibliothèques open source. Chaque faille corrigée par Mythos réduit votre surface d'attaque.

Mais Glasswing ne protège que la couche infrastructure. La couche applicative — comment vos agents gèrent les données, appellent des outils, interagissent avec les utilisateurs — reste votre responsabilité. Sécuriser vos agents IA contre les prompt injection, l'exfiltration de données et les abus d'outils est un chantier distinct, et complémentaire.

Le parallèle est simple : Glasswing verrouille les fondations. Vous sécurisez les murs.

Ce qu'il faut retenir

Ce que ça change pour votre entreprise

Si vous déployez des agents IA dans un secteur régulé — assurance, banque, santé — Glasswing est un signal de validation. Les vendors dont vous dépendez investissent massivement dans la sécurité de la couche basse. C'est une bonne nouvelle.

Mais la couche basse ne suffit pas. Votre responsabilité commence là où Glasswing s'arrête : la sécurité applicative de vos agents. Comment ils accèdent aux données. Quels outils ils peuvent appeler. Comment ils réagissent à une tentative de prompt injection.

Glasswing verrouille les fondations. Vos agents IA ont besoin d'une architecture de sécurité dédiée.

Le frein n'est plus la technologie. C'est la vitesse d'exécution.

Questions frequentes

Qu'est-ce que Project Glasswing d'Anthropic ?+

Project Glasswing est un programme d'accès contrôlé lancé le 7 avril 2026 par Anthropic. Il permet à 12 partenaires fondateurs (AWS, Apple, Google, Microsoft, Nvidia, Broadcom, Cisco, CrowdStrike, Palo Alto Networks, JPMorgan Chase, Linux Foundation) et environ 40 organisations supplémentaires d'utiliser Claude Mythos Preview pour scanner et corriger des vulnérabilités dans leurs systèmes. Anthropic y consacre jusqu'à 100 M$ en crédits et 4 M$ en dons open source.

Qu'est-ce que Claude Mythos Preview ?+

Claude Mythos Preview est un modèle d'IA frontier développé par Anthropic, spécialisé en cybersécurité. Il est capable d'identifier et d'exploiter des vulnérabilités zero-day dans tous les grands systèmes d'exploitation et navigateurs web. En quelques semaines, il a découvert des milliers de failles critiques, dont certaines dataient de 10 à 20 ans. Le modèle n'est pas accessible publiquement — uniquement via le programme Glasswing.

Les entreprises françaises peuvent-elles accéder à Claude Mythos Preview ?+

Pas directement en avril 2026. L'accès est limité aux partenaires du programme Glasswing et à environ 40 organisations responsables de logiciels critiques. Les bénéfices sont toutefois indirects : les vulnérabilités corrigées dans les OS, navigateurs et bibliothèques open source protègent toutes les entreprises qui utilisent ces logiciels — y compris françaises.

Glasswing signifie-t-il que l'IA remplace les experts en cybersécurité ?+

Non. Claude Mythos Preview accélère la détection de vulnérabilités, une tâche chronophage et hautement spécialisée. L'évaluation de la criticité, la décision de patch et le déploiement restent entre les mains d'experts humains. Le programme Glasswing impose d'ailleurs un accès contrôlé et une supervision par les partenaires — la boucle humaine est structurelle, pas optionnelle.

Quel est le lien entre Glasswing et la sécurité des agents IA ?+

Glasswing sécurise l'infrastructure logicielle (OS, navigateurs, bibliothèques) sur laquelle tournent les agents IA. C'est une couche complémentaire à la sécurité applicative des agents eux-mêmes : prompt injection, exfiltration de données, abus d'outils, fuite de secrets. Les deux couches sont nécessaires pour un déploiement sûr en entreprise.

Sources et references

1. [1]
2. [2]
3. [3]
4. [4]