Anthropic vient de publier une première mise à jour de Project Glasswing, son initiative cybersécurité lancée avec une cinquantaine de partenaires. En un mois, le programme a identifié plus de 10 000 vulnérabilités critiques ou hautes dans les logiciels open-source. Les chiffres redéfinissent ce qu’un audit IA peut produire à grande échelle.
Pour résumer
- Plus de 10 000 vulnérabilités critiques ou hautes découvertes en un mois sur 1 000 projets open-source
- Cloudflare a trouvé 2 000 bugs (400 critiques/hautes) avec un taux de faux positifs inférieur aux humains
- Sur 530 bugs signalés aux mainteneurs, seulement 75 ont été corrigés et 65 ont reçu un avis public
Les chiffres : ce que Glasswing a produit en trente jours
Project Glasswing réunit environ 50 partenaires autour d’un objectif précis : identifier des vulnérabilités dans les logiciels critiques avant que des modèles IA ne puissent les exploiter. En un mois, le programme a produit 6 202 vulnérabilités de niveau critique ou haute dans plus de 1 000 projets open-source. Au total, en comptant les résultats de l’ensemble des partenaires, ce sont plus de 10 000 vulnérabilités critiques ou hautes qui ont été découvertes.
La fiabilité de ces résultats a été vérifiée : parmi les 1 752 vulnérabilités soumises à évaluation par des entreprises de sécurité, 90,6% ont été confirmées comme valides. Ce taux de précision place les outils IA de Glasswing au-dessus de nombreux processus d’audit humain classiques. Certains partenaires ont signalé une multiplication par dix de leur cadence de détection de bugs.
Les résultats de Cloudflare illustrent bien l’ampleur de ce qui est possible. L’entreprise a découvert 2 000 bugs, dont 400 de niveau critique ou haute, avec un taux de faux positifs inférieur à celui de ses testeurs humains. Mozilla, de son côté, a identifié 271 vulnérabilités dans Firefox 150, un résultat nettement supérieur à ce qu’avait produit la version précédente de Claude sur Firefox 148.
Ces performances arrivent à un moment où Anthropic vient de franchir un seuil financier historique, avec un premier trimestre rentable. Project Glasswing s’inscrit dans cette dynamique : l’initiative transforme des capacités techniques en argument commercial concret auprès des entreprises qui gèrent des infrastructures logicielles critiques.
Mythos Preview et Claude Security : les outils au coeur du programme
L’UK AI Security Institute a validé indépendamment les performances du modèle Mythos Preview utilisé dans le programme. Selon l’institut, Mythos Preview est le premier modèle à avoir résolu leurs simulations cyber end-to-end. Sur les benchmarks académiques ExploitBench et ExploitGym, Mythos Preview est classé meilleure performance dans sa catégorie.
En parallèle de la recherche de vulnérabilités, Anthropic a lancé Claude Security en bêta publique pour ses clients Enterprise. En trois semaines, plus de 2 100 vulnérabilités ont été corrigées via cet outil. La suite inclut des fonctionnalités de scanning, des constructeurs de modèles de menace et des instructions personnalisables pour les équipes de sécurité.
Ces outils s’appuient sur des années de recherche en sécurité IA. L’arrivée récente de chercheurs de haut niveau chez Anthropic renforce la crédibilité de cette trajectoire : l’entreprise construit simultanément les modèles les plus capables et les mécanismes pour en limiter les risques d’exploitation.
La publication de cette mise à jour suit les pratiques de divulgation coordonnée : certains détails techniques ont été volontairement omis jusqu’à ce que les correctifs soient largement déployés. Cette prudence est cohérente avec la nature même du programme, qui opère dans un environnement où la fenêtre entre découverte et exploitation peut être très courte.
À voir également sur Horizon :
- NTSB : l’IA reconstitue la voix de pilotes morts
- Meta licencie 8 000 salariés pour financer l’IA
- OpenAI IPO : Sam Altman vise septembre 2026
530 bugs signalés, 75 patchés : le problème de la divulgation
L’aspect le plus révélateur de cette mise à jour est peut-être le moins spectaculaire. Sur 530 vulnérabilités critiques ou hautes signalées aux mainteneurs des projets open-source concernés, seulement 75 ont été corrigées et 65 ont reçu un avis public. Ce chiffre expose un goulot d’étranglement structurel dans la chaîne de correction des failles logicielles.
Le problème n’est pas la détection : Project Glasswing a montré qu’elle peut être industrialisée. Le problème est en aval. Les mainteneurs de projets open-source sont souvent des bénévoles ou des équipes réduites, sans les ressources pour absorber un flux de signalements aussi dense. L’IA peut trouver des milliers de failles ; elle ne peut pas forcer leur correction.
À court terme, ces 455 vulnérabilités critiques ou hautes non corrigées restent exploitables. Pour les organisations qui dépendent de ces projets open-source, c’est une fenêtre de risque ouverte. La question de priorisation de ces correctifs va s’imposer aux équipes de sécurité dans les semaines à venir.
À moyen terme, Project Glasswing soulève une question de gouvernance plus large. Si l’IA peut produire des milliers de rapports de vulnérabilités, qui finance la correction ? Anthropic, avec ses partenaires industriels et ses 50 organisations participantes, a démontré la capacité de détection. La prochaine étape critique sera de construire des modèles économiques permettant de financer aussi le cycle complet de correction.
Affaire à suivre sur Horizon.
