Tu veux les meilleurs outils IA avant les autres ?
On teste et on décrypte les nouveaux outils IA chaque soir, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Le Projet Glasswing d'Anthropic
Anthropic a récemment pris une décision inhabituelle en choisissant de ne pas rendre public son dernier modèle d'intelligence artificielle, Claude Mythos. Ce modèle, bien qu'achevé, n'est accessible qu'à un groupe restreint de partenaires de prévisualisation dans le cadre de leur initiative appelée Projet Glasswing. Cette approche prudente est motivée par les capacités avancées de Claude Mythos en matière de cybersécurité, qui nécessitent une période d'adaptation pour l'industrie logicielle dans son ensemble.
Claude Mythos est un modèle à usage général, similaire à son prédécesseur Claude Opus 4.6, mais il se distingue par ses capacités exceptionnelles dans le domaine de la recherche en cybersécurité. Anthropic a jugé que ces capacités étaient suffisamment puissantes pour justifier un délai avant une diffusion plus large. En effet, le modèle a déjà détecté des milliers de vulnérabilités de haute gravité, y compris dans tous les principaux systèmes d'exploitation et navigateurs web. Avec le rythme rapide des progrès de l'IA, il est probable que de telles capacités se répandent rapidement, potentiellement au-delà des acteurs engagés à les utiliser de manière responsable.
Accès réservé aux partenaires du Projet Glasswing
Les partenaires impliqués dans le Projet Glasswing ont accès à Claude Mythos Preview pour identifier et corriger les vulnérabilités dans leurs systèmes fondamentaux. Ces systèmes représentent une part significative de la surface d'attaque mondiale partagée. Le travail des partenaires se concentre sur des tâches telles que la détection de vulnérabilités locales, les tests en boîte noire de binaires, la sécurisation des points de terminaison et les tests de pénétration des systèmes.
Pour plus de détails techniques, l'article intitulé Évaluation des capacités de cybersécurité de Claude Mythos Preview sur le blog de l'équipe rouge d'Anthropic fournit des informations approfondies. Par exemple, dans un cas, Mythos Preview a réussi à écrire un exploit de navigateur web en enchaînant quatre vulnérabilités, créant un complexe JIT heap spray qui a échappé aux environnements de rendu et aux sandboxes du système d'exploitation. De plus, il a obtenu de manière autonome des exploits d'escalade de privilèges locaux sur Linux et d'autres systèmes d'exploitation en exploitant des conditions de course subtiles et des contournements de KASLR. Il a également développé un exploit d'exécution de code à distance sur le serveur NFS de FreeBSD, permettant un accès root complet à des utilisateurs non authentifiés en divisant une chaîne ROP de 20 gadgets sur plusieurs paquets.
Comparaison avec Claude 4.6 Opus
Les évaluations internes ont montré que Opus 4.6 avait généralement un taux de réussite proche de 0% en matière de développement autonome d'exploits. En revanche, Mythos Preview appartient à une catégorie différente. Par exemple, Opus 4.6 a transformé les vulnérabilités qu'il avait trouvées dans le moteur JavaScript de Mozilla Firefox 147 — toutes corrigées dans Firefox 148 — en exploits JavaScript seulement deux fois sur plusieurs centaines de tentatives. Lors de tests comparatifs, Mythos Preview a développé des exploits fonctionnels 181 fois, et a obtenu le contrôle des registres 29 fois de plus.
Réactions de la communauté
La communauté de la sécurité a réagi à ces développements. Il y a quelques jours, un nouveau tag ai-security-research a été créé sur le blog pour reconnaître une augmentation des professionnels de la sécurité crédibles tirant la sonnette d'alarme sur la qualité des recherches en vulnérabilités réalisées par les modèles de langage modernes.
Greg Kroah-Hartman, du noyau Linux, a noté que, par le passé, les rapports de sécurité générés par l'IA étaient souvent erronés ou de faible qualité, ce qu'il qualifiait de « AI slop ». Cependant, il a observé un changement radical il y a environ un mois, avec l'arrivée de rapports de sécurité crédibles et de haute qualité générés par l'IA.
De son côté, Daniel Stenberg de curl a décrit le défi posé par l'IA dans la sécurité open source comme étant passé d'un tsunami de « AI slop » à un tsunami de rapports de sécurité. Bien que le nombre de rapports ait augmenté, beaucoup d'entre eux sont désormais de grande qualité, nécessitant des heures d'analyse chaque jour.
Conclusion et implications financières
Le Projet Glasswing intègre également un soutien financier significatif, avec 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons directs à des organisations de sécurité open source. Les partenaires incluent des entreprises majeures telles que AWS, Apple, Microsoft, Google et la Linux Foundation. Il est notable que OpenAI ne soit pas encore impliqué, bien que GPT-5.4 ait déjà une réputation solide pour la détection de vulnérabilités de sécurité.
Pour ceux qui ne font pas partie des partenaires de confiance, la mauvaise nouvelle est que Claude Mythos Preview ne sera pas disponible au grand public dans un avenir proche. Anthropic vise à permettre l'utilisation sécurisée de modèles de type Mythos à grande échelle, mais cela nécessitera le développement de mesures de sécurité robustes pour détecter et bloquer les sorties les plus dangereuses du modèle. Ces mesures seront d'abord testées avec un modèle moins risqué, Claude Opus, avant d'être appliquées à des modèles plus puissants comme Mythos.
En conclusion, bien que la prudence d'Anthropic puisse sembler excessive, elle est justifiée par les risques de sécurité crédibles associés à ces avancées technologiques. Le temps supplémentaire accordé aux équipes de confiance pour anticiper ces risques est un compromis raisonnable.


