Tensoria
FR EN
Réserver un créneau
Parlons de votre projet : 07 82 80 51 40
Outils & Modèles Par

Project Glasswing : l'IA qui détecte des failles invisibles depuis 27 ans

Le 7 avril 2026, Anthropic a fait une annonce qui va marquer un tournant dans le monde de la cybersécurité. Leur nouveau modèle d'IA, Claude Mythos Preview, a découvert des milliers de failles de sécurité critiques dans les logiciels que nous utilisons tous les jours. Certaines de ces failles existaient depuis plus de 25 ans sans que personne ne les remarque.

Pour y répondre, Anthropic lance Project Glasswing : une coalition inédite avec Google, Microsoft, Apple, AWS, NVIDIA, Cisco et d'autres géants. L'objectif est simple mais ambitieux : utiliser l'IA pour protéger les logiciels critiques du monde entier, avant que ces mêmes capacités ne tombent entre de mauvaises mains.

Voici ce qu'il faut comprendre de cette annonce, expliqué simplement.

Ce qui s'est passé : l'essentiel en 2 minutes

Anthropic, l'entreprise derrière Claude (l'assistant IA que beaucoup d'entre vous connaissent), a développé un nouveau modèle baptisé Claude Mythos Preview. Ce modèle n'est pas un simple chatbot. C'est un expert en sécurité informatique capable de lire du code source, d'identifier des failles, et même de démontrer comment un attaquant pourrait les exploiter.

Le constat est saisissant : en quelques semaines de tests, Mythos Preview a trouvé des failles critiques dans tous les principaux systèmes d'exploitation (Windows, Linux, macOS, FreeBSD, OpenBSD) et dans tous les principaux navigateurs web (Chrome, Firefox, Safari, Edge). Des failles que des équipes entières de sécurité n'avaient pas détectées pendant des décennies.

Le chiffre clé

Le coût mondial de la cybercriminalité est estimé à environ 500 milliards de dollars par an. Beaucoup de ces attaques exploitent des failles connues mais pas encore corrigées. Avec l'IA, la fenêtre entre la découverte d'une faille et son exploitation se réduit à quelques minutes.

Project Glasswing : une coalition sans précédent

Face à ce constat, Anthropic n'a pas gardé ces capacités pour elle. L'entreprise a réuni une coalition de 12 partenaires fondateurs pour un projet commun : sécuriser les logiciels critiques avant que les attaquants n'aient accès à des outils similaires.

Schéma de la coalition Project Glasswing avec les partenaires autour d'un bouclier central

Les partenaires fondateurs :

  • Cloud et infrastructure : Amazon Web Services, Google, Microsoft
  • Cybersécurité : CrowdStrike, Palo Alto Networks, Cisco
  • Matériel et puces : Apple, NVIDIA, Broadcom
  • Finance : JPMorganChase
  • Open source : La Linux Foundation

En plus de ces 12 partenaires, plus de 40 organisations supplémentaires qui maintiennent des logiciels critiques ont également reçu un accès au modèle. Anthropic s'engage à hauteur de 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons directs aux organisations de sécurité open source.

Trois exemples concrets de failles découvertes

Pour bien comprendre ce dont on parle, voici trois failles que Claude Mythos Preview a trouvées de manière totalement autonome, sans qu'un humain n'intervienne après la consigne initiale.

1. Une faille de 27 ans dans OpenBSD

OpenBSD est un système d'exploitation réputé pour être l'un des plus sécurisés au monde. Les cinq premiers mots de sa page Wikipedia disent : "OpenBSD is a security-focused" (OpenBSD est centré sur la sécurité).

Malgré cette réputation, Mythos Preview a identifié une faille présente depuis 1998 dans le protocole TCP. En termes simples : n'importe qui pouvait faire planter à distance un serveur OpenBSD simplement en s'y connectant. La faille exploitait une subtilité dans la façon dont le système gère les confirmations de réception de paquets réseau. Il a fallu que deux bugs mineurs s'alignent d'une manière très spécifique pour créer une vulnérabilité exploitable.

Le coût pour trouver cette faille ? Moins de 50 dollars pour l'appel au modèle qui l'a découverte (au sein d'une campagne plus large d'environ 20 000 dollars couvrant un millier d'analyses).

2. Une faille de 16 ans dans FFmpeg

FFmpeg est le logiciel de traitement vidéo le plus utilisé au monde. Quasiment tous les services qui manipulent de la vidéo (YouTube, Netflix, VLC, et des milliers d'autres) s'appuient dessus. C'est l'un des projets les plus testés de la planète, avec des millions de tests automatisés exécutés en continu.

Mythos Preview a trouvé une faille dans le codec H.264 (le format vidéo le plus répandu) dans une ligne de code que les outils de test automatisés avaient exécutée 5 millions de fois sans jamais détecter le problème. La faille remonte à 2010, mais le bug sous-jacent date de 2003.

3. Un accès root total à distance sur FreeBSD

C'est probablement l'exemple le plus impressionnant. Mythos Preview a découvert et exploité de manière totalement autonome une faille vieille de 17 ans dans FreeBSD. Cette faille permet à un attaquant non authentifié, depuis n'importe où sur internet, d'obtenir un contrôle total sur le serveur. Le modèle a non seulement trouvé la faille, mais il a aussi écrit l'exploit complet, incluant une technique sophistiquée (une attaque ROP répartie sur 6 paquets réseau).

Ce qui change avec l'IA

Avant, trouver et exploiter ce type de faille demandait des semaines de travail par un expert très spécialisé. Mythos Preview l'a fait en quelques heures, pour moins de 1 000 dollars. C'est un changement d'échelle fondamental.

Des performances en cybersécurité largement au-dessus du précédent modèle

Sur le benchmark CyberGym, qui mesure la capacité à reproduire des vulnérabilités connues, Mythos Preview obtient 83,1 % contre 66,6 % pour Claude Opus 4.6. Sur SWE-bench Verified (correction de vrais bugs), il atteint 93,9 % contre 80,8 %. Ce n'est pas une amélioration incrémentale, c'est un saut générationnel.

Pour le détail complet des benchmarks (code, raisonnement, autonomie), consultez notre analyse dédiée des performances de Claude Mythos Preview.

Comment le modèle trouve les failles : le processus

Schéma du processus de détection de vulnérabilités par l'IA en 4 étapes

Le processus utilisé par Anthropic est étonnamment simple dans son principe :

  1. Lecture du code. Le modèle analyse le code source d'un logiciel, fichier par fichier. Il commence par les fichiers les plus susceptibles de contenir des failles (ceux qui traitent des données provenant de l'extérieur, par exemple).
  2. Hypothèse. Il formule des hypothèses sur les vulnérabilités potentielles, en se basant sur sa connaissance des types de failles connus.
  3. Test et vérification. Il exécute le logiciel, teste ses hypothèses, ajoute du code de débogage si nécessaire, et itère jusqu'à trouver (ou non) une faille réelle.
  4. Rapport. S'il trouve une faille, il produit un rapport détaillé avec les étapes de reproduction et, si demandé, un exploit fonctionnel pour démontrer la gravité.

Tout cela se fait dans un environnement isolé (un conteneur), déconnecté d'internet. Le modèle travaille seul après avoir reçu une consigne simple du type "trouve une vulnérabilité dans ce logiciel".

Pourquoi c'est un tournant pour la cybersécurité

Jusqu'à présent, trouver des failles de sécurité critiques dans des logiciels matures demandait un niveau d'expertise très élevé. Seuls quelques centaines d'experts dans le monde en étaient capables. L'IA change radicalement cette équation.

Le problème : l'IA profite aussi aux attaquants

Si Anthropic peut développer un modèle capable de trouver des failles, d'autres acteurs (moins bien intentionnés) finiront par développer des outils similaires. Le rythme de progression est tel que ce n'est qu'une question de mois, pas d'années.

C'est d'ailleurs la raison pour laquelle Anthropic a choisi de ne pas rendre Mythos Preview disponible au public. Le modèle est réservé aux partenaires de confiance pour un usage défensif uniquement.

L'opportunité : les défenseurs peuvent prendre de l'avance

La bonne nouvelle, c'est que les mêmes capacités qui rendent l'IA dangereuse la rendent aussi inestimable pour la défense. Un défenseur peut scanner systématiquement l'ensemble de son code, alors qu'un attaquant n'a besoin que d'une seule faille. À long terme, l'avantage devrait aller aux défenseurs, à condition qu'ils agissent maintenant.

L'analogie utile

C'est comparable à l'invention du scanner dans un aéroport. Un outil qui peut détecter des menaces peut aussi servir à les créer. Mais l'avantage va à celui qui l'utilise de manière systématique et proactive, c'est-à-dire le défenseur.

Ce que ça change pour les entreprises

Même si Project Glasswing concerne d'abord les grands éditeurs de logiciels, les implications touchent toutes les entreprises.

1. Les mises à jour de sécurité deviennent encore plus urgentes

Historiquement, quand une faille était rendue publique, les attaquants mettaient des jours ou des semaines à développer un exploit. Avec l'IA, ce délai tombe à quelques minutes. L'équipe d'Anthropic a montré que Mythos Preview pouvait prendre un identifiant CVE (la référence publique d'une faille) et produire un exploit fonctionnel de manière totalement automatique.

Conséquence directe : appliquer les mises à jour de sécurité dès qu'elles sont disponibles n'est plus une bonne pratique, c'est une nécessité absolue.

2. L'IA devient un outil de défense indispensable

Les modèles actuellement disponibles (comme Claude Opus 4.6 ou d'autres modèles de pointe) sont déjà capables de trouver des vulnérabilités sérieuses. Les entreprises qui n'utilisent pas encore l'IA dans leurs processus de sécurité prennent du retard.

Concrètement, l'IA peut déjà aider à :

  • Scanner le code à la recherche de vulnérabilités connues et inconnues
  • Trier et prioriser les rapports de bugs de sécurité
  • Proposer des correctifs pour les failles identifiées
  • Analyser les configurations cloud pour détecter des erreurs
  • Revoir les pull requests sous l'angle de la sécurité
  • Accélérer les migrations depuis des systèmes obsolètes

3. La dette technique devient un risque de sécurité majeur

Les vieux logiciels, le code hérité, les systèmes non maintenus : tout cela représente une surface d'attaque que l'IA rend beaucoup plus facile à exploiter. Les entreprises qui repoussent la modernisation de leurs systèmes prennent un risque croissant.

Ce qu'Anthropic promet pour la suite

Project Glasswing n'est qu'un début. Voici ce qui est prévu :

  • Dans les 90 jours : publication d'un rapport sur les vulnérabilités trouvées et corrigées, et les leçons apprises
  • Recommandations pour l'industrie : bonnes pratiques sur la divulgation de vulnérabilités, l'automatisation des correctifs, la sécurité des chaînes d'approvisionnement logicielles, et les normes pour les secteurs réglementés
  • Prochain modèle Claude Opus : intégration de nouvelles protections de sécurité pour pouvoir, à terme, mettre des capacités de ce niveau à disposition de manière sûre
  • Programme de vérification cyber : un programme dédié pour les professionnels de la sécurité qui ont besoin d'accéder à ces capacités avancées

Notre lecture chez Tensoria

Chez Tensoria, nous accompagnons des PME et ETI dans leur adoption de l'IA. Cette annonce est importante pour plusieurs raisons.

D'abord, elle confirme que l'IA n'est plus un gadget. Quand un modèle peut trouver des failles que les meilleurs experts humains ont ratées pendant 27 ans, on dépasse largement le stade de la démonstration technique.

Ensuite, elle rappelle que la sécurité est l'affaire de tous. Même si votre entreprise ne développe pas de logiciel, vous utilisez des logiciels. Chaque faille non corrigée dans un outil que vous utilisez au quotidien est une porte d'entrée potentielle.

Enfin, elle montre la vitesse à laquelle le paysage évolue. Il y a quelques mois à peine, les modèles IA étaient incapables de trouver des vulnérabilités non triviales. Aujourd'hui, ils surpassent les meilleurs humains. Cette accélération impose de ne pas attendre pour intégrer l'IA dans ses processus, y compris la sécurité.

Sécurité et IA

Vous voulez savoir comment l'IA peut renforcer la sécurité de vos systèmes ?

Échanger avec nous

Ce qu'il faut retenir

Project Glasswing est une initiative sans précédent. Pour la première fois, un développeur d'IA de pointe reconnaît publiquement que ses modèles ont atteint un niveau de capacité en cybersécurité qui change la donne, et choisit d'agir de manière proactive en formant une coalition de défense.

Les points clés à retenir :

  • L'IA peut désormais trouver des failles que les meilleurs experts humains ratent, et ce de manière autonome et à faible coût
  • Ces capacités vont inévitablement se diffuser : il faut que les défenseurs prennent de l'avance maintenant
  • Appliquer les mises à jour de sécurité immédiatement n'est plus optionnel
  • L'IA est déjà utilisable aujourd'hui pour renforcer la sécurité de votre code et de vos systèmes, même avec les modèles actuellement disponibles
  • La dette technique et les systèmes non maintenus deviennent des cibles de plus en plus faciles

Nous sommes au début d'une transformation profonde de la cybersécurité. La question n'est pas de savoir si l'IA va changer les règles du jeu, mais à quelle vitesse.

Pour aller plus loin

Articles liés

Outils & Modèles

Mistral, OpenAI ou Anthropic : quel modèle IA choisir en entreprise française

Mistral Large, GPT-5, Claude 4.7 : comparatif complet pour les PME et ETI françaises. Souveraineté, RGPD, coût au token et 4 personas métier pour décider en 2026. →

Lire l'article Outils & Modèles

Claude Mythos Preview : performances record et accès restreint

Claude Mythos Preview bat tous les records : 93,9 % sur SWE-bench, 94,6 % sur GPQA Diamond. Pourquoi Anthropic refuse de le rendre public. Analyse complète.

Lire l'article Outils & Modèles

Mistral Forge, ce que ça change concrètement pour les PME

Mistral Forge décrypté pour les PME : fonctionnement, coûts, limites et alternatives concrètes. Découvrez si cette plateforme est faite pour vous.

Lire l'article
Anas Rabhi, ingénieur IA et data scientist, fondateur de Tensoria
Anas Rabhi Ingénieur IA, fondateur de Tensoria ianas.fr

Je suis ingénieur IA et data scientist, fondateur de Tensoria. Depuis plus de 6 ans, j'accompagne les entreprises dans l'exploitation concrète de l'IA pour leur métier : assistants internes basés sur RAG, agents IA en production, automatisations sur mesure, traitement intelligent de documents. J'interviens du cadrage initial à la mise en production, sur stacks LLM modernes (Mistral, Claude, GPT) et infrastructures souveraines quand la confidentialité l'exige.

Discuter de votre projet Découvrir nos services