Un mois après le lancement du Projet Glasswing, Anthropic publie ses premiers chiffres. Bilan : 10 000 vulnérabilités de haute ou critique sévérité détectées. Un résultat qui expose le potentiel de l'IA pour la cybersécurité, mais aussi les limites d'un écosystème débordé pour absorber un tel afflux de découvertes.
Un mois après le lancement de son Projet Glasswing, visant à mettre à disposition son modèle Mythos Preview à un panel d'organisations triées sur le volet, Anthropic dresse un premier bilan. Au total, elle et ses 50 partenaires, parmi les plus grandes entreprises technologiques du monde, ont trouvé quelque 10 000 vulnérabilités critiques, épaulés par le modèle.
Des logiciels corrigés et déployés plus rapidement
Cloudflare a par exemple détecté 2 000 bugs, dont 400 de haute criticité, avec un taux de faux positifs meilleur que celui des testeurs humains. Globalement, le rythme de détection de bugs par les partenaires d'Anthropic a été multiplié par dix grâce à Mythos Preview. Anthropic dit constater que les logiciels corrigés sont déployés plus rapidement. Le géant de la cybersécurité Palo Alto Networks a par exemple déployé une version de sa plateforme comportant cinq fois plus de correctifs qu'à l'accoutumée. La tendance est la même chez d'autres entreprises comme Microsoft ou encore Oracle.
À ces résultats s'ajoutent ceux des testeurs externes et d'autres évaluations qui confirment l'efficacité du modèle pour détecter et corriger des failles. Mozilla a par exemple trouvé et corrigé 271 vulnérabilités dans Firefox 150 lors des tests de Mythos Preview — plus de dix fois plus que dans Firefox 148 avec Claude Opus 4.6. L'AI Security Institute britannique a déclaré que Mythos Preview est le premier modèle à avoir résolu intégralement ses deux simulations de cyberattaques en plusieurs étapes.
Au-delà des seules vulnérabilités logicielles, Mythos Preview a également été en mesure de détecter et prévenir un virement frauduleux d'1,5 million de dollars, suite à une compromission de compte mail et une série d'appels téléphoniques usurpés.
Une méthode pour limiter le risque de faux positifs
Sur le volet open source, Anthropic, qui analyse plus de 1 000 projets avec Mythos Preview, a identifié 6 202 vulnérabilités de haute ou critique sévérité sur 23 019. « 1 752 de ces vulnérabilités à haute ou critique sévérité ont été soigneusement évaluées [par un cabinet indépendant de recherche en sécurité, ndlr]. Parmi celles-ci, 90,6 % (1 587) se sont avérées être de vrais positifs valides, et 62,4 % (1 094) ont été confirmées comme étant de haute ou critique sévérité », développe l'entreprise.
Anthropic a également élaboré un tableau de bord des vulnérabilités et un processus de triage afin de réduire les efforts nécessaires pour vérifier et corriger les vulnérabilités détectées. « Nous reproduisons d'abord le problème identifié par Mythos et réévaluons sa sévérité, en faisant appel à nous-mêmes ou à l'un des cabinets de sécurité externes avec lesquels nous travaillons », explique l'entreprise. Une fois cela fait, une recherche est effectuée afin de déterminer s'il existe déjà des correctifs, suivie de la rédaction d'un rapport détaillé à l'intention des mainteneurs du logiciel open source.
Surcharge pour un écosystème déjà en tension
Conclusion, Mythos semble très efficace. Au point que certains de ces mainteneurs, submergés, ont demandé à Anthropic de limiter le rythme de divulgation afin d'avoir le temps de concevoir les correctifs. « La relative facilité à trouver des vulnérabilités, comparée à la difficulté de les corriger, constitue un défi majeur pour la cybersécurité. Relever ce défi avec succès rendra nos logiciels bien plus sûrs qu'ils ne le sont aujourd'hui », prévient l'entreprise. De son analyse, d'autres modèles aux capacités semblables à Mythos Preview seront publiés à l'avenir. Dès lors, il y a urgence à renforcer la gestion du volume de découvertes de vulnérabilités qu’induirait par ces modèles, afin de réduire la fenêtre d'exploitation des failles entre leur découverte et leur correction — une période intermédiaire qui s'annonce délicate. Intermédiaire car ce type de modèle devrait théoriquement permettre aux développeurs de détecter des bugs avant le déploiement de leurs logiciels, réduisant ainsi le nombre de failles.
Pour l'heure, Anthropic estime qu'il est encore trop tôt pour mettre Mythos Preview en disponibilité générale, les mesures de sécurité étant encore insuffisantes pour empêcher une utilisation malveillante du modèle. L'entreprise prévoit plutôt d'étendre le Projet Glasswing à des gouvernements et entreprises partenaires afin d'augmenter la sécurité globale, tout en travaillant à développer les mesures de protection indispensables à toute mise à disposition grand public de Mythos.
