Anthropic said its restricted Claude Mythos Preview model a révélé plus de 10 000 vulnérabilités logicielles élevées ou critiques en un seul mois, un rythme que les équipes de correctifs ne peuvent pas suivre.
Le projet Glasswing révèle 10 000 failles
Ce chiffre provient d’un premier rapport d’étape sur le projet Glasswing, une initiative de cybersécurité lancée par Anthropic en avril pour renforcer les logiciels critiques avant que l’IA de pointe ne puisse être retournée contre eux. L’entreprise a deployed le modèle non publié auprès d’environ 50 partenaires de confiance.
La plupart des partenaires ont reported avoir trouvé des centaines de bugs sérieux dans leur propre code, plusieurs voyant leurs taux de détection multipliés par plus de dix.
Cloudflare a analysé ses systèmes critiques et a mis au jour environ 2 000 failles, dont 400 classées élevées ou critiques. Mozilla a fixed 271 vulnérabilités dans Firefox 150, soit plus de dix fois ce que la même équipe avait produit pour la version précédente en utilisant un modèle Claude antérieur.
Pour tester le modèle sur un champ plus vaste, Anthropic l’a dirigé vers plus de 1 000 dépôts open source, où il a signalé 23 019 problèmes, dont 6 202 estimés de gravité élevée ou critique.
À lire aussi : XRP Eyes $1.50 Breakout As Exchange Supply Tightens
Pourquoi les découvertes de Mythos inquiètent les chercheurs
Six sociétés de sécurité indépendantes ont examiné 1 752 de ces rapports de gravité élevée ou critique et ont validated 90,6 % d’entre eux comme authentiques, contredisant les sceptiques qui s’attendaient à une vague de faux positifs.
Une découverte s’est distinguée par sa portée. Mythos a identifié une faille de falsification de certificats dans la bibliothèque de cryptographie wolfSSL, enregistrée sous le code CVE-2026-5194, et a construit un exploit fonctionnel capable de générer de faux sites bancaires contre lesquels aucun navigateur ne warn.
Le goulot d’étranglement s’est désormais déplacé. La découverte n’est plus la partie la plus difficile. C’est la correction.
Un bug sérieux prend environ deux semaines à corriger en moyenne, et certains mainteneurs open source ont demandé à Anthropic de ralentir ses divulgations pour qu’ils puissent suivre. Anthropic a également averti qu’aucune entreprise, y compris la sienne, n’a mis en place de protections suffisamment fiables pour empêcher l’usage malveillant d’un modèle du niveau de Mythos.
Project Glasswing began in April avec Anthropic qui s’est engagé à fournir jusqu’à 100 millions de dollars en crédits de calcul pour le modèle et environ 4 millions de dollars pour le travail de sécurité open source, pariant que renforcer le code maintenant donnera un avantage aux défenseurs avant que des capacités similaires ne se répandent sans contrôle.
À lire ensuite : Bitcoin Rally Hits A Ceiling As Sellers Guard $77,050 Resistance