Anthropic détaille un premier mois de Project Glasswing qui bouscule déjà les pipelines sécurité: avec une cinquantaine de partenaires, plus de 10 000 vulnérabilités de sévérité High et Critical ont été mises au jour dans des logiciels clés. Le goulot d’étranglement se déplace nettement de la détection vers la validation, la divulgation et le correctif, selon l’éditeur.
Mythos Preview accélère la chasse aux failles
Les retours terrain indiquent des gains d’un ordre de grandeur pour certains équipes avec le modèle Claude Mythos Preview. Cloudflare évoque 2 000 vulnérabilités découvertes dans des systèmes critiques, dont 400 classées High/Critical, avec un taux de faux positifs inférieur à celui des tests manuels. Mozilla fait état de 271 vulnérabilités corrigées dans Firefox 150, soit dix fois plus qu’avec les campagnes menées sur Firefox 148 avec Claude Opus 4.6.
Les évaluations externes confirment la montée en puissance. L’AI Security Institute britannique qualifie Mythos Preview de premier modèle à compromettre de bout en bout deux cyber-gammes de type red team/blue team. XBOW, plateforme indépendante, lui attribue une précision très élevée et des performances nettement supérieures aux modèles existants sur les benchmarks d’exploitation web.
Campagne open source massive, tri et friction sur les correctifs
Anthropic indique avoir scanné plus de 1 000 projets open source ces derniers mois, totalisant 23 019 vulnérabilités sur l’ensemble des niveaux de sévérité, dont 6 202 estimées High/Critical par le modèle. À ce stade, 1 752 de ces failles sévères ont été revues manuellement, avec 1 587 confirmées (taux de véracité 90,6 %), et 1 094 maintenues au rang High/Critical (62,4 % des confirmées).
Au-delà du volume brut de découvertes, l’enjeu devient aussi la façon dont ces rapports se transforment en arbitrages métiers, notamment quand les failles touchent des environnements sensibles. C’est précisément ce type de bascule qu’illustre la manière dont Anthropic prépare un briefing de Mythos pour des instances financières appelées à gérer des vulnérabilités critiques.
En extrapolant ce taux après revue, l’opération pourrait aboutir à près de 3 900 vulnérabilités High/Critical open source confirmées, même sans nouvelles découvertes. Le verrou se situe désormais sur la remédiation: le délai moyen entre détection et livraison d’un patch pour les failles sévères est d’environ deux semaines, et certains mainteneurs demandent de ralentir le rythme de divulgation, leur capacité d’absorption des rapports générés par IA étant à la limite.
La dynamique est claire: l’IA repousse le plafond de verre de la découverte, mais révèle une dette opérationnelle côté coordination, tri et patch management. Les équipes sécurité vont devoir industrialiser la qualification et l’orchestration des correctifs, sous peine de déplacer le risque plutôt que de le réduire.
Cette montée en puissance ne concerne pas seulement la sécurité pure, mais aussi les usages de développement assisté où les agents doivent produire vite sans faire exploser la dette technique. Dans cette logique, le repositionnement d’Anthropic autour d’un Claude Opus orienté codage agentique et consommation de tokens plus élevée éclaire bien le compromis entre efficacité, coût et fiabilité.
Source : ITHome
