← AI War Room
Intelligence artificielle

Pendant que le monde perdait Mythos, 200 organisations continuaient à l'utiliser - c'est ça, Project Glasswing

Tech4B2B · · 4 min (mis à jour le )
Illustration : Pendant que le monde perdait Mythos, 200 organisations continuaient à l'utiliser - c'est ça, Project Glasswing
  • Sujet: Pendant que le monde perdait Mythos, 200 organisations continuaient à l'utiliser - c'est ça, Project Glasswing
  • Date:
Lancé le 7 avril 2026, Project Glasswing est le programme par lequel Anthropic a décidé de ne jamais rendre Mythos Preview disponible au grand public, mais de le déployer immédiatement auprès d'organisations sélectionnées pour des usages défensifs. Cisco, JPMorganChase, AWS, Apple, Google, Microsoft, CrowdStrike, NVIDIA, Palo Alto Networks, la Linux Foundation et Broadcom constituent le premier cercle. Deux mois plus tard, environ 200 organisations réparties dans 15 pays y ont accès. Quand l'administration Trump a ordonné la coupure de Fable 5 et Mythos 5 le 12 juin, Glasswing a continué à fonctionner pour ses partenaires — une asymétrie d'accès qui n'a pas été commentée dans les communiqués officiels mais qui a été confirmée par Bloomberg. Le modèle avait alors déjà identifié plus de 10 000 vulnérabilités critiques dans les logiciels open source les plus utilisés au monde, dont certaines dans chaque système d'exploitation majeur et chaque navigateur. Pour les RSSI européens qui découvrent l'existence de Glasswing en lisant les articles sur la coupure, la question pertinente n'est pas de savoir si le modèle est dangereux. C'est de comprendre pourquoi l'accès à la capacité défensive la plus avancée disponible est structuré comme un club sur invitation.

Le 7 avril 2026, Anthropic annonçait Project Glasswing avec un constat d'ouverture qui mérite d'être lu sans édulcoration : Claude Mythos Preview, un modèle alors non-rendu public, avait démontré une capacité à identifier des vulnérabilités logicielles au-delà de tous les humains sauf les plus qualifiés. La même capacité qui permettait de trouver des failles permettait, dans les mauvaises mains, de les exploiter. Plutôt que de retenir le modèle ou de le rendre disponible sans restriction, Anthropic avait choisi une troisième voie : le déployer immédiatement pour des usages défensifs, auprès d'organisations sélectionnées, avant que des acteurs offensifs développent des capacités équivalentes.

Le premier cercle de partenaires liste ce qui ressemble à l'infrastructure logicielle mondiale : Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Auxquels s'ajoutent plus de 40 organisations supplémentaires annoncées dès le lancement. En juin, le programme en comptait environ 200 dans 15 pays.

Ce que Mythos Preview a déjà trouvé

En deux mois d'opération, les chiffres publiés par Anthropic dans sa mise à jour de mai sont documentés avec une précision inhabituelle pour ce type de programme.

Plus de 1 000 projets open source scannés. 23 019 vulnérabilités potentielles identifiées, dont 6 202 estimées haute ou critique sévérité. Sur 1 752 findings haute ou critique indépendamment revus par six firmes de recherche en sécurité, plus de 90% ont été confirmés comme valides.

Cloudflare : 2 000 bugs identifiés dans ses systèmes critiques, dont 400 haute ou critique, avec un taux de faux positifs décrit comme meilleur que celui des testeurs humains. Mozilla : 271 vulnérabilités trouvées et corrigées dans Firefox 150, plus de dix fois le nombre trouvé dans une version précédente avec un modèle Anthropic antérieur.

Un exemple concret : Mythos Preview a détecté une vulnérabilité dans wolfSSL, une bibliothèque de cryptographie open source utilisée par des milliards d'appareils. Le modèle a construit un exploit permettant de forger des certificats — ce qui permettrait d'héberger un faux site bancaire paraissant parfaitement légitime à l'utilisateur. La vulnérabilité a été patché (CVE-2026-5194). Le rapport technique complet sera publié.

À une banque partenaire du programme, Mythos Preview a également permis de détecter et prévenir un virement frauduleux de 1,5 million de dollars après qu'un acteur malveillant avait compromis un compte email client et effectué de faux appels téléphoniques.

Ce qui s'est passé le 12 juin

Quand la directive de Lutnick est tombée et qu'Anthropic a désactivé Fable 5 et Mythos 5 pour l'ensemble des utilisateurs mondiaux, une exception non annoncée existait : Project Glasswing a continué à fonctionner. Cisco, JPMorganChase et d'autres partenaires nommés ont maintenu leur accès à Mythos Preview pendant la coupure globale, selon des sources proches du dossier citées par Bloomberg.

La logique est celle du régime d'accès différencié : Mythos Preview n'a jamais été le même modèle que Mythos 5, qui était la version intégrée dans Fable 5 pour le grand public. Mythos Preview, le modèle de Glasswing, a toujours été restreint, audité et déployé dans un cadre contractuel spécifique avec des organisations dont les usages ont été individuellement validés par Anthropic. La directive du Commerce Department visait les accès étrangers aux modèles commerciaux — Glasswing opère sous un régime de licences nominatives.

Ce n'est pas la distinction que les communiqués officiels d'Anthropic ont rendue lisible. Ni celle que la couverture médiatique principale a retenue. La coupure du 12 juin a été présentée comme globale et sans exception. Elle ne l'était pas entièrement.

Un autre déclencheur, moins médiatisé, aurait précipité la décision : la Maison Blanche aurait appris qu'une entreprise de télécommunications sud-coréenne avec des liens historiques avec la Chine avait obtenu l'accès à Mythos via la deuxième vague de Glasswing — environ 150 organisations supplémentaires, dont Samsung Electronics, SK Hynix et la Korea Internet & Security Agency. Cette vague avait été étendue à 15 pays début juin. La question du vetting des partenaires internationaux est celle que ni le communiqué d'Anthropic ni la directive de Lutnick n'ont formulée explicitement.

Le modèle de gouvernance Glasswing

Project Glasswing fonctionne sur une structure de consortium fermé avec trois niveaux opérationnels.

Les partenaires fondateurs — le premier cercle de douze organisations — ont accès à Mythos Preview depuis avril, avec un cadre contractuel qui inclut des engagements de divulgation responsable des vulnérabilités. Anthropic met à disposition les outils développés en interne : skills (instructions pour les tâches répétitives), un harness pour scanner des codebases, spinup des sous-agents et trier les findings, un threat model builder qui mappe une base de code pour identifier les cibles potentielles d'attaque. Cisco a open-sourcé son propre Foundry Security Spec pour permettre aux autres défenseurs de construire un système d'évaluation similaire.

Les 40 organisations supplémentaires initiales — puis les 150 du deuxième cercle — ont un accès au modèle pour scanner leurs propres systèmes et des logiciels open source. L'éligibilité porte sur la criticité des logiciels maintenus ou opérés, pas sur la taille ou la nationalité de l'organisation.

Anthropic engage 100 millions de dollars en crédits d'usage pour l'ensemble du programme, et 4 millions de dollars en dons directs à des organisations de sécurité open source dont l'Open Source Security Foundation. Dans les 90 jours suivant le lancement, Anthropic s'est engagé à publier un rapport sur ce que le programme a appris, les vulnérabilités corrigées et les améliorations apportées.

La question structurelle

Quand Katie Moussouris, CEO de Luta Security, a examiné le rapport de recherche d'Amazon qui a déclenché la directive du 12 juin, elle a conclu que la technique décrite — demander au modèle de "fixer ce code" plutôt que de le "revoir pour des problèmes de sécurité" — est précisément la boucle find-fix-test que les équipes de défense ont besoin d'effectuer. "Ce comportement ne peut pas être corrigé de façon signifiante, et toute tentative ne ferait qu'affaiblir le modèle pour la défense."

Anthropic a répondu que si le standard appliqué à Fable 5 — un modèle capable d'identifier des vulnérabilités connues dans du code — était appliqué de façon cohérente, il "stopperait essentiellement tous les nouveaux déploiements de modèles pour tous les fournisseurs de modèles frontières", y compris GPT-5.5 qui dispose des mêmes capacités.

La tension que Glasswing cristallise est réelle : les capacités qui rendent Mythos dangereux en offensive sont exactement les mêmes qui le rendent précieux en défensive. Le programme essaie de résoudre ce problème via la gouvernance — accès nominatif, audits, engagements contractuels — plutôt que via la restriction technique. C'est une approche qui peut fonctionner tant que les critères de vetting tiennent. L'épisode de la télécommunication coréenne suggère que les tenir à l'échelle de 200 organisations dans 15 pays est plus difficile que l'annonce du programme ne le laissait entendre.

TL;DR

Pendant que Fable 5 et Mythos 5 étaient coupés pour le monde entier, 200 organisations continuaient à utiliser Mythos Preview — et personne ne l'a annoncé clairement.

  • Project Glasswing est le programme d'accès restreint via lequel Anthropic déploie Mythos Preview à des partenaires sélectionnés pour des usages défensifs depuis avril 2026. En deux mois, le modèle a identifié plus de 10 000 vulnérabilités critiques dans les logiciels open source les plus utilisés au monde.
  • Quand la directive d'exportation du 12 juin a coupé l'accès mondial à Fable 5 et Mythos 5, les partenaires Glasswing — Cisco, JPMorganChase et les autres — ont maintenu leur accès à Mythos Preview. Cette asymétrie n'a pas été communiquée publiquement.
  • La deuxième vague du programme, étendue à 150 organisations dans 15 pays début juin, aurait inclus une entreprise de télécom coréenne avec des liens chinois — ce qui serait l'un des déclencheurs de la directive. La capacité à vetter 200 organisations internationales sur des critères de sécurité nationale est la question que le programme n'a pas encore résolue.

Questions fréquentes

Comment rejoindre Project Glasswing ?

Il n'y a pas de candidature ouverte. Anthropic sélectionne les partenaires sur la base de la criticité des logiciels qu'ils maintiennent ou opèrent. Les organisations du secteur de l'énergie, de l'eau, de la santé, des communications et du hardware ont été les priorités de la deuxième vague. Le contact passe par les équipes enterprise d'Anthropic.

Les vulnérabilités trouvées par Mythos Preview sont-elles publiées ?

Partiellement. Anthropic publie les analyses techniques des vulnérabilités déjà patchées. Les vulnérabilités encore en cours de correction restent sous embargo jusqu'à divulgation coordonnée avec les éditeurs concernés. Cisco a open-sourcé son Foundry Security Spec pour permettre à d'autres organisations de reproduire son système d'évaluation.

Quand des organisations européennes pourront-elles rejoindre Glasswing ?

Des partenaires européens sont déjà présents dans la deuxième vague. Mais la directive du 12 juin a révoqué l'accès de toutes les organisations coréennes, y compris Samsung et SK Hynix, et a gelé les demandes de nouveaux partenaires internationaux. La reprise dépend du cadre "partenaire de confiance" en cours de négociation au niveau G7.

Article rédigé par Hamadi Lanouar
Le brief tech qui compte
Chaque matin à 7h, les 5 signaux tech B2B à ne pas manquer.