Anthropic a déplacé Claude Mythos Preview dans une phase de tests limitée avec un groupe restreint de partenaires d’entreprise après que le modèle a fait remonter des milliers de vulnérabilités critiques au sein de systèmes d’exploitation, de navigateurs web et d’autres logiciels. La divulgation met en évidence à la fois l’immense potentiel des outils de sécurité propulsés par l’IA et les nouveaux risques associés, au fur et à mesure que les capacités se multiplient dans la nature.
L’entreprise a décrit Mythos Preview comme un modèle à usage général qui, lors de son évaluation interne, a identifié des faiblesses de haute sévérité sur de grandes plateformes. Anthropic a prévenu que de telles capacités pourraient se propager rapidement si elles n’étaient pas gérées de manière responsable, notant que des adversaires peuvent déployer ces outils avant que des garde-fous ne soient en place.
« Compte tenu du rythme des progrès de l’IA, il ne faudra pas longtemps avant que de telles capacités se multiplient, potentiellement au-delà d’acteurs qui s’engagent à les déployer de façon sûre. »
Les chercheurs en sécurité avertissent depuis longtemps que l’IA peut accélérer les cyberattaques en automatisant la découverte et l’exploitation. Dans un paysage plus large où les menaces pilotées par l’IA sont de plus en plus courantes, Anthropic a pointé des tendances inquiétantes. AllAboutAI rapporte une hausse de 72% d’une année sur l’autre des cyberattaques propulsées par l’IA, et indique que 87% des organisations mondiales ont subi des attaques rendues possibles par l’IA en 2025. Dans ce contexte, Anthropic a insisté sur la nécessité d’outils d’IA défensifs capables de dépasser les acteurs malveillants.
Pour renforcer les défenses, Anthropic a annoncé Project Glasswing le même jour. L’initiative réunit plus de 40 entreprises, dont Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft et Nvidia, avec pour objectif d’utiliser les capacités de Claude Mythos Preview pour trouver des bogues, partager des données avec les partenaires et corriger des vulnérabilités critiques avant que des criminels ne les exploitent.
Points clés
Claude Mythos Preview a identifié des milliers de vulnérabilités critiques sur des systèmes d’exploitation, des navigateurs et des bibliothèques de cryptographie, soulignant une large surface susceptible d’être exploitée.
La majorité de ces failles restent non corrigées, Anthropic indiquant qu’environ 99% des vulnérabilités qu’elle a trouvées n’ont pas encore été corrigées.
Project Glasswing mobilise une coalition intersectorielle pour opérationnaliser la défense pilotée par l’IA, visant à accélérer la découverte, la divulgation et la remédiation des bogues à travers toute la pile logicielle.
Les vulnérabilités s’étendent sur des décennies, laissant entrevoir une fragilité de longue date dans des logiciels largement utilisés et le risque persistant pour les infrastructures critiques et les écosystèmes crypto.
Découverte de vulnérabilités par l’IA et faiblesses vieilles de décennies
Les premiers résultats d’Anthropic révèlent une réalité préoccupante : des failles qui sont restées en place pendant des années, voire des décennies, peuvent encore représenter aujourd’hui des menaces significatives. Parmi les exemples cités figuraient des bogues désormais corrigés mais historiquement importants dans OpenBSD — une vulnérabilité vieille de 27 ans qui s’est re-manifestée lors des tests — ainsi qu’une faille vieille de 16 ans dans la bibliothèque FFmpeg, et une vulnérabilité d’exécution de code à distance vieille de 17 ans dans le système d’exploitation FreeBSD. Les divulgations se sont étendues à plusieurs vulnérabilités au sein du noyau Linux, illustrant que même des projets open source bien entretenus ne sont pas à l’abri des risques latents.
Au-delà des systèmes d’exploitation, Mythos Preview a signalé des faiblesses dans le paysage de la cryptographie — des domaines qui constituent des bases pour des communications et des transactions sécurisées. Le modèle aurait identifié des failles dans des bibliothèques et protocoles largement utilisés, notamment TLS, AES-GCM et SSH. Les applications web sont apparues comme un terrain particulièrement fertile pour la découverte de vulnérabilités, avec un éventail de problèmes allant du cross-site scripting à l’injection SQL et au cross-site request forgery, ce dernier étant souvent exploité dans des campagnes de type phishing.
Anthropic a souligné que bon nombre de ces problèmes sont subtils, spécifiques au contexte ou profondément intégrés dans des chemins de code complexes, ce qui les rend difficiles à faire remonter uniquement via des audits traditionnels. L’implication pour les développeurs et les exploitants est claire : même des piles logicielles mûres peuvent cacher des failles critiques que l’IA pourrait aider à mettre au jour bien plus vite que les méthodes conventionnelles.
L’entreprise a également mis en avant une statistique marquante qui accompagne ces résultats : la majorité de ces vulnérabilités n’avaient pas encore été corrigées, créant une fenêtre d’exposition qui pourrait être exploitée par des attaquants opportunistes si elle n’est pas traitée rapidement.
Glasswing : une coalition pour une défense proactive
Project Glasswing est présenté comme un programme de défense proactive plutôt que comme une initiative d’analyse rétrospective. En mettant en commun des ressources et une expertise provenant de participants issus de fournisseurs cloud, de développeurs de matériel, d’institutions financières et d’écosystèmes open source, Glasswing cherche à transformer la découverte de vulnérabilités pilotée par l’IA en une boucle d’apprentissage qui accélère la création et le déploiement des correctifs. La collaboration vise à partager des informations sur les menaces émergentes, à coordonner la divulgation avec les vendeurs et les fournisseurs, et à pousser à une remédiation rapide avant que l’exploitation ne devienne généralisée.
Les participants clés couvrent des géants de l’industrie et des écosystèmes de sécurité essentiels : Amazon Web Services, Apple, Cisco, Google, JPMorgan, la Linux Foundation, Microsoft et Nvidia, entre autres. L’initiative traduit une tendance croissante dans laquelle de grandes coalitions de technologistes coordonnent leurs efforts pour renforcer les chaînes d’approvisionnement logicielles et réduire le délai entre la découverte d’une vulnérabilité et son correctif — un objectif particulièrement pertinent pour la blockchain et l’infrastructure crypto, où les incidents de sécurité peuvent déclencher des défaillances en cascade à travers les réseaux et les écosystèmes.
Ce que ce changement signifie pour les écosystèmes crypto et cybersécurité
Pour les investisseurs et les bâtisseurs dans le secteur crypto, les résultats de Mythos Preview et le modèle collaboratif de Glasswing offrent une vision plus nuancée du risque et de la résilience. D’un côté, la découverte de vulnérabilités assistée par l’IA pourrait améliorer de manière significative la posture de sécurité des plateformes crypto, des portefeuilles, des logiciels de nœud et des écosystèmes de smart contracts en découvrant des faiblesses qui auraient nécessité beaucoup plus de temps pour être détectées par des humains. De l’autre, l’accès précoce à de tels outils puissants soulève des questions de gouvernance et de sécurité : qui contrôle la divulgation des résultats, à quelle vitesse les correctifs sont publiés, et comment le risque est-il évalué pour les utilisateurs dans des marchés en temps réel ?
D’un point de vue marché, l’activité autour d’outils de sécurité rendus possibles par l’IA pourrait influencer la demande pour des briques de sécurité, des suites d’audit et des services de vérification formelle au sein de l’infrastructure crypto. Cela souligne également l’importance d’une sécurité solide des chaînes d’approvisionnement, étant donné qu’un seul zero-day dans une bibliothèque ou un OS largement utilisé pourrait se répercuter sur des réseaux décentralisés, des bourses et des services de custody.
Des analystes notent que la période de transition pour une IA de défense pilotée par les exigences de sécurité est susceptible d’être semée d’embûches. À long terme, les défenseurs s’attendent à ce que les capacités de défense dominent, conduisant à un écosystème logiciel plus sûr, mais la phase intérimaire sera caractérisée par des erreurs de configuration généralisées, des retards de patch et des tactiques de menace en évolution à mesure que les attaquants s’adaptent aux nouvelles technologies défensives. La manière dont Anthropic présente les choses suggère que le basculement vers une défense assistée par l’IA ne sera pas instantané ; il nécessitera une collaboration continue, des divulgations standardisées et des cycles de correctifs rapides afin de réduire la fenêtre d’exploitation.
Au-delà des implications techniques immédiates, des observateurs de l’industrie suivent la manière dont les cadres de politique et de gouvernance s’adaptent à ces capacités. L’équilibre entre le partage d’informations sur les menaces et la protection de données sensibles relatives aux vulnérabilités influencera la rapidité avec laquelle les organisations peuvent tirer parti de la défense pilotée par l’IA, y compris dans des environnements axés sur la crypto, où la responsabilité, la transparence et la confiance des utilisateurs sont primordiales.
Comme le notent des articles dans les milieux de la sécurité, des récits similaires sont apparus autour de la sécurité de code rendue possible par l’IA et du débat plus large sur la façon de réglementer et déployer l’IA de manière sûre. La couverture médiatique et la réponse du marché à ces discussions ont inclus une volatilité dans les actions liées à la cybersécurité, soulignant que les investisseurs évaluent la fiabilité de la défense pilotée par l’IA par rapport au risque de permettre des attaquants plus capables.
À court terme, les lecteurs devraient surveiller la façon dont Glasswing traduit les résultats du modèle en correctifs tangibles et la rapidité avec laquelle les entreprises participantes peuvent opérationnaliser l’intelligence partagée. Le résultat influencera probablement les budgets de sécurité, les flux de travail des développeurs et la préparation à la réponse aux incidents dans les écosystèmes à la fois technologiques traditionnels et natifs crypto.
Ce qui reste incertain, c’est la rapidité avec laquelle l’industrie peut combler l’écart de patch pour l’immense variété de vulnérabilités découvertes et si les défenses assistées par l’IA peuvent rester en avance sur des techniques d’exploitation de plus en plus sophistiquées. Les prochains mois seront révélateurs pour les développeurs, les exploitants et les décideurs politiques concernant la faisabilité et l’efficacité de vastes programmes de défense à grande échelle, rendus possibles par l’IA, pour réduire le risque systémique.
Pour l’instant, les divulgations d’Anthropic renforcent une conclusion essentielle : à mesure que les capacités de l’IA augmentent, l’impératif de jumeler de puissants outils de découverte à une défense disciplinée et collaborative s’accroît — en particulier dans les secteurs où la sécurité est indissociable de la confiance et de la continuité.
Cet article a été publié à l’origine comme suit : Anthropic tightens AI access as cyberattack risk looms for crypto sur Crypto Breaking News — votre source de confiance pour l’actualité crypto, les nouvelles sur Bitcoin et les mises à jour blockchain.
