Test

Gouvernance IA

Mythos d’Anthropic et Project Glasswing : un nouveau système de castes pour la cyberdéfense

Mythos d'Anthropic et Project Glasswing scindent la cyberdefense mondiale. Les fabricants de marque sont du mauvais cote de l'asymetrie.

C Carlos Martínez Barriga 5 min read
Dark server room with blue network lights illustrating Anthropic Mythos AI cybersecurity model and Project Glasswing restricted access tier
Mythos et Project Glasswing d'Anthropic redéfinissent qui découvre les vulnérabilités en premier.
Table des matières

Résumé

  • Mythos, le modèle frontière d’Anthropic pour la découverte de vulnérabilités, a déjà identifié des milliers de failles critiques dans les principaux OS et navigateurs.

  • Project Glasswing limite l’accès à environ 40 sociétés : AWS, Apple, Cisco, CrowdStrike, Google, Microsoft, Nvidia, Palo Alto Networks, JPMorgan Chase. Aucune banque, agence cyber ou administration européenne n’y figure.

  • Pour les fabricants de marque dotés d’ERP, MES et SCADA anciens, le risque réel n’est pas le modèle, c’est l’asymétrie.

Anthropic a bâti en silence l’actif cybersécurité le plus important de l’année, et la majeure partie du monde n’y a pas accès. Mythos, modèle frontière calibré pour la découverte de vulnérabilités, est distribué via un programme contrôlé baptisé Project Glasswing. La liste des participants en dit plus sur la prochaine décennie de cyberdéfense que n’importe quelle fiche produit.

Ce qu’est réellement Project Glasswing

Glasswing n’est pas une bêta. C’est une caste. Anthropic confirme l’accès pour environ 40 organisations : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia et Palo Alto Networks forment le noyau technique. JPMorgan Chase est la seule institution financière confirmée. Dario Amodei a rencontré de hauts responsables de l’administration Trump à la Maison-Blanche pour discuter d’une expansion. Réponse : un non ferme. L’exécutif a bloqué la proposition d’élargir à environ 70 organisations supplémentaires, invoquant un risque de concentration et la capacité de calcul.

Le Trésor américain demandait l’entrée. Les ministres des Finances de l’UE la réclament publiquement. Les fournisseurs de technologies opérationnelles — fabricants de contrôles industriels pour utilities, raffineries et usines — expriment ce que Nextgov qualifie sans détour d’agacement.

Pourquoi c’est un problème de fabricant, pas de Big Tech

Au sein des 40, Mythos devient une couche de renseignement préventif. Les correctifs précèdent les exploits. Hors des 40, chaque base de code est un terrain de recherche pour les mêmes techniques, car les classes de vulnérabilité que Mythos découvre finissent dans l’outillage adverse. Rest of World indique qu’aucune banque, gouvernement ou agence cyber européenne n’est actuellement dans le programme. Ce n’est pas une note de bas de page. C’est la carte.

Les fabricants de marque occupent le quadrant le plus exposé. Leurs ERP ont souvent une décennie. Leurs couches MES et SCADA ont été conçues avant l’ère du red-teaming IA. Leurs fournisseurs travaillent sur des portails partagés que personne n’a fuzzés à grande échelle. Rien de cela ne sera testé sous conditions Glasswing — mais par ce qui circulera trois à neuf mois plus tard.

Données Epinium

Sur les 60+ fabricants de marque que nous avons accompagnés en 5+ ans, le stack IT/ERP moyen contient plus de 14 ans de code hérité accumulé — exactement la surface que des scanners IA comme Mythos sont calibrés à exposer en premier.

L’asymétrie que tout RSSI doit anticiper

Glasswing crée une économie défensive à deux vitesses. Vitesse une : hyperscalers et quelques partenaires corrigent en silence à partir des découvertes du modèle. Vitesse deux : tous les autres héritent d’une surface de menace plus hostile sans le télescope correspondant. La question stratégique n’est pas d’attendre l’accès. C’est de comprimer la fenêtre entre divulgation et remédiation quand on est structurellement du côté lent. Pour approfondir, voir notre analyse de la maturité IT à l’ère IA.

Qu’est-ce que le modèle Mythos d’Anthropic ?

Modèle frontière d’Anthropic spécialisé dans la découverte et l’exploitation de vulnérabilités logicielles. Selon Anthropic, il a déjà identifié des milliers de failles critiques, y compris dans tous les OS et navigateurs majeurs. Il est distribué uniquement via Project Glasswing.

Qui a accès à Project Glasswing ?

Environ 40 organisations, dont AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, Linux Foundation, Microsoft, Nvidia et Palo Alto Networks. JPMorgan Chase est la seule banque confirmée. Aucune banque, administration ou agence cyber européenne n’a été confirmée.

Pourquoi la Maison-Blanche a-t-elle bloqué l’expansion ?

Les hauts responsables ont invoqué un risque de concentration pour la sécurité nationale et une capacité de calcul limitée si l’on ouvrait à environ 70 organisations supplémentaires. Le programme reste fermé tandis que le Trésor américain et ses homologues européens continuent de demander l’accès.

Mythos affecte-t-il directement les fabricants de marque ?

Oui, indirectement mais réellement. Les fabricants sont rarement dans Glasswing, mais leurs ERP, MES et SCADA partagent une lignée de code avec les logiciels audités. Les classes de vulnérabilités révélées en privé apparaissent souvent dans des kits publics quelques mois plus tard.

Que doivent faire les équipes IT industrielles ?

Inventorier le legacy, cartographier l’exposition fournisseurs, accélérer la cadence des correctifs et traiter le red-teaming assisté par IA comme un contrôle de base, pas comme une capacité future. L’écart défensif se creuse plus vite que les cycles budgétaires annuels.

Glasswing ne restera pas aussi restreint éternellement, mais le précédent — le renseignement de sécurité frontière alloué par traité, pas par achat — est le changement durable. Les fabricants qui se préparent à l’asymétrie, plutôt qu’à l’accès éventuel, sont ceux qui n’apparaîtront pas dans la liste des brèches de l’an prochain.

Inquiet de voir votre stack legacy devenir un passif ? Les scanners de classe Mythos creuseront l’écart entre les initiés Glasswing et les autres, et les ERP/MES industriels sont la cible la plus tendre dans cet écart. Découvrez comment Epinium Transform audite l’exposition aux vulnérabilités à l’ère IA →

#anthropic mythos #cybersecurite ia #fabricants marque #gouvernance ia #project glasswing #vulnerabilites logicielles