La société d'intelligence artificielle Anthropic a lancé une initiative de cybersécurité appelée Project Glasgow, qui cherche à tirer parti des capacités avancées de son nouveau modèle de frontière, Claude Mythos, pour découvrir et corriger les défaillances critiques du logiciel. Au lieu de lancer cette version au grand public, l'entreprise a choisi de travailler avec un groupe restreint d'organisations - y compris les grands fournisseurs de cloud, les fabricants de logiciels et les institutions financières - pour appliquer l'outil dans la protection des infrastructures essentielles.
Comme l'a rapporté l'entreprise elle-même, Claude Mythos dans sa version préliminaire a démontré une capacité remarquable d'analyser le code, la raison sur les systèmes et construire des séquences d'exploitation qui l'emporteraient sur la plupart des experts humains dans la recherche de vulnérabilités. Ce saut dans la capacité pose une double lecture: d'une part, il peut accélérer la détection et le patching des défaillances avant qu'elles ne soient exploitées; d'autre part, il introduit le risque que des techniques similaires tombent dans des mains malveillantes. Anthropique a soutenu que cette double dimension - le potentiel de défense et en même temps d'attaque - est la principale raison pour laquelle elle ne diffusera pas le modèle ouvertement. Pour en savoir plus sur l'approche publique de l'entreprise, consultez son blog d'entreprise fonctionnaire.
La société affirme que Mythos Preview a déjà identifié des milliers de vulnérabilités à impact élevé dans les principaux systèmes d'exploitation et navigateurs, y compris les échecs historiques qui n'avaient pas été sur des projets open source depuis des années. Dans la pratique, la détection d'échecs qui sont restés latents pendant des décennies montre deux choses : d'une part, la présence de risques accumulés dans les logiciels critiques; d'autre part, les progrès des modèles d'AI atteignent une capacité opérationnelle qui transcende les tâches d'assistance de base et est mise dans des domaines pratiques d'exploitation et de correction automatisée. Pour comparer les résultats concrets et le contexte technique, il est utile de consulter les pages de sécurité des projets reconnus comme OpenBSD ou la section de sécurité de projets multimédias tels que FFmpeg.
Présentations anthropiques Le projet Glasgow comme réponse urgente : avant que les acteurs hostiles n'incorporent des techniques similaires, l'idée est d'utiliser ces mêmes outils pour renforcer les défenses. Le plan comprend la collaboration avec des entreprises et des organisations de haut niveau, ainsi que l'attribution de crédits d'utilisation de modèles et de dons à des initiatives de sécurité de source ouverte. C'est un engagement à transformer une capacité technologique risquée en un levier défensif coordonné avec l'industrie, une stratégie qui rappelle les efforts de collaboration public-privé en matière de cybersécurité.
Cependant, la discussion publique ne peut être séparée des épisodes récents qui remettent en question la résilience opérationnelle d'Anthropic. Avant l'annonce, des filtrations accidentelles de documentation et de code ont été produites : des documents préliminaires sur Mythos ont été mis à disposition par erreur et des milliers de fichiers de code source associés à Claude Code ont ensuite été affichés pendant quelques heures. Ces incidents montrent que même lorsqu'une organisation décide de restreindre l'accès aux technologies sensibles, des erreurs humaines ou des échecs dans les processus internes peuvent causer des divulgences problématiques.
L'incident avec Claude Code a également révélé un problème de sécurité spécifique dans le comportement de l'agent qui exécute des commandes sur les machines de développement. Un rapport de sécurité externe indiquait que, pour des raisons de performance, le système a cessé d'appliquer certaines règles de déni lorsqu'une commande contenait plus de 50 sous-commandes. Dans la pratique, une protection mise en place pour bloquer une instruction dangereuse pourrait être évitée si une telle instruction était introduite avec une longue liste de peines apparemment inoffensives. C'est un exemple clair de la tension entre performance, coût et sécurité: sacrifier des contrôles complets par vitesse peut ouvrir des raccourcis que les attaquants exploitent. Afin de mettre en contexte ces types de vulnérabilités et leur impact sur les écosystèmes logiciels, il convient d'examiner des ressources telles que la base de données sur les vulnérabilités des CVE ou publications d'organisations qui enquêtent sur la sécurité dans l'intelligence artificielle.
La situation soulève des questions éthiques et réglementaires ayant des implications pratiques. Qui décide quels modèles peuvent être utilisés pour évaluer les infrastructures essentielles et dans quelles conditions? Comment le besoin de transparence en matière de sécurité peut-il être compatible avec le risque de diffusion de méthodes qui pourraient être réutilisées par les attaquants? Dans le cas d'Anthropic, la réponse a été de limiter l'accès, d'établir des accords de collaboration avec des acteurs clés et de financer le travail dans la communauté de la sécurité ouverte. Ces mesures vont dans le sens de l'idée que la gouvernance des technologies frontalières devrait inclure à la fois les contrôles techniques et les canaux de coopération entre les entreprises, les projets open source et les gouvernements.
Mais les contraintes opérationnelles ne remplacent pas le besoin de vérifications indépendantes, de cadres stratégiques clairs et de pratiques de conception en matière de sécurité. Les modèles qui raisonnent sur le code et la construction exploitent de façon autonome nécessitent des contrôles de sécurité plus robustes, des tests de pénétration de tiers aux politiques internes qui empêchent l'exposition accidentelle d'informations sensibles. De plus, la communauté technique et les décideurs doivent discuter de la façon d'équilibrer l'innovation et les mesures de sauvegarde : donner des ressources et des crédits à des projets de sécurité à source ouverte peut aider, mais elle ne résout pas en soi la question plus vaste de la gouvernance et de la responsabilité.
Un autre aspect à considérer est la rapidité avec laquelle ces capacités se dégagent de l'amélioration générale de l'écriture de code et du raisonnement automatique, plutôt que de la formation visant spécifiquement à exploiter les échecs. Cela signifie que les modèles qui deviennent beaucoup plus compétents dans la programmation peuvent avoir des conséquences imprévues dans les domaines de sécurité. Le défi pour les entreprises qui développent l'IV est d'anticiper et d'atténuer ces effets secondaires sans arrêter la recherche utile.
En fin de compte, le cas de Project Glasgow et Claude Mythos met en lumière une leçon pratique : l'ère où la cybersécurité n'a fait face qu'à des erreurs humaines ou à des défauts de logiciels change. Les outils automatisés apparaissent maintenant avec la capacité de trouver, d'exploiter et, surtout, d'aider à corriger les vulnérabilités à une échelle qui nécessite des réponses coordonnées. Pour en savoir plus sur la couverture médiatique et l'analyse de ces événements dans les médias spécialisés, consultez la section Technologie des agences d'information. Reuters ou le suivi des grands projets et fondations sur des pages telles que Fondation Linux qui participent souvent à des initiatives de sécurité en collaboration.
La combinaison de transparence responsable, d'audit externe, d'investissement dans la communauté de la sécurité et de règles claires pour l'utilisation de modèles puissants aujourd'hui semble la manière la plus prudente. Pendant ce temps, l'écosystème doit apprendre à vivre avec des outils qui sont à la fois un espoir de défendre les systèmes critiques et un avertissement sur la puissance de l'automatisation lorsqu'ils ne sont pas accompagnés de contrôles adéquats.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...