Project Glasswing : une coopération mondiale pour sécuriser les logiciels critiques à l’ère de l’IA

• Project Glasswing, une initiative de coopération réunissant de grandes entreprises technologiques comme Amazon, Apple, Google et Microsoft, vise à détecter et défendre les vulnérabilités de sécurité des logiciels critiques dans le monde entier à l’aide de l’IA
• Le modèle Claude Mythos 2 Preview d’Anthropic y joue un rôle central et a déjà découvert des milliers de vulnérabilités critiques dans les principaux systèmes d’exploitation et navigateurs
• Mythos Preview peut détecter de manière autonome des vulnérabilités et générer des exploits sans intervention humaine, et a mis au jour des failles restées latentes pendant des décennies dans OpenBSD, FFmpeg, le noyau Linux et d’autres logiciels
• Anthropic fournit au projet 100 millions de dollars de crédits de modèles ainsi que 4 millions de dollars de dons à des organisations de sécurité open source, que les partenaires utiliseront pour la détection de vulnérabilités, les tests de sécurité et les évaluations d’intrusion
• Glasswing a pour objectif d’établir des standards et des lignes directrices de cybersécurité à l’ère de l’IA, avec, à long terme, la volonté de bâtir un dispositif de sécurité durable fondé sur la coopération entre secteur public et privé

Présentation de Project Glasswing

• Project Glasswing est un projet mondial de coopération en cybersécurité réunissant Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks et d’autres acteurs
• Son objectif est d’utiliser l’IA, sur la base du modèle Claude Mythos 2 Preview d’Anthropic, pour détecter et contrer les vulnérabilités de sécurité des logiciels critiques dans le monde entier
• Mythos Preview a découvert des milliers de vulnérabilités critiques dans les principaux systèmes d’exploitation et navigateurs web, avec un niveau de performance supérieur à celui de la plupart des experts humains
• Anthropic met à disposition du projet jusqu’à 100 millions de dollars de crédits d’utilisation de modèles ainsi que 4 millions de dollars de dons à des organisations de sécurité open source
• Le projet est présenté comme le point de départ d’une coopération de long terme visant à définir des standards et des lignes directrices de cybersécurité pour l’ère de l’IA

Le paysage de la cybersécurité à l’ère de l’IA

• Les logiciels d’infrastructures critiques dans la finance, la santé, l’énergie, les transports ou les administrations comportent toujours des bugs et des failles de sécurité
• Les progrès des modèles d’IA ont fortement réduit le coût et le niveau d’expertise nécessaires pour détecter et exploiter des vulnérabilités
• Claude Mythos Preview a mis au jour d’anciennes failles de sécurité restées invisibles pendant des décennies malgré les revues humaines et les tests automatisés
• Si ces capacités d’IA sont détournées, la fréquence et la capacité destructrice des cyberattaques pourraient fortement augmenter, jusqu’à constituer une menace pour la sécurité nationale
• Dans le même temps, cette technologie peut devenir un outil révolutionnaire du côté défensif, ce qui rend indispensable le renforcement de la sécurité fondé sur l’IA

Résultats de Claude Mythos Preview dans la détection de vulnérabilités

• Ces dernières semaines, Mythos Preview a découvert des milliers de vulnérabilités zero-day dans tous les principaux systèmes d’exploitation et navigateurs web
• Le modèle détecte les vulnérabilités et développe des exploits de manière autonome, sans intervention humaine
• Principales découvertes
  • OpenBSD : découverte d’une vulnérabilité présente depuis 27 ans, permettant potentiellement de faire tomber un système à distance
  • FFmpeg : découverte d’une vulnérabilité présente depuis 16 ans, restée indétectée malgré 5 millions de tests automatisés
  • Noyau Linux : confirmation de la possibilité d’une élévation de privilèges en enchaînant plusieurs vulnérabilités
• Toutes les vulnérabilités ont été signalées aux mainteneurs des projets concernés et les correctifs ont été appliqués
• Sur le benchmark CyberGym, Mythos Preview atteint 83,1 %, contre 66,6 % pour le modèle précédent, Opus 4.6

Participation et appréciation des partenaires

• Cisco : souligne que l’IA a fondamentalement changé l’urgence de la protection des infrastructures de sécurité et que les approches traditionnelles de renforcement ne suffisent plus
• AWS : analyse chaque jour 400 000 milliards de flux réseau et utilise Claude Mythos Preview pour renforcer la sécurité au niveau du code
• Microsoft : indique que Mythos Preview a montré de nets progrès par rapport au modèle précédent sur le benchmark CTI-REALM et poursuit le déploiement de la sécurité à grande échelle fondée sur l’IA
• CrowdStrike : estime que l’IA a réduit à quelques minutes l’intervalle entre la découverte d’une vulnérabilité et son exploitation, et insiste sur la nécessité de déployer rapidement des capacités défensives basées sur l’IA
• Communauté open source : Glasswing fournira aussi des outils de détection de vulnérabilités fondés sur l’IA aux mainteneurs open source disposant de peu de ressources en sécurité
• JPMorganChase : met en avant l’importance d’une réponse coordonnée à l’échelle du secteur pour renforcer la cyberrésilience des systèmes financiers
• Google : fournit Mythos Preview via Vertex AI et continue de développer des outils de sécurité fondés sur l’IA (Big Sleep, CodeMender)

Performances techniques de Claude Mythos Preview

• Mythos Preview surpasse nettement les modèles précédents d’Anthropic en capacités de codage et de raisonnement
• Principaux résultats de benchmark
  • Amélioration de plus de 20 à 30 % par rapport à Opus 4.6 sur SWE-bench Verified/Pro/Multilingual et d’autres évaluations
  • 92,1 % sur Terminal-Bench 2.0 (contre 77,8 % pour Opus 4.6)
  • Sans outil : 56,8 % vs 40,0 %, avec outils : 64,7 % vs 53,1 %
  • Sur Humanity’s Last Exam : 86,9 % vs 83,7 %
  • Sur BrowseComp : un meilleur score avec 4,9 fois moins de tokens
• Anthropic n’a pas l’intention de déployer publiquement Mythos Preview et prévoit à l’avenir une diffusion progressive via des modèles Claude Opus dotés de garde-fous de sécurité renforcés

Prochaines étapes de Project Glasswing

• Les partenaires utiliseront Claude Mythos Preview pour la détection de vulnérabilités dans des systèmes critiques, les tests black box sur binaires, la sécurité des endpoints et les tests d’intrusion
• Anthropic fournira 100 millions de dollars de crédits d’utilisation de modèles, puis le service sera accessible au tarif de 25 dollars par million de tokens en entrée et 125 dollars par million de tokens en sortie

• Soutien aux organisations de sécurité open source

  • 2,5 millions de dollars à Alpha-Omega et OpenSSF, sous l’égide de la Linux Foundation
  • 1,5 million de dollars de dons à l’Apache Software Foundation
  • Les mainteneurs open source pourront y accéder via le programme Claude for Open Source
  • D’ici 90 jours, le projet publiera un rapport sur les correctifs de vulnérabilités et les améliorations apportées, et prévoit de co-développer des lignes directrices de sécurité pour l’ère de l’IA
  • Procédures de divulgation des vulnérabilités
  • Processus de mise à jour logicielle
  • Sécurité de l’open source et de la supply chain
  • Cycle de développement centré sur la sécurité
  • Standards sectoriels réglementés
  • Systèmes automatisés de classification des vulnérabilités et de correctifs
  • Anthropic est en discussion avec le gouvernement américain et prévoit de soutenir l’évaluation et l’atténuation des impacts sur la sécurité nationale des capacités cyber fondées sur l’IA
  • À long terme, l’objectif est de mettre en place une entité tierce indépendante issue de la coopération public-privé pour gérer durablement des projets de cybersécurité à grande échelle