Qu est-ce qu un zero-day exactement ?

Une faille de sécurité informatique inconnue de l éditeur du logiciel. Une fois découverte par un attaquant, elle peut être exploitée immédiatement avant qu un correctif ne soit disponible. Les zero-days sur navigateurs majeurs ou systèmes d exploitation se négocient sur le marché noir entre 200 000 et 2,5 millions de dollars selon Zerodium, ce qui donne une idée de la valeur stratégique des découvertes de Mythos.

Pourquoi la Maison Blanche bloque-t-elle l extension de Mythos ?

Officiellement, l administration Trump invoque des préoccupations de sécurité et de compute. En réalité, deux logiques s entremêlent : la volonté de garder Mythos quasi-exclusivement entre mains gouvernementales fédérales US (CISA, Treasury, NSA), et la persistance du contentieux historique avec Anthropic depuis le différend Pentagone sur les armes autonomes.

Mythos peut-il être utilisé pour attaquer ?

Techniquement oui, comme tout outil de découverte de vulnérabilités. C est précisément pour cela qu Anthropic limite drastiquement l accès et impose un audit de sécurité préalable, plus une obligation de divulgation responsable sous 90 jours. Le pari : que les défenseurs équipés de Mythos rééquilibrent l asymétrie offensive avant que des attaquants étatiques ne développent l équivalent.

Quels sont les 12 partenaires fondateurs de Glasswing ?

Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Aucun acteur européen n est inclus dans le tour initial, ce qui crée une asymétrie d information cyber préoccupante pour les RSSI du Vieux Continent.

Existe-t-il un équivalent européen de Glasswing ?

Pas encore. L ANSSI française et le BSI allemand ont annoncé le 9 mai des discussions exploratoires pour lancer un équivalent avec Mistral, Hyperview et plusieurs labos publics. Mais sans modèle de capacité comparable à Mythos, l Europe pourrait être structurellement désavantagée en cyber-défense pendant 12 à 18 mois.

Régulation & Éthique

Project Glasswing : Anthropic dévoile Mythos, le modèle qui trouve des milliers de "zero-days"

Anthropic lance Project Glasswing avec 12 géants tech (AWS, Apple, Cisco, Google, Microsoft...). Son modèle Mythos a découvert des milliers de failles zero-day en autonomie. La Maison Blanche freine son extension.

Par Driss Redouane 10 mai 2026 7 min de lecture

PartagerX LinkedIn Email

Project Glasswing : Anthropic dévoile Mythos, le modèle qui trouve des milliers de "zero-days"

À retenir

Project Glasswing : initiative cybersécurité défensive d Anthropic avec 12 géants tech.
Modèle Claude Mythos capable de découvrir des milliers de zero-days en autonomie.
73 % des challenges CTF de niveau expert résolus, premier modèle à boucler une chaîne d attaque 32 étapes.
La Maison Blanche bloque l extension de Mythos à 70 organisations supplémentaires, invoquant des risques.

Mythos est probablement le modèle IA le plus dangereux jamais créé. Et c est précisément pour cela qu Anthropic refuse de le diffuser au-delà d un cercle ultra-restreint, contre l avis de la Maison Blanche.

Anthropic a officialisé hier le lancement de Project Glasswing, une initiative de cybersécurité défensive co-construite avec une douzaine de géants tech parmi lesquels AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Son cœur : Claude Mythos, un modèle frontier non publié dont les capacités offensives en cybersécurité dépassent celles de quasiment tous les experts humains.

🛡️

Project Glasswing

Programme défensif visant à doter les opérateurs d infrastructures critiques d outils IA capables de découvrir et corriger les vulnérabilités avant les attaquants. Accès strictement contrôlé aux modèles, audit de sécurité des partenaires, et obligation de divulgation responsable des failles découvertes.

🔓

Zero-day

Faille de sécurité inconnue de l éditeur du logiciel concerné. Une fois découverte par un attaquant, elle peut être exploitée immédiatement sans correctif disponible. Sur le marché noir, les zero-days sur navigateurs ou OS majeurs se vendent entre 200 000 et 2,5 millions de dollars selon Zerodium.

Le modèleCe que fait Mythos exactement

Trois performances qui inquiètent

73%CTF expert résolus

~1000+Zero-days découverts en test

32Étapes chaîne d attaque bouclée

12Partenaires Glasswing

Les évaluations menées par Anthropic et plusieurs labs externes établissent trois faits majeurs :

Découverte autonome : Mythos a identifié des milliers de vulnérabilités jamais connues précédemment dans tous les principaux systèmes d exploitation et navigateurs web (Linux, Windows, macOS, Chrome, Firefox, Safari).

Capacité offensive end-to-end : premier modèle à compléter de façon autonome une simulation de 32 étapes d attaque sur réseau d entreprise (reconnaissance, exploitation initiale, escalade de privilèges, mouvement latéral, exfiltration).

Niveau expert humain dépassé : 73 % de réussite sur des challenges CTF (capture-the-flag) de niveau expert, là où la moyenne des chercheurs senior plafonne autour de 60 %.

Pour la première fois, un modèle généraliste atteint un niveau de compétence offensive qui surpasse la quasi-totalité des humains. La question n est plus "si" mais "qui aura accès".

L architecture défensive

Anthropic a structuré Glasswing autour de trois principes pour éviter la diffusion offensive :

Accès strictement contrôlé : seuls les 12 partenaires fondateurs et environ 40 organisations supplémentaires invitées (sur sélection) ont accès à Mythos.

Usage défensif uniquement : les contrats interdisent l usage offensif de Mythos. Toute découverte de vulnérabilité doit être divulguée à l éditeur dans les 90 jours.

Audit de sécurité : chaque organisation utilisatrice subit un audit de sécurité interne préalable, validé par Anthropic et son comité Glasswing.

📋

Les 12 partenaires fondateurs

AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks, et Anthropic. Premier déploiement : protection des chaînes d approvisionnement logicielles open source (Linux kernel, OpenSSL, Curl), pour lesquelles une compromission affecterait des milliards d appareils.

Le bras de fer avec la Maison Blanche

Le déploiement de Glasswing s est immédiatement heurté à un mur politique. Dario Amodei, CEO d Anthropic, a été reçu à la Maison Blanche début mai pour discuter du programme avec les conseillers IA et cybersécurité de l administration Trump.

L issue de la rencontre est ambivalente :

D un côté, l administration prépare une dérogation à la désignation "supply chain risk" d Anthropic, pour permettre aux agences fédérales (CISA, Treasury, NSA) d accéder à Mythos pour la cyber-défense nationale.

De l autre, la Maison Blanche oppose explicitement l extension de Mythos aux 70 organisations supplémentaires qu Anthropic souhaitait inclure dans Glasswing à court terme. Motif officiel : "préoccupations de sécurité et de compute".

Le paradoxe est saisissant : la Maison Blanche veut Mythos pour le gouvernement fédéral mais refuse qu Anthropic le partage avec les opérateurs d infrastructures critiques privés. C est un changement net de doctrine cyber.

Les agences fédérales déjà sur le coup

Selon plusieurs sources gouvernementales US :

CISA (Cybersecurity and Infrastructure Security Agency) teste déjà Mythos depuis avril sur les infrastructures Energy et Water sectoriels.

Treasury a manifesté son intérêt pour intégrer Glasswing afin de protéger les systèmes financiers fédéraux.

NSA et certaines agences IC auraient des accès limités à des fins évaluatives, malgré le contentieux Pentagon.

L angle européen : un dilemme

Pour les RSSI européens, l annonce crée un dilemme stratégique majeur :

Les 12 partenaires fondateurs sont tous américains ou liés à l écosystème US. Aucun acteur européen (BNP Paribas, Crédit Agricole, Orange Cyberdefense, Atos) n a été inclus dans le tour initial.

Les vulnérabilités découvertes par Mythos seront prioritairement remontées aux éditeurs américains, créant un asymétrie d information cyber potentielle entre USA et Europe.

L AI Act européen, dans sa version simplifiée du 7 mai, ne couvre pas explicitement ces capacités offensives autonomes ; un vide juridique se forme.

🇪🇺

L initiative miroir européenne

L ANSSI française et le BSI allemand ont annoncé le 9 mai des "discussions exploratoires" pour lancer un équivalent européen de Glasswing avec Mistral, Hyperview et plusieurs labos publics. Calendrier non précisé, mais l urgence est réelle : sans accès à un modèle de capacité comparable, l Europe pourrait être structurellement désavantagée en cyber-défense pendant 12 à 18 mois.

Le risque "course à l armement"

Mythos pose une question fondamentale à l industrie IA : les modèles offensifs deviennent-ils trop dangereux pour être diffusés, même à des fins défensives ?

Trois positions s affrontent :

Camp Anthropic : diffuser de manière contrôlée à des défenseurs établis, sous audit, pour rééquilibrer l asymétrie offensive/défensive.

Camp Maison Blanche : limiter encore plus, garder le modèle quasi-exclusivement entre mains gouvernementales US.

Camp Hugging Face / Open Source : un modèle de cette puissance ne devrait jamais exister dans une organisation privée sans contrôle démocratique préalable. Clément Delangue a publié un thread X très critique mardi.

Et maintenant ?

Glasswing entre en phase opérationnelle dès cette semaine. Les premiers résultats publics (vulnérabilités corrigées, durcissements appliqués) sont attendus pour septembre 2026, lors de la conférence Black Hat USA. D ici là, le débat sur la régulation des modèles "frontier" à capacités offensives va dominer l agenda cybersécurité mondial.

→Le contextePentagone : pourquoi Anthropic reste blacklisté

→ComputeAnthropic boucle 200 Md$ de TPU avec Google

Sources

Questions fréquentes

Qu est-ce qu un zero-day exactement ?: Une faille de sécurité informatique inconnue de l éditeur du logiciel. Une fois découverte par un attaquant, elle peut être exploitée immédiatement avant qu un correctif ne soit disponible. Les zero-days sur navigateurs majeurs ou systèmes d exploitation se négocient sur le marché noir entre 200 000 et 2,5 millions de dollars selon Zerodium, ce qui donne une idée de la valeur stratégique des découvertes de Mythos.
Pourquoi la Maison Blanche bloque-t-elle l extension de Mythos ?: Officiellement, l administration Trump invoque des préoccupations de sécurité et de compute. En réalité, deux logiques s entremêlent : la volonté de garder Mythos quasi-exclusivement entre mains gouvernementales fédérales US (CISA, Treasury, NSA), et la persistance du contentieux historique avec Anthropic depuis le différend Pentagone sur les armes autonomes.
Mythos peut-il être utilisé pour attaquer ?: Techniquement oui, comme tout outil de découverte de vulnérabilités. C est précisément pour cela qu Anthropic limite drastiquement l accès et impose un audit de sécurité préalable, plus une obligation de divulgation responsable sous 90 jours. Le pari : que les défenseurs équipés de Mythos rééquilibrent l asymétrie offensive avant que des attaquants étatiques ne développent l équivalent.
Quels sont les 12 partenaires fondateurs de Glasswing ?: Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Aucun acteur européen n est inclus dans le tour initial, ce qui crée une asymétrie d information cyber préoccupante pour les RSSI du Vieux Continent.
Existe-t-il un équivalent européen de Glasswing ?: Pas encore. L ANSSI française et le BSI allemand ont annoncé le 9 mai des discussions exploratoires pour lancer un équivalent avec Mistral, Hyperview et plusieurs labos publics. Mais sans modèle de capacité comparable à Mythos, l Europe pourrait être structurellement désavantagée en cyber-défense pendant 12 à 18 mois.

Source : www.anthropic.com