Project Glasswing est l’initiative lancée par Anthropic le 7 avril 2026 pour sécuriser les logiciels critiques à l’aide de son modèle le plus puissant, Claude Mythos. L’idée tient en une phrase : confier aux défenseurs une IA capable de repérer des failles avant que les attaquants ne s’en emparent. Le programme réunit une douzaine de grands acteurs technologiques, des mainteneurs open source et le gouvernement américain.
Derrière le nom poétique se cache un constat brutal d’Anthropic : l’IA sait désormais découvrir et exploiter des vulnérabilités mieux que la quasi-totalité des experts humains. Voici comment fonctionne ce programme et où il se situe face à la concurrence.
Qu’est-ce que Project Glasswing ?
Project Glasswing est une initiative de cyberdéfense qui met le modèle Claude Mythos Preview entre les mains d’organisations chargées des infrastructures critiques. Les partenaires l’utilisent pour scanner leur code et corriger des failles, pendant qu’Anthropic partage les enseignements avec l’ensemble du secteur.
Le nom renvoie au papillon de verre Greta oto, dont les ailes transparentes servent de double métaphore. Elles évoquent les failles cachées « à la vue de tous », mais aussi la transparence qu’Anthropic dit vouloir adopter dans sa démarche.
Le modèle au cœur du programme, Claude Mythos, n’est pas accessible au public. Sa version grand public porte le nom de Claude Fable 5, sujet que nous détaillons dans notre article dédié à Claude Fable 5.
Pourquoi Anthropic a lancé Project Glasswing
Anthropic a lancé Project Glasswing parce que Claude Mythos a franchi un seuil de capacité jugé risqué. Le modèle repère des failles que des décennies de relecture humaine et des millions de tests automatisés avaient laissé passer. Ces compétences profitent aux défenseurs, mais pourraient aussi servir des attaquants.
L’entreprise estime que de telles capacités vont se diffuser largement dans les six à douze prochains mois. Plusieurs concurrents pourraient alors proposer des modèles équivalents, parfois sans garde-fous. Le coût mondial de la cybercriminalité, déjà estimé autour de 500 milliards de dollars par an, risquerait d’exploser.
Project Glasswing vise donc à donner une avance durable aux défenseurs. Anthropic engage jusqu’à 100 millions de dollars en crédits d’usage du modèle et plusieurs millions en dons à des organisations de sécurité open source.
Qui sont les partenaires de Project Glasswing ?
Project Glasswing rassemble douze partenaires fondateurs : Amazon Web Services, Anthropic, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. À ces noms s’ajoutent plus de 40 organisations qui construisent ou maintiennent des infrastructures critiques.
Le périmètre s’est ensuite élargi à environ 150 nouvelles organisations réparties dans plus de 15 pays. Chacune doit satisfaire aux exigences de sécurité d’Anthropic avant d’obtenir l’accès au modèle.
Les mainteneurs de logiciels open source ne sont pas oubliés. Anthropic a versé 2,5 millions de dollars à Alpha-Omega et à l’OpenSSF via la Linux Foundation, et 1,5 million à l’Apache Software Foundation pour les aider à s’adapter.
Quels résultats pour Project Glasswing ?
Project Glasswing affiche déjà des résultats concrets. Selon Anthropic, Claude Mythos Preview a identifié des milliers de vulnérabilités zero-day, dont des failles critiques, dans tous les grands systèmes d’exploitation et navigateurs web. Les partenaires ont, eux, repéré plus de 10 000 failles de sévérité haute ou critique.
Trois exemples illustrent cette portée. Le modèle a trouvé une faille vieille de 27 ans dans OpenBSD, une autre vieille de 16 ans dans FFmpeg passée sous les radars de cinq millions de tests automatisés, et il a enchaîné plusieurs vulnérabilités du noyau Linux pour prendre le contrôle complet d’une machine.
Ces failles ont été signalées aux mainteneurs concernés, puis corrigées. Sur le banc d’essai CyberGym, Mythos Preview atteignait 83,1 %, contre 66,6 % pour le modèle Opus 4.6, ce qui mesure l’écart de capacité. Pour comprendre le modèle lui-même, vous pouvez lire notre article sur Claude Mythos.
Project Glasswing face à la concurrence
Project Glasswing n’est pas seul sur le terrain de la sécurité assistée par IA. Google et OpenAI ont lancé leurs propres agents dès l’automne 2025, mais selon une approche différente : des outils intégrés plutôt qu’un consortium adossé à un modèle non diffusé.
Google avec Big Sleep et CodeMender
Google mise sur deux projets distincts. Big Sleep, développé par DeepMind et Project Zero, cherche des vulnérabilités de façon autonome et en a déjà trouvé plusieurs dizaines dans des logiciels open source. CodeMender, plus récent, va plus loin en réécrivant le code vulnérable pour supprimer des familles entières de failles.
CodeMender avait soumis 72 correctifs à des projets open source lors de sa présentation, sur des bases dépassant 4,5 millions de lignes. L’approche reste centrée sur les modèles Gemini et sur l’intégration directe aux dépôts de code.
OpenAI avec Aardvark
OpenAI propose Aardvark, un agent fondé sur GPT-5 qui analyse les commits, valide les failles dans un bac à sable, puis génère des correctifs. L’éditeur le décrit comme un chercheur en sécurité « défense d’abord », censé accompagner les équipes en continu à mesure que le code évolue.
D’autres acteurs plus petits, comme XBOW, ZeroPath ou RunSybil, occupent aussi ce créneau. La différence de Project Glasswing tient moins au modèle qu’au format : un consortium large, une dotation financière conséquente et une coordination avec les pouvoirs publics.
Quelles suites pour Project Glasswing ?
Project Glasswing se présente comme un point de départ, pas un aboutissement. Anthropic prévoit de publier régulièrement ses enseignements, ainsi que les failles corrigées qui peuvent être divulguées, et travaille à un ensemble de recommandations pour faire évoluer les pratiques de sécurité.
Ces recommandations pourraient toucher la divulgation des vulnérabilités, les mises à jour logicielles, la sécurité de la chaîne d’approvisionnement et l’automatisation des correctifs. À moyen terme, Anthropic évoque la création d’un organisme tiers indépendant pour piloter ce type de projets.
Le détail complet du programme, des partenaires et des chiffres figure sur la page officielle de Project Glasswing.
Questions fréquentes
Project Glasswing est une initiative d’Anthropic lancée le 7 avril 2026 pour sécuriser les logiciels critiques. Elle donne à des défenseurs vérifiés l’accès au modèle Claude Mythos afin de repérer et corriger des failles avant les attaquants.
Les partenaires fondateurs incluent Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, la Linux Foundation, Microsoft, NVIDIA et Palo Alto Networks. Le programme s’est élargi à environ 150 organisations dans plus de 15 pays.
Google propose Big Sleep et CodeMender, fondés sur Gemini, tandis qu’OpenAI a lancé Aardvark sur GPT-5. Des acteurs plus petits comme XBOW, ZeroPath ou RunSybil occupent aussi ce créneau de la sécurité assistée par IA.
Claude Mythos Preview a identifié des milliers de vulnérabilités zero-day dans tous les grands systèmes d’exploitation et navigateurs. Les partenaires ont repéré plus de 10 000 failles de sévérité haute ou critique, toutes signalées aux mainteneurs concernés.
