En avril 2026, Anthropic a annoncé Project Glasswing : une initiative qui mobilise Claude Mythos Preview — leur nouveau modèle de pointe — pour identifier et corriger des vulnérabilités dans les logiciels critiques. Les partenaires sont remarquables par leur diversité : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan Chase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks. Une coalition qu'on voyait rarement réunie pour autre chose qu'un congrès. Voici ce que ça signifie pour les éditeurs et RSSI européens.
Ce qu'est concrètement Project Glasswing
Le projet repose sur trois piliers :
- Mythos Preview est mis à disposition d'un cercle restreint de partenaires industriels et de mainteneurs open source critiques.
- Ces partenaires utilisent le modèle pour scanner leur code, leurs dépendances, leurs primitives cryptographiques. Mythos Preview reproduit des vulnérabilités existantes et en découvre de nouvelles avec un taux de succès supérieur à 80% sur le premier essai.
- Les correctifs identifiés sont remontés et déployés avant que des modèles équivalents ne soient disponibles publiquement — y compris à des acteurs hostiles.
C'est explicitement une stratégie de fenêtre temporelle : faire fixer les bugs critiques pendant que la capacité offensive de l'IA reste asymétrique entre défenseurs et attaquants. Anthropic n'a pas rendu Mythos Preview généralement disponible précisément à cause de sa puissance offensive.
Pourquoi cette coalition a du sens stratégiquement
Les acteurs réunis couvrent l'intégralité de la pile logicielle moderne :
- Cloud : AWS, Google, Microsoft.
- Hardware/silicon : Apple, Broadcom, NVIDIA.
- Réseau et sécurité : Cisco, Palo Alto Networks, CrowdStrike.
- Finance : JPMorgan Chase (testeur côté client critique).
- Open source : Linux Foundation (couvre Linux, Kubernetes, et des centaines de projets de fondation).
Si une vulnérabilité fondamentale existe dans cette pile — disons un défaut crypto ou une race condition dans un kernel — il est probable que la combinaison de ces acteurs puisse la trouver et la patcher avant un acteur hostile équivalent. C'est la première fois qu'une coalition industrielle est constituée sur cette logique de "course à la fenêtre".
Lecture pour les éditeurs SaaS européens
Project Glasswing n'inclut pas (encore) de partenaire européen majeur. Pour un éditeur français, espagnol ou allemand, deux conséquences immédiates :
1. Vos dépendances vont être plus saines
Linux, kernel, OpenSSL, kubernetes, le runtime Node, les libs Python critiques — toute la longue traîne d'open source que vous embarquez va recevoir des correctifs. C'est un bonus pur. Mais cela exige une discipline : appliquer ces correctifs dès qu'ils sortent. Voir DevSecOps en CI/CD : quality gates pour le SCA automatisé.
2. Vos compétiteurs hors UE seront patchés avant vous
Si vous opérez dans le même cloud qu'un partenaire Glasswing (AWS, Azure, GCP), votre infrastructure sous-jacente sera patchée. Mais votre code applicatif ne sera analysé par aucun Mythos. Vos compétiteurs américains qui auraient un accès privilégié à un modèle de cette catégorie en bénéficieraient pour leur propre code — pas vous.
Ce n'est pas un déficit théorique. Mythos Preview a identifié des milliers de zero-days dans tous les OS et navigateurs majeurs en quelques mois. Le delta de qualité de code va devenir mesurable.
Lecture pour les RSSI
Court terme : adapter le threat model
Si Anthropic dispose en interne d'une capacité de découverte de vulnérabilités à 83% de succès au premier essai, on peut faire l'hypothèse qu'au moins un acteur étatique a une capacité comparable d'ici 12 à 18 mois. Cela change deux choses :
- Le MTTR (Mean Time To Respond) sur les vulnérabilités critiques doit baisser : 7 jours en prod n'est plus un objectif suffisant pour les systèmes exposés. Vise plutôt 24-72h sur les High exploitables.
- Les patterns de défense en profondeur (segmentation, principe du moindre privilège, immutability) deviennent plus importants que jamais — parce que la prévention parfaite n'est plus atteignable.
Moyen terme : se positionner sur les outils défensifs IA
Plusieurs partenaires Glasswing sont des éditeurs de sécurité (Palo Alto, CrowdStrike, Cisco). Leur capacité de détection va probablement intégrer rapidement des modules basés sur Mythos ou équivalent. Si vous renouvelez votre stack EDR/XDR/SOAR en 2026-2027, intégrez ce critère dans l'évaluation : qui a accès à quels modèles de défense automatisée.
La question politique : qui définit les "logiciels critiques" ?
Project Glasswing est explicitement positionné autour de la "critical infrastructure". Les choix de coalition reflètent une vision américaine de cette criticité : cloud hyperscalers, hardware silicon, réseau enterprise, banque systémique. Les enjeux européens spécifiques — souveraineté numérique, données de santé, infrastructure énergétique — ne sont pas adressés directement.
Pour les éditeurs européens, l'opportunité est de pousser une initiative équivalente à l'échelle UE, soit via l'ANSSI/ENISA, soit via une fondation industrielle. Sans cela, le delta de sécurité défensive entre acteurs ayant accès à Glasswing et les autres deviendra un facteur structurel de compétitivité.
Conclusion
Project Glasswing est, à mon avis, une des annonces les plus importantes de 2026 sur le plan de la cybersécurité. Pas tant pour ce que fait Mythos Preview techniquement — voir Claude Mythos : 83% de zero-days reproduits pour le détail — que pour ce qu'elle dit du basculement en cours : la sécurité offensive et défensive est désormais une affaire de qui a accès aux meilleurs modèles d'IA, et l'Europe n'est pas dans la salle pour l'instant.
Pour les fondamentaux de l'usage de Claude en entreprise et les guardrails à mettre, voir Claude (Anthropic) en entreprise.
