Anthropic PBC développe un programme qui permet aux organisations de tester leurs défenses de cybersécurité à l'aide de son modèle Claude Mythos Preview.
L'initiative, connue sous le nom de Projet Glasswing, a été lancée plus tôt cette année avec environ 50 participants. Le groupe comprenait Microsoft Corp., Nvidia Corp., Google LLC et d'éminentes entreprises technologiques. Anthropic a annoncé aujourd'hui avoir ouvert l'accès à 150 organisations supplémentaires.
La société affirme que parmi les nouveaux participants figurent des entreprises des secteurs de l'électricité, de l'eau, de la santé et des communications. Le Financial Times a rapporté que l'OTAN et l'agence de cybersécurité ENISA de l'Union européenne ont également eu accès.
Anthropic limite la disponibilité de Claude Mythos Preview, craignant qu'il ne soit utilisé à mauvais escient par des pirates informatiques. Cependant, certains observateurs du secteur affirment que le déploiement progressif du modèle n'atténue pas totalement les risques de cybersécurité.
« Le déploiement contrôlé de l'IA de pointe est le bon réflexe. Mais l'opacité n'est pas une stratégie de sécurité », a déclaré Justin Beals, fondateur et directeur général de la start-up de cybersécurité Strike Graph Inc. « À mesure que ces outils deviennent plus performants, les organisations autorisées à les utiliser deviennent des cibles de grande valeur. L'accès sans validation continue de la conformité n'est qu'une version plus lente du même risque. Quelle que soit la personne qui y accède, la norme devrait être la transparence vérifiable, et non les reçus. »
L'une des raisons derrière l'approche prudente d'Anthropic est que Claude Mythos Preview peut non seulement détecter les vulnérabilités des logiciels, mais également trouver des moyens de les exploiter. Dans certains cas, il peut enchaîner plusieurs vulnérabilités. Les grands modèles de langage disponibles dans le commerce peinent à accomplir cette tâche.
Le mois dernier, Anthropic a révélé que les participants au projet Glasswing avaient découvert plus de 23 000 vulnérabilités. Claude Mythos Preview a évalué plus d'un quart de ces défauts comme étant très graves ou critiques. Anthropic a analysé manuellement 1 752 des failles qui reçoivent ces destinations et a déterminé que 90,6 % d'entre elles sont effectivement admissibles.
Selon la société, les participants au projet Glasswing utilisent Claude Mythos Preview non seulement pour rechercher des vulnérabilités, mais également pour les corriger. Le modèle s’est révélé apte à rédiger des correctifs de cybersécurité. En outre, certains des premiers utilisateurs l'utilisent pour analyser le nouveau code à la recherche de points faibles avant de le déployer en production.
Les leçons qu’Anthropic a tirées du projet Glasswing ont éclairé le développement d’un outil qu’il décrit comme un outil de création de modèles de menace. Selon l'entreprise, cela aide les LLM à prioriser les parties vulnérables d'une base de code lors de l'exécution d'analyses de cybersécurité. Le mois dernier, Anthropic a commencé à donner à certains clients de Claude l'accès au générateur de modèles de menace ainsi qu'à certaines autres ressources techniques développées dans le cadre du projet Glasswing.
À l'avenir, l'entreprise prévoit une augmentation significative du nombre de participants au programme de cybersécurité. Il fera appel à des organisations des États-Unis et de l’étranger. Le projet Glasswing compte déjà des participants de plus d'une douzaine de pays.
Par ailleurs, Anthropic intensifiera ses efforts pour utiliser Claude Mythos Preview pour corriger les vulnérabilités des projets open source. La société prévoit de partager les meilleures pratiques en matière de partage des vulnérabilités avec les responsables de projets open source. À plus long terme, Anthropic a l'intention de développer des normes industrielles et d'autres ressources techniques conçues pour répondre aux risques de cybersécurité posés par les LLM avancés.
Les modèles d'OpenAI Group PBC se révèlent également de plus en plus aptes à détecter les vulnérabilités. Le mois dernier, la société a présenté une version de GPT-5.5 spécialement optimisée pour la recherche sur la cybersécurité.
