- ▸ Quoi : Anthropic lance Project Glasswing, preview controlee de Claude Mythos.
- ▸ Pourquoi : valider les capacites cyber offensive et defensive de Mythos.
- ▸ Chiffre cle : pricing preview a 25 dollars en entree, 125 dollars en sortie par million de tokens.
- ▸ A surveiller : rapport public anonymise prevu en juin 2026.
Points clés
- Project Glasswing est le programme à accès contrôlé d’Anthropic ouvert le 7 avril 2026 pour la preview de Claude Mythos.
- Mythos a documenté plusieurs milliers de vulnérabilités dans des systèmes d’exploitation, navigateurs et logiciels d’infrastructure.
- Les partenaires invités sont triés sur le volet : grandes banques, éditeurs de sécurité, opérateurs cloud et acteurs publics.
- Le pricing preview affiché est de 25 dollars en entrée et 125 dollars en sortie pour 1 million de tokens.
- Anthropic positionne Mythos comme un saut « step change » par rapport à Claude Opus 4.6, avec un focus cyber offensive et défensive.
Anthropic a ouvert le 7 avril 2026 Project Glasswing, un programme preview à accès contrôlé pour Claude Mythos, son nouveau modèle frontière focalisé sur la cybersécurité. Le modèle a permis à des partenaires de premier rang d’identifier plusieurs milliers de vulnérabilités dans des systèmes critiques. La grille tarifaire preview, à 25 et 125 dollars par million de tokens, reflète une tarification volontairement haut de gamme pour un usage spécialisé.
Glasswing : un programme volontairement restreint
Project Glasswing fonctionne selon un modèle d’accès par invitation, à rebours des sorties grand public. Anthropic a sélectionné une cinquantaine de partenaires sur trois critères : capacité à manipuler des données sensibles dans un cadre maîtrisé, équipes red team internes en mesure de pousser le modèle dans ses retranchements, et engagement à remonter publiquement les résultats sous embargo. Les premiers signataires confirmés couvrent les grandes banques américaines, des éditeurs de sécurité (CrowdStrike, SentinelOne), des opérateurs cloud et plusieurs agences fédérales en passe d’être réintégrées au catalogue de la GSA.
Cette sélectivité rappelle le programme Frontier Red Team d’OpenAI, mais avec une différence majeure : Glasswing publie ses résultats. Selon les premiers livrables fournis à Crypto Briefing, Mythos a localisé en quelques semaines plusieurs milliers de vulnérabilités dans du code propriétaire et open source, dont des CVE jugées critiques par les équipes hôtes. La méthodologie repose sur une boucle agentique mêlant lecture de code, exécution dans des sandboxes contrôlées et génération d’exploits de validation, le tout supervisé par les équipes humaines qui décident de la divulgation responsable.
Capacités cyber : ce qui change avec Mythos
La rupture annoncée tient en trois capacités distinctes. Première capacité : la compréhension contextuelle de codebases entières, qui permet à Mythos d’identifier des chaînes d’exploitation impliquant plusieurs fichiers et plusieurs dépendances. Là où des outils comme Semgrep ou CodeQL repèrent des patterns isolés, Mythos suit le flow de données et la logique métier, ce qui lui permet d’identifier des classes de vulnérabilités jusque-là quasi-exclusivement détectées par des humains expérimentés.
Deuxième capacité : la génération de proof-of-concept exécutables. Mythos n’identifie pas seulement la faille, il écrit le code qui la déclenche, dans un format reproductible et instrumenté pour les équipes de réponse. Troisième capacité : la priorisation par impact. Le modèle classe les vulnérabilités selon une combinaison de severity CVSS, surface d’attaque et criticité métier, ce qui aide les équipes opsec à concentrer leurs efforts. Anthropic précise que le modèle peut tourner en mode défensif (audit) ou offensif (red team), avec des contrôles d’accès stricts sur le second usage.
Le pricing premium et son rationnel
La grille tarifaire preview de 25 dollars en entrée et 125 dollars en sortie pour 1 million de tokens fait de Mythos l’un des modèles propriétaires les plus chers du marché. À titre de comparaison, Opus 4.7 reste sur sa grille à 15 et 75 dollars, et GPT-5.5 affiche 5 dollars en entrée pour 1 million de tokens. Cette tarification reflète plusieurs choix stratégiques. D’abord, la rareté volontaire : Anthropic ne cherche pas à scaler immédiatement, elle veut maîtriser l’usage le temps de stabiliser les garde-fous éthiques. Ensuite, le coût d’inférence réel, plus élevé pour des workflows agentiques de cybersécurité qui consomment des contextes larges et déclenchent des exécutions sandboxées.
Pour les acheteurs, le calcul économique se joue sur l’équivalence main-d’œuvre. Une heure d’auditeur cybersécurité senior coûte entre 200 et 400 dollars selon les marchés. Si Mythos couvre en quelques minutes une portion d’analyse qui prendrait plusieurs heures à un humain, la grille de 125 dollars/M tokens devient compétitive sur les workloads à forte densité d’expertise. Reste que la valeur perçue dépendra de la qualité des résultats sur des cas réels, et le programme Glasswing sert précisément à constituer ces preuves.
Les zones d’inconfort éthique
Un modèle capable d’identifier des vulnérabilités à l’échelle pose des questions inédites. Premier inconfort : le risque de fuite. Si une instance de Mythos venait à être détournée par un acteur malveillant, les capacités offensives deviendraient une arme à grande échelle. Anthropic a renforcé la défense par usage rotation de clés, kill-switch côté cloud et détection comportementale d’usage anormal. Deuxième inconfort : la divulgation. Que faire des milliers de CVE détectées ? Project Glasswing impose un protocole de divulgation responsable de 90 jours minimum aux éditeurs concernés, mais la coordination devient complexe quand un même modèle découvre simultanément des failles chez des dizaines de partenaires.
Troisième inconfort : la dérive scope. Plusieurs partenaires Glasswing demandent l’extension à des cas qui s’éloignent de la cybersécurité pure (audit de smart contracts, analyse d’infrastructure SCADA, supervision OT industrielle). Anthropic a publiquement maintenu un périmètre strict pour la phase preview, mais la pression commerciale pourrait pousser à élargir. La société a mis en place un comité éthique externe qui revoit chaque demande d’extension, mécanisme inspiré des comités d’éthique pharmaceutique. L’efficacité réelle de ce dispositif sera observable dans la durée.
L’impact attendu sur le marché de la cybersécurité
Project Glasswing pourrait restructurer durablement plusieurs segments du marché cyber. Premier segment concerné : les prestataires de pentest et de red team manuels. Un consultant senior facture entre 1 500 et 3 000 dollars la journée, et un audit complet d’application sensible peut représenter une mission de plusieurs mois. Mythos, capable de traiter une partie significative de cette charge en quelques heures pour quelques milliers de dollars d’inférence, déplacera la valeur ajoutée des consultants vers la définition de la mission, l’analyse stratégique des résultats et l’accompagnement des équipes de remediation. Les cabinets qui n’opèrent pas cette transition risquent de voir leurs marges se contracter dans les 18 prochains mois.
Deuxième segment : les éditeurs de bug bounty. Plateformes comme HackerOne, Bugcrowd et Intigriti rémunèrent les chercheurs externes selon la criticité des vulnérabilités identifiées. Si Mythos détecte massivement des failles avant que les chasseurs externes n’aient le temps de s’y attaquer, l’incitation économique des programmes pourrait se déplacer vers des vulnérabilités exotiques que le modèle ne capte pas encore. Plusieurs plateformes étudient déjà l’introduction de tiers de récompense différenciés selon la complexité, et l’intégration potentielle de modèles type Mythos comme premier filtre sur les soumissions.
Troisième segment : les éditeurs SAST/DAST traditionnels (Veracode, Checkmarx, Snyk). Leurs solutions risquent d’être positionnées comme des couches de scanning continu peu coûteuses, complémentaires aux audits Mythos plutôt que concurrentes. Plusieurs d’entre eux ont déjà annoncé des partenariats d’intégration avec Anthropic pour exposer leurs résultats à Mythos en contexte enrichi, transformant le scan continu en filet de détection préliminaire avec analyse approfondie sélective. Ce repositionnement pourrait préserver leurs revenus, mais à condition d’accélérer une mutation produit qui touche le cœur de leur proposition de valeur. Plusieurs analystes tablent sur une consolidation accélérée du secteur dans les 24 prochains mois, avec des fusions visant à associer une couverture continue large et une capacité d’analyse profonde via partenariat IA.
FAQ
Comment rejoindre Project Glasswing en tant qu’organisation ?
L’accès passe par une candidature directe auprès d’Anthropic, avec validation par le comité Glasswing. Les critères publiés exigent : équipe sécurité interne dédiée, processus formel de divulgation responsable, capacité à tourner Mythos sur infrastructure isolée et engagement à fournir des retours mensuels. Les startups sans historique cyber sont systématiquement écartées. Les agences fédérales américaines disposent d’une voie d’accès parallèle pilotée par l’OMB, distincte de Glasswing mais qui s’appuie sur ses retours. La candidature ne garantit pas l’admission, et Anthropic plafonne le nombre de partenaires actifs simultanés.
Mythos remplace-t-il les outils SAST/DAST traditionnels ?
Pas dans l’immédiat. Les outils statiques (SAST) et dynamiques (DAST) traditionnels conservent un rôle de filet de sécurité haut volume avec une faible latence, ce que Mythos ne peut pas offrir au pricing actuel. La complémentarité passe par un découpage : SAST/DAST pour les analyses systématiques continues, Mythos pour des audits ciblés sur du code critique ou pour la chasse à des vulnérabilités complexes échappant aux signatures. À terme, l’industrie devrait converger vers des plateformes hybrides combinant les deux approches, avec Mythos en moteur d’analyse approfondie déclenché par les alertes des outils traditionnels.
Comment les RSSI peuvent-ils anticiper l’impact Mythos sur leurs équipes ?
Trois actions structurent une préparation efficace. Premièrement, lancer un audit de gap formation : identifier les compétences que les équipes possèdent et celles qu’elles devront acquérir pour piloter un partenaire Mythos ou intégrer ses outputs. Deuxièmement, ouvrir un dialogue avec les éditeurs SAST/DAST existants pour comprendre leur roadmap d’intégration IA et négocier les tarifs. Troisièmement, prioriser les actifs critiques pour un audit Mythos pilote, en commençant par des périmètres à forte valeur (paiements, identité, données médicales) où la profondeur d’analyse justifie le coût d’inférence. Cette préparation peut être engagée même sans accès direct à Glasswing, en s’appuyant sur des partenaires intégrateurs déjà admis au programme.
À suivre
Anthropic doit publier en juin un premier rapport public sur les vulnérabilités détectées, anonymisé pour préserver les partenaires Glasswing. Pour comprendre l’enjeu marché, lisez notre dossier Claude Opus 4.7 et notre analyse Microsoft Foundry Agent Service en production.
