Mythos découvre 10 000 vulnérabilités critiques en un mois, mais seulement 75 sont corrigées

10 000 contre 75.

Ce sont les deux chiffres les plus frappants du rapport du premier mois de Project Glasswing, publié par Anthropic vendredi (22 mai). Au cours du mois écoulé, Claude Mythos Preview, travaillant avec 50 organisations partenaires, a découvert plus de 10 000 vulnérabilités logicielles de niveau élevé et critique – mais seulement 75 ont réellement été corrigées.

Le problème clé n'est pas 'combien ont été trouvées', mais 'combien ont été corrigées'.

En chiffres

Anthropic elle-même a scanné plus de 1 000 projets open source avec Mythos, identifiant 23 019 vulnérabilités, dont 6 202 de niveau élevé ou critique. Cloudflare a également effectué son propre scan et a trouvé plus de 2 000 vulnérabilités, dont 400 de niveau élevé. Mozilla a corrigé 271 vulnérabilités dans une seule version de Firefox 150 – plus de 10 fois le nombre corrigé dans Firefox 148.

Les 50 organisations partenaires comprennent 12 noms bien connus du premier cercle : AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorgan, Linux Foundation, Microsoft, Nvidia et Palo Alto Networks. Plus de 40 participants de second cercle soutiennent également des infrastructures critiques.

Ensemble, ces chiffres représentent la surface d'attaque réelle qui a été systématiquement scannée par l'IA moderne au cours du mois écoulé.

  • Plus de 1 000 projets open source scannés par Anthropic
  • 23 019 vulnérabilités totales trouvées dans le code open source
  • 6 202 d'entre elles de niveau élevé/critique
  • 2 000 vulnérabilités trouvées par Cloudflare dans ses propres systèmes
  • 271 vulnérabilités corrigées dans une seule version de Firefox 150
  • 530 vulnérabilités de niveau élevé et critique signalées officiellement par Anthropic aux mainteneurs
  • 75 réellement corrigées

Le goulot d'étranglement des correctifs

Anthropic elle-même le reconnaît. Le billet de blog déclare :

« Les progrès en matière de sécurité logicielle étaient autrefois limités par la rapidité avec laquelle nous pouvions trouver de nouvelles vulnérabilités. Aujourd'hui, ils sont limités par la rapidité avec laquelle nous pouvons vérifier, divulguer et corriger. »

En termes simples : avant, nous ne pouvions pas les trouver ; maintenant, nous ne pouvons pas les corriger assez vite.

Anthropic a signalé officiellement 530 vulnérabilités de niveau élevé et critique aux mainteneurs. Au moment du rapport du premier mois, seulement 75 avaient été corrigées et seulement 65 avaient un avis de sécurité public. L'entonnoir se rétrécit à chaque étape : 530 → 75 → 65.

Plus embarrassant encore, certains mainteneurs ont déjà demandé à Anthropic de ralentir les signalements – « n'en envoyez pas trop d'un coup. » Les projets open source de petite et moyenne taille n'ont tout simplement pas le personnel pour vérifier, corriger, tester et régresser chaque vulnérabilité.

Une course contre la montre

Le vice-président de Microsoft, Igor Tsyganskiy, a fait un commentaire cinglant dans les remarques des partenaires :

« Ce qui prenait autrefois des mois se produit maintenant en quelques minutes. »

La fenêtre entre la découverte d'une vulnérabilité et son exploitation est passée de mois à minutes. C'est pourquoi le nombre 75 fait froid dans le dos. Si des capacités comme Mythos tombent bientôt entre les mains des attaquants – ce qui n'est qu'une question de temps – le calendrier devient :

  • Trouver des vulnérabilités : minutes, avec scan automatisé par IA
  • Écrire du code d'exploitation : minutes, avec IA générant du code de preuve de concept
  • Notifier les mainteneurs : jours
  • Corriger les vulnérabilités : semaines, mois, voire plus

Le CTO de Palo Alto Networks, Lee Klarich, a été direct :

« Mythos Preview change la donne. »

Mais sa phrase suivante est encore plus révélatrice : « Les attaquants pourront bientôt trouver des vulnérabilités plus rapidement que jamais. »

Où va l'argent

Anthropic a investi dans Project Glasswing comme suit :

  • 100 millions de dollars : crédits d'utilisation du modèle pour les organisations partenaires
  • 2,5 millions de dollars : à Alpha-Omega et OpenSSF (via la Linux Foundation)
  • 1,5 million de dollars : à l'Apache Software Foundation

Le message est clair : l'utilisation du modèle est gratuite, mais les mainteneurs open source ont besoin de financement. 100 millions de dollars semblent beaucoup, mais répartis entre 50 partenaires, cela fait 2 millions chacun – et la charge de travail générée par les vulnérabilités découvertes dépasse de loin ce que le côté open source peut supporter.

Jim Zemlin, de la Linux Foundation, a décrit Project Glasswing comme fournissant aux mainteneurs open source « une voie crédible » – la voie est donnée, mais ils doivent encore la parcourir eux-mêmes.

Ce que cela signifie

À court terme, du second semestre de cette année à l'année prochaine, le nombre de correctifs des grandes entreprises continuera d'augmenter. Microsoft a déjà déclaré que « les packs de correctifs continueront de croître. » Oracle accélère également les publications de correctifs, plusieurs fois plus vite qu'avant. Firefox 150 a corrigé 271 vulnérabilités ; Firefox 151 en corrigera probablement encore plus.

À moyen terme, le problème de l'épuisement des mainteneurs dans l'écosystème open source sera mis en avant. Un paquet npm maintenu par un bénévole qui publiait auparavant un correctif par an pourrait désormais recevoir 30 rapports de Mythos. Ils ne peuvent pas tous les corriger. Décider lesquels corriger en premier, lesquels ensuite et lesquels ignorer deviendra un nouveau problème politique.

À long terme, Project Glasswing révèle une vérité plus profonde : l'IA a réduit le coût de la découverte à l'os, mais le coût de la correction – les frais généraux d'ingénierie et d'organisation – ne diminuera pas automatiquement à mesure que les modèles s'améliorent. La prochaine décennie de cybersécurité ne portera pas sur l'IA de qui peut trouver le plus de vulnérabilités, mais sur l'équipe d'ingénierie de qui peut transformer le plus de vulnérabilités 'à faire' en 'corrigées'.

10 000 contre 75. Ce ratio est la question d'examen pour la prochaine phase.

Sources : Project Glasswing: An Initial Update (Anthropic Research) ; Anthropic finds over 10,000 software flaws in first month of Project Glasswing (Interesting Engineering) ; Anthropic's Glasswing — 10,000 Vulnerabilities Found in One Month, and the Patching Problem Has Never Been More Obvious (Security Affairs) ; CocoLoop