Sécurité
    7 min

    Project Glasswing : 10 000 failles trouvées en 1 mois — la sécurité du vibe coding devient un marché

    Project Glasswing : 10 000 failles trouvées en 1 mois — la sécurité du vibe coding devient un marché

    25 mai 2026 · 8 min de lecture · Veille IA & Vibe Coding

    Le 22 mai 2026, Anthropic a publié le premier bilan chiffré de Project Glasswing: plus de 10 000 vulnérabilités critiques identifiées en un mois par Claude Mythos. Le même mois, Claude Security entre en bêta publique avec 2 100 patchs déjà déployés. Pour une PME française qui a mis du Lovable, du Bolt ou du Replit en production, la fenêtre d'action se referme. Voici pourquoi — et comment réagir avant l'AI Act du 2 août.

    En résumé (TL;DR)

    • Project Glasswing (Anthropic) a identifié 10 000+ vulnérabilités high/critical en un mois via Claude Mythos Preview, modèle non public utilisé par 50 partenaires (Cloudflare, Mozilla, gouvernements alliés).

    • Claude Security entre en bêta publique pour Claude Enterprise — déjà 2 100 vulnérabilités patchées en 3 semaines

    Ce qu'Anthropic vient de prouver le 22 mai

    Project Glasswing a été lancé en avril 2026 sans grand bruit. Le principe: donner à un cercle fermé d'environ 50 partenaires un accès anticipé à Claude Mythos Preview, un modèle frontier qu'Anthropic ne libère pas au public faute de safeguards suffisants. Mission: trouver, en mode défensif, les failles critiques dans les briques logicielles qui font tourner Internet — navigateurs, CDN, OS, bibliothèques open source.

    Le bilan publié le 22 mai 2026 dépasse tous les pronostics raisonnables:

    La phrase clé du rapport d'Anthropic n'est pas le chiffre. C'est ceci: « le goulot d'étranglement n'est plus la détection, mais la coordination humaine pour vérifier, divulguer et patcher ». Premier signal mesurable que l'IA défensive a basculé d'un avantage théorique à un avantage opérationnel sur l'offensive.

    Claude Security : Anthropic monétise immédiatement

    Anthropic n'attend pas la sortie publique de Mythos pour transformer la dynamique en chiffre d'affaires. Claude Security est entré en bêta publique cette semaine pour les clients Claude Enterprise. Le produit utilise Claude Opus 4.7 pour scanner un repository complet, identifier les vulnérabilités, et générer des patchs prêts à reviewer.

    • 2 100+ vulnérabilités patchées

    • 2 100+ vulnérabilités patchées en 3 semaines de bêta.

    Ce qui se passe vraiment dans le vibe coding

    Pendant que les modèles frontier optimisent la sécurité défensive à l'échelle de Cloudflare, l'autre extrémité du marché — le vibe coding pour non-développeurs — produit massivement de la dette technique non auditée. Les chiffres consolidés à fin mai 2026:

    • 63 % des utilisateurs d'outils vibe coding (Lovable, Bolt, Cursor, Replit, v0) n'ont aucun background dev (TechTimes, 24 mai 2026).

    • 2 000+ vulnérabilités identifiées sur 5 600 applications vibe-coded scannées par le Vibe Security Radar de Georgia Tech.

    AI Act du 2 août 2026 : ce qui s'applique à votre PME

    Le compte à rebours est lancé. Le 2 août 2026, la majorité des règles de l'AI Act entrent en application, dont l' Article 50 sur les obligations de transparence. À J-69 de la deadline (au 25 mai), voici ce qu'une PME française qui utilise une IA générative — y compris via une app vibe-coded — doit avoir traité:

    • Déclaration utilisateur: informer chaque utilisateur final qu'il interagit avec un système d'IA (chatbot, agent, copilote).

    Plan d'action 30 jours pour une PME française

    Si vous dirigez une PME ou une ETI et que vous avez (a) une app Lovable/Bolt/Replit en production ou (b) un copilote interne basé sur ChatGPT, Claude ou Mistral, voici la séquence opérationnelle à boucler avant le 30 juin 2026.

    Semaine 1 — Diagnostic

    • Recensement exhaustif des apps vibe-coded et copilotes IA déployés. Inclure les déploiements "shadow" (tests internes, prototypes commerciaux, démos client).

    • Scan secrets sur les repos avec gitleaks

    • Scan secrets sur les repos avec gitleaks ou trufflehog

    • Scan secrets sur les repos avec gitleaks ou trufflehog. Inclure l'historique git complet, pas seulement le HEAD.

    • Identification des applications en contact avec des données personnelles (RGPD) ou des données sensibles (santé, financier, mineurs).

    Semaine 2 — Audit ciblé

    • Revue OWASP Top 10 sur les 3 patterns dominants du vibe coding: broken access control, missing authentication, hardcoded credentials.

    • Cartographie des flux de données pour les apps à risque AI Act / RGPD.

    • Test des dépendances avec npm audit

    • Test des dépendances avec npm audit, pip-audit

    • Test des dépendances avec npm audit, pip-audit ou équivalent — les éditeurs vibe coding ne mettent pas systématiquement à jour les libs vulnérables.

    Questions fréquentes

    Qu'est-ce que Project Glasswing d'Anthropic ?+

    Une initiative défensive de cybersécurité lancée en avril 2026. Environ 50 partenaires (Cloudflare, Mozilla, gouvernements US et alliés) accèdent à Claude Mythos Preview, un modèle frontier non public, pour identifier automatiquement les vulnérabilités critiques dans les logiciels d'infrastructure les plus utilisés au monde. Bilan publié le 22 mai 2026 : 10 000+ vulnérabilités high ou critical en un mois.

    Combien de vulnérabilités Project Glasswing a-t-il trouvées ?+

    Plus de 10 000 high ou critical en un mois. Cloudflare a rapporté 2 000 bugs dont 400 critiques. Mozilla a corrigé 271 failles dans Firefox 150, soit dix fois plus qu'avec un modèle Claude antérieur. 6 202 failles touchent plus de 1 000 projets open source.

    Le vibe coding est-il dangereux pour une PME ?+

    Pas en soi. Le risque vient de l'absence d'audit. Selon Georgia Tech, 2 000+ vulnérabilités ont été identifiées sur 5 600 apps vibe-coded scannées, avec 400+ secrets API exposés. 63 % des utilisateurs d'outils vibe coding n'ont aucun background dev. Une app Lovable, Bolt ou Replit mise en production sans audit secret, authentification et access control est exposée.

    Quelle deadline AI Act concerne le vibe coding ?+

    Le 2 août 2026. L'Article 50 (obligations de transparence) entre en application. Toute entreprise utilisant une IA générative doit informer l'utilisateur final qu'il interagit avec une IA, marquer machine-readable les contenus générés, et documenter ses cas d'usage. Cela concerne aussi les apps vibe-coded qui embarquent un LLM. Guidelines finales attendues en juin 2026.

    Comment auditer une app Lovable ou Bolt avant le 2 août 2026 ?+

    Trois étapes minimum : scan secrets exposés (gitleaks, trufflehog) sur le repo et l'historique git ; revue OWASP Top 10 ciblée sur broken access control, missing authentication et hardcoded credentials ; cartographie des flux de données pour conformité Article 50 et RGPD. Audit express bouclé en 5 à 8 jours pour une app PME. Vibeia propose ce service entre 3 500 et 6 500 € par application.

    Quelle alternative à Claude Code en 2026 ?+

    Cursor Composer 2.5, sorti le 18 mai 2026, atteint 79,8 % sur SWE-Bench Multilingual au niveau d'Opus 4.7 et GPT-5.5, à environ 10 fois moins cher (0,50 $/M input, 2,50 $/M output). Antigravity 2.0 de Google + Gemini 3.5 Flash est l'autre alternative crédible. Pour une PME, mettre en place une couche d'abstraction (LiteLLM, Portkey) permet de switcher sans réécrire le code.

    Tags
    Project GlasswingClaude MythosSécuritéVibe codingAnthropicPME FranceAudit

    Articles & services associés

    Service : IA en entreprise →Service : Vibe Coding sécurisé →Méthode VibeAI →Étude de cas →

    Besoin d'accompagnement IA ?

    Discutons de votre projet. Premier diagnostic offert.

    Initier un projet

    Cookies & vie privée

    Nous utilisons des cookies pour analyser le trafic et améliorer votre expérience. Consultez notre politique de confidentialité.