Tu utilises Chrome, Windows, macOS ou iOS tous les jours. Quelque part en coulisses, des équipes de sécurité traquent les vulnérabilités dans le code auquel tu confies tes données. Depuis cette semaine, onze de ces équipes passent par une seule startup d'IA pour mener leur chasse.
Le 7 avril, Anthropic a lancé Project Glasswing — en confiant son modèle non commercialisé Claude Mythos Preview à onze organisations : Apple, Microsoft, Google, AWS, Nvidia, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks et la Linux Foundation. Les conditions : 100 millions de dollars en crédits d'utilisation gratuits, un accès sur invitation uniquement, et un modèle qu'Anthropic ne vendra jamais au public. On a déjà couvert ce dont Mythos est capable — des milliers de vulnérabilités zero-day, des chaînes d'exploit qui prenaient des semaines à des équipes humaines compressées en quelques heures pour moins de 2 000 $ de calcul. La question n'est plus la capacité. C'est la dépendance.
Onze organisations dépendent du modèle non commercialisé d'une startup pour auditer du code qu'elles ont elles-mêmes écrit. Anthropic voit les vulnérabilités de tout le monde. Personne d'autre n'a l'outil. Les 100 M$ de crédits gratuits, ce n'est pas de la charité — c'est la première dose. Le tarif post-preview est fixé à 25 $/125 $ par million de tokens en entrée/sortie (les tokens sont les morceaux de mots que l'IA traite — environ ¾ d'un mot anglais). Une fois le cadeau épuisé, chaque partenaire fait face à un choix : payer le tarif d'Anthropic, ou perdre le seul modèle qui surpasse leurs propres red teams de plusieurs ordres de grandeur.
C'est de l'économie de plateforme classique déguisée en blouse de labo. Le modèle trouve tes bugs. Le modèle connaît tes bugs. Et une seule entreprise contrôle le modèle.
Maintenant, le timing. Un jour après le lancement de Glasswing, le 8 avril, une cour d'appel fédérale de Washington a rejeté la demande de sursis d'urgence d'Anthropic contre la désignation de risque pour la chaîne d'approvisionnement du Pentagone — un label que le Pentagone réserve historiquement aux adversaires étrangers comme Huawei, désormais collé sur une entreprise américaine d'IA. Le tribunal a statué que « l'équilibre des intérêts penche en faveur du gouvernement ». Cette désignation interdit aux sous-traitants de la défense d'utiliser Claude.
Le contexte : le 27 février, le Pentagone a entrepris de blacklister Anthropic après l'échec d'une négociation contractuelle de 200 M$. Anthropic avait refusé d'autoriser une utilisation « à toutes fins légales », invoquant des préoccupations liées à la surveillance de masse et aux armes autonomes. L'armée a alors qualifié l'entreprise de risque pour la sécurité nationale. Un juge de San Francisco avait d'abord bloqué cette désignation en mars, estimant qu'Anthropic était « stigmatisée comme un adversaire potentiel » pour avoir exprimé un désaccord politique. La cour de Washington a annulé cette protection.
Donc l'entreprise qui vient de devenir la colonne vertébrale cybersécurité d'Apple, Microsoft et Google a simultanément perdu l'accès au seul client qui dispose à la fois du budget et du mandat pour financer une capacité concurrente. Le Pentagone ne peut pas utiliser le meilleur outil de détection de vulnérabilités qui existe. Anthropic ne peut pas construire l'alternative gouvernementale. Personne d'autre n'a le modèle pour essayer.
Les actions cybersécurité ont chuté de 5 à 11 % à l'annonce de Glasswing. Le marché a compris avant que quiconque n'explique : ce n'est pas un lancement de produit. C'est une douve. Glasswing verrouille onze partenaires dans la dépendance. La cour d'appel verrouille le gouvernement hors de la seule alternative. Et ton logiciel quotidien — ton navigateur, ton OS, ton cloud — confie désormais sa sécurité à une entreprise qu'une branche du gouvernement arme de 100 M$ de crédits pendant qu'une autre la qualifie de menace pour la sécurité nationale.
