Mozilla, le développeur de Firefox, a révélé qu’une version précoce de l’IA Claude Mythos d’Anthropic a identifié 271 vulnérabilités dans le navigateur Firefox lors de tests internes, toutes corrigées cette semaine.

Résumé

• Mozilla a déclaré que l’IA Claude Mythos d’Anthropic avait identifié 271 vulnérabilités dans Firefox lors de tests internes, toutes corrigées cette semaine.
• Le modèle a montré qu’il peut analyser de grandes bases de code et détecter des failles de sécurité plus rapidement que les revues traditionnelles menées par des humains, bien qu’aucune découverte n’ait dépassé ce que des chercheurs d’élite pouvaient repérer.

Les résultats soulignent à quel point les systèmes d’IA avancés commencent à analyser de grandes bases de code à une échelle qui dépendait autrefois de longues heures de travail manuel par des chercheurs en cybersécurité. Mozilla a indiqué que même des cibles logicielles renforcées pouvaient désormais être examinées plus en profondeur en moins de temps.

« Alors que ces capacités atteignent davantage de défenseurs, beaucoup d’autres équipes vivent maintenant le même vertige que nous avons ressenti lorsque les découvertes ont d’abord été mises en évidence », a écrit Mozilla. « Pour une cible renforcée, une seule de ces bugs aurait été une alerte rouge en 2025, et en avoir autant à la fois vous fait vous demander s’il est même possible de suivre le rythme. »

Des tests antérieurs utilisant un autre modèle d’Anthropic avaient révélé 22 bugs sensibles à la sécurité dans une version précédente de Firefox. Malgré ces progrès, Mozilla a noté que l’élimination totale des exploits logiciels est depuis longtemps considérée comme irréaliste.

« Jusqu’à présent, l’industrie a principalement lutté pour un match nul en matière de sécurité », a écrit la société. « Les fournisseurs de logiciels critiques exposés à Internet comme Firefox prennent la sécurité très au sérieux et disposent d’équipes qui se lèvent chaque matin en pensant à comment protéger les utilisateurs. »

L’IA accélère la détection des vulnérabilités mais des risques subsistent

Mozilla a indiqué que le nouveau système peut examiner le code source et signaler les faiblesses de manière à ce que cela nécessitait auparavant une expertise humaine très spécialisée. Les résultats internes ont montré que le modèle n’a pas découvert de bugs au-delà de la portée des chercheurs de haut niveau.

« Certains commentateurs prédisent que de futurs modèles d’IA découvriront de nouvelles formes de vulnérabilités qui défient notre compréhension actuelle, mais nous ne pensons pas que ce soit le cas », a déclaré la société. « Des logiciels comme Firefox sont conçus de manière modulaire pour que les humains puissent raisonner sur leur correction. C’est complexe, mais pas de manière arbitraire. »

Lancé en mars, Claude Mythos est décrit par Anthropic comme son modèle le plus avancé pour les tâches de raisonnement, de codage et de cybersécurité, positionné au-dessus de sa série Opus précédente. Les tests en pré-version suggéraient qu’il pouvait identifier des milliers de vulnérabilités inconnues dans les systèmes d’exploitation et les navigateurs.

L’accès au système reste limité via une initiative restreinte appelée Project Glasswing, qui permet à certaines entreprises, dont Amazon, Apple et Microsoft, d’analyser des logiciels à la recherche de failles de sécurité.

Les chercheurs en sécurité avertissent que cette même capacité pourrait être utilisée à des fins offensives. Les outils d’IA capables d’analyser du code à grande échelle pourraient également automatiser la découverte de bugs exploitables dans des systèmes logiciels largement utilisés.

Des tests menés par l’Institut de sécurité de l’IA du Royaume-Uni ont montré que le modèle pouvait réaliser des opérations cybernétiques complexes de manière autonome, y compris compléter une simulation d’attaque multi-étapes sur un réseau d’entreprise sans intervention humaine. Ces résultats ont attiré l’attention des gouvernements et des agences de renseignement.

Malgré des tensions antérieures avec l’administration de Donald Trump concernant l’utilisation de la technologie d’Anthropic, la National Security Agency a déployé une version préliminaire de Claude Mythos sur des réseaux classifiés, selon des personnes familières avec le dossier. Cette démarche témoigne de l’intérêt croissant des agences américaines pour les outils d’IA capables de détecter des vulnérabilités critiques dans les logiciels.

Anthropic a également reconnu que les benchmarks actuels en cybersécurité peinent à suivre le rythme de ses modèles les plus récents, soulevant des questions sur la manière de mesurer la performance de l’IA dans ce domaine.

Mozilla a indiqué que ces résultats suggèrent un tournant possible, où les défenseurs pourraient commencer à réduire l’écart de longue date avec les attaquants.

« Nous sommes extrêmement fiers de la façon dont notre équipe a relevé ce défi, et d’autres le feront aussi », a écrit la société.

« Notre travail n’est pas terminé, mais nous avons tourné la page et entrevoir un avenir bien meilleur que simplement suivre le rythme. Les défenseurs ont enfin une chance de gagner, de manière décisive. »