Un accès anticipé à Claude Mythos d’Anthropic a permis à Mozilla d’identifier en amont 271 failles de sécurité et de les boucher avec Firefox 150, disponible maintenant. Ce résultat relance le débat sur l’effet réel de l’intelligence artificielle sur la cybersécurité, mais Mozilla y voit déjà un avantage net pour les défenseurs.
Quand l’IA aide à trouver plein de vulnérabilités dans Firefox
Anthropic avait expliqué plus tôt ce mois-ci que Claude Mythos était suffisamment performant dans la recherche de failles de sécurité pour que sa diffusion initiale soit limitée à un petit groupe de partenaires industriels jugés critiques. Depuis, le débat oppose ceux qui y voient un accélérateur potentiel du piratage à ceux qui considèrent le modèle comme une simple étape supplémentaire dans la progression des capacités IA.
Mozilla a apporté un élément concret à cette discussion en affirmant que Claude Mythos l’avait aidé à identifier 271 vulnérabilités qui ont été bouchées avec Firefox 150. Bobby Holley, directeur technique de Firefox, juge même que cela donne enfin aux défenseurs « une chance de gagner, de manière décisive » dans le rapport de force avec les attaquants.
En comparaison, le modèle Opus 4.6 d’Anthropic n’avait trouvé que 22 vulnérabilités sensibles pour la sécurité en analysant Firefox 148 le mois dernier.
Une recherche de failles beaucoup moins coûteuse
Bobby Holley précise que les vulnérabilités repérées par Claude Mythos auraient aussi pu être découvertes par des techniques automatisées de fuzzing ou par un chercheur en sécurité de très haut niveau examinant le code source. Mais il estime que le modèle évite, dans de nombreux cas, d’y consacrer de longs mois de travail humain coûteux pour débusquer une seule faille.
L’enjeu dépasse de toute façon Firefox. L’analyse de vulnérabilités assistée par IA va devenir un passage obligé pour tous les logiciels parce qu’une grande quantité de failles jusque-là enfouies devient désormais plus facilement détectable.
Cette évolution pourrait être encore plus importante pour l’open source. Les projets à code public sont plus faciles à explorer pour les systèmes d’IA, alors même qu’une partie d’entre eux repose sur une maintenance bénévole insuffisante pour garantir un bon niveau de sécurité.
