Pendant des décennies, les attaquants ont eu l'avantage en cybersécurité. L'intelligence artificielle est peut-être sur le point de changer cela.

Dans un billet de blog publié mardi, Mozilla, le développeur du navigateur Firefox, a déclaré qu'une version préliminaire de l'IA Claude Mythos d'Anthropic – qui a attiré l'attention ces dernières semaines pour ses prétendues prouesses en cybersécurité – a aidé à identifier 271 vulnérabilités dans le navigateur lors de tests internes. Ces failles ont été corrigées cette semaine.

Les résultats soulignent comment les systèmes d'IA avancés peuvent analyser de vastes bases de code et localiser des faiblesses qui nécessitaient auparavant un examen manuel approfondi par des chercheurs humains en cybersécurité.

« Alors que ces capacités parviennent entre les mains de plus de défenseurs, de nombreuses autres équipes éprouvent désormais le même vertige que nous lorsque les découvertes sont apparues », a écrit Mozilla. « Pour une cible endurcie, une seule faille de ce type aurait déclenché une alerte rouge en 2025, et tant de failles à la fois nous amènent à nous demander s'il est même possible de suivre le rythme. »

Mozilla avait précédemment testé un autre modèle d'Anthropic qui avait identifié 22 failles de sécurité dans une version antérieure de Firefox. Malgré ces succès, Mozilla a reconnu que l'industrie de la cybersécurité a longtemps considéré l'élimination complète des exploits logiciels comme un « objectif irréaliste ».

« Jusqu'à présent, l'industrie a largement mené un combat nul en matière de sécurité », a écrit l'entreprise. « Les fournisseurs de logiciels critiques exposés à Internet, comme Firefox, prennent la sécurité extrêmement au sérieux et disposent d'équipes de personnes qui se lèvent chaque matin en pensant à la manière d'assurer la sécurité des utilisateurs. »

Mozilla a déclaré que le nouveau système d'IA peut analyser le code source et identifier les vulnérabilités d'une manière qui dépendait auparavant d'une expertise humaine rare. Cependant, Mozilla a ajouté que l'entreprise était encouragée de constater qu'aucune faille n'a été trouvée qui n'aurait pas pu être découverte par « un chercheur humain d'élite ».

« Certains commentateurs prédisent que les futurs modèles d'IA mettront au jour des formes entièrement nouvelles de vulnérabilités qui défient notre compréhension actuelle, mais nous ne le pensons pas », ont-ils déclaré. « Des logiciels comme Firefox sont conçus de manière modulaire pour que les humains puissent raisonner sur leur exactitude. C'est complexe, mais pas arbitrairement complexe. »

Les résultats suggèrent cependant que les outils d'IA pourraient permettre aux développeurs de découvrir un grand nombre de vulnérabilités avant que les attaquants ne les exploitent — bien qu'inversement, entre de mauvaises mains, cela pourrait causer de gros problèmes aux entreprises de logiciels et aux utilisateurs.

Lancé en mars, Mythos est le modèle le plus avancé d'Anthropic pour les tâches de raisonnement, de codage et de cybersécurité. Les documents internes de l'entreprise décrivent le système comme faisant partie d'un nouveau niveau de modèle au-delà de la série Opus précédente de l'entreprise.

Des tests menés avant le lancement du modèle ont montré qu'il pouvait identifier des milliers de vulnérabilités auparavant inconnues dans les principaux systèmes d'exploitation et navigateurs web.

Anthropic a limité l'accès au système via un programme restreint appelé Project Glasswing, qui offre à certaines entreprises technologiques — y compris Amazon, Apple et Microsoft — la capacité d'utiliser le modèle pour scanner les logiciels à la recherche de faiblesses. Cela reflète un effort croissant au sein de l'industrie de la cybersécurité pour utiliser les systèmes d'IA afin d'identifier et de corriger les vulnérabilités avant que les attaquants ne puissent les exploiter.

Cependant, cette même technologie pourrait également permettre de nouvelles formes de cyberattaques. Les chercheurs en sécurité affirment que les systèmes d'IA capables d'analyser le code à grande échelle pourraient automatiser la découverte de vulnérabilités exploitables dans des logiciels largement utilisés.

Après le lancement de Mythos, des tests menés par l'AI Security Institute du Royaume-Uni ont révélé que l'IA pouvait exécuter de manière autonome des opérations cybernétiques complexes, y compris la réalisation d'une simulation d'attaque de réseau d'entreprise en plusieurs étapes sans assistance humaine. Ces capacités ont attiré l'attention des gouvernements et des agences de renseignement.

Malgré un appel de l'administration du président Donald Trump à cesser d'utiliser la technologie d'Anthropic en raison d'un désaccord sur son utilisation dans les affaires de guerre et de surveillance, il a été révélé lundi que la National Security Agency utilisait Claude Mythos Preview sur des réseaux classifiés, selon des sources familières avec le déploiement. L'utilisation de Mythos souligne l'intérêt croissant des agences de sécurité américaines pour la capacité du modèle à identifier les vulnérabilités logicielles critiques.

Les performances du modèle ont également révélé les limites des systèmes d'évaluation d'IA existants. Plus tôt ce mois-ci, Anthropic a reconnu que plusieurs benchmarks de cybersécurité ne sont plus suffisants pour mesurer les capacités de ses nouveaux modèles.

Mozilla a déclaré que les résultats indiquent un changement potentiel en cybersécurité, où les défenseurs pourraient commencer à combler l'avantage de longue date détenu par les attaquants.

« Nous sommes extrêmement fiers de la façon dont notre équipe a relevé ce défi, et d'autres le feront également », a écrit Mozilla. « Notre travail n'est pas terminé, mais nous avons franchi un cap et pouvons entrevoir un avenir bien meilleur que de simplement suivre le rythme. Les défenseurs ont enfin une chance de gagner, de manière décisive. »

Mozilla n'a pas immédiatement répondu à une demande de commentaire de la part de Decrypt.