Le développeur de Firefox, Mozilla, a révélé qu'une version préliminaire de l'IA Claude Mythos d'Anthropic a identifié 271 vulnérabilités dans le navigateur Firefox lors de tests internes, toutes ayant été corrigées cette semaine.
Ces découvertes montrent comment les systèmes d'IA avancés commencent à scanner de grandes bases de code à une échelle qui dépendait autrefois de longues heures de travail manuel de la part des chercheurs en cybersécurité. Mozilla a déclaré que même les logiciels cibles renforcés pouvaient désormais être examinés plus en profondeur en moins de temps.
« À mesure que ces capacités se répandent entre les mains de davantage de défenseurs, de nombreuses autres équipes ressentent maintenant le même vertige que nous lorsque les découvertes ont été mises en lumière », a écrit Mozilla. « Pour une cible renforcée, un seul de ces bugs aurait été une alerte rouge en 2025, et en avoir autant d'un coup nous fait nous demander s'il est même possible de suivre le rythme. »
Des tests antérieurs utilisant un autre modèle Anthropic avaient découvert 22 bugs sensibles à la sécurité dans une version précédente de Firefox. Malgré ces progrès, Mozilla a noté que l'élimination complète des exploits logiciels a longtemps été considérée comme irréaliste.
« Jusqu'à présent, l'industrie a largement mené la bataille de la sécurité à égalité », a écrit l'entreprise. « Les fournisseurs de logiciels critiques exposés à Internet comme Firefox prennent la sécurité extrêmement au sérieux et disposent d'équipes de personnes qui se lèvent chaque matin en pensant à la manière de protéger les utilisateurs. »
Mozilla a déclaré que le nouveau système peut examiner le code source et signaler les faiblesses d'une manière qui exigeait auparavant une expertise humaine hautement spécialisée. Les résultats internes ont montré que le modèle n'a pas découvert de bugs au-delà de la portée des chercheurs de premier plan.
« Certains commentateurs prédisent que les futurs modèles d'IA dénicheront des formes entièrement nouvelles de vulnérabilités qui défient notre compréhension actuelle, mais nous ne le pensons pas », a déclaré l'entreprise. « Des logiciels comme Firefox sont conçus de manière modulaire pour que les humains puissent raisonner sur leur exactitude. C'est complexe, mais pas arbitrairement complexe. »
Lancé en mars, Claude Mythos est décrit par Anthropic comme son modèle le plus avancé pour le raisonnement, le codage et les tâches de cybersécurité, positionné au-dessus de sa série Opus précédente. Des tests de pré-lancement ont suggéré qu'il pourrait identifier des milliers de vulnérabilités inconnues à travers les systèmes d'exploitation et les navigateurs.
L'accès au système reste limité par une initiative restreinte connue sous le nom de Project Glasswing, qui permet à certaines entreprises, y compris Amazon, Apple et Microsoft, de scanner des logiciels à la recherche de failles de sécurité.
Les chercheurs en sécurité avertissent que la même capacité pourrait être utilisée à des fins offensives. Les outils d'IA qui peuvent analyser le code à grande échelle peuvent également automatiser la découverte de bugs exploitables dans des systèmes logiciels largement utilisés.
Des tests menés par l'AI Security Institute du Royaume-Uni ont montré que le modèle pouvait effectuer des opérations cybernétiques complexes de manière autonome, y compris la réalisation d'une simulation d'attaque de réseau d'entreprise en plusieurs étapes sans intervention humaine. Ces résultats ont attiré l'attention des gouvernements et des agences de renseignement.
Malgré des tensions antérieures avec l'administration de Donald Trump concernant l'utilisation de la technologie d'Anthropic, la National Security Agency a déployé Claude Mythos Preview sur des réseaux classifiés, selon des personnes familières avec le dossier. Cette décision témoigne d'un intérêt croissant des agences américaines pour les outils d'IA capables de détecter les vulnérabilités logicielles critiques.
Anthropic a également reconnu que les références actuelles en cybersécurité peinent à suivre le rythme de ses derniers modèles, soulevant des questions sur la manière de mesurer les performances de l'IA dans ce domaine.
Mozilla a déclaré que les résultats suggèrent un possible tournant, où les défenseurs pourraient commencer à réduire l'écart de longue date avec les attaquants.
« Nous sommes extrêmement fiers de la façon dont notre équipe a relevé ce défi, et d'autres le feront aussi », a écrit l'entreprise.
« Notre travail n'est pas terminé, mais nous avons franchi un cap et pouvons entrevoir un avenir bien meilleur que de simplement suivre le rythme. Les défenseurs ont enfin une chance de gagner, de manière décisive. »
