IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'IA Claude Opus 4.6 d'Anthropic a analysé le code du navigateur Firefox et a trouvé plus de 100 bogues, soit plus de bogues en deux semaines que le nombre total signalé dans le monde en deux mois

Le , par Jade Emy

136PARTAGES

7  0 
L'IA Claude Opus 4.6 d'Anthropic a analysé le code du navigateur Firefox et a trouvé plus de 100 bogues, soit plus de bogues en deux semaines que le nombre total signalé dans le monde en deux mois

Seulement 20 minutes. C'est le temps qu'il a fallu au modèle d'IA le plus puissant d'Anthropic pour trouver sa première faille de sécurité grave dans Firefox, l'un des navigateurs web les plus populaires au monde. Au cours d'une période de deux semaines en janvier, le modèle d'IA d'Anthropic, Claude Opus 4.6, a analysé le code de Firefox et a détecté plus de 100 bogues. Selon Anthropic, 14 d'entre eux ont été classés comme « très graves », ce qui signifie que, entre de mauvaises mains, ils auraient pu être utilisés pour lancer des attaques à grande échelle contre les millions d'utilisateurs de Firefox.

Anthropic est une société américaine spécialisée dans l'intelligence artificielle (IA) dont le siège social est situé à San Francisco. Elle a développé une famille de grands modèles de langage (LLM) appelée Claude. Anthropic fonctionne comme une société d'intérêt public qui recherche et développe l'IA afin d'« étudier ses propriétés de sécurité à la frontière technologique » et utilise ces recherches pour déployer des modèles sûrs pour le public.

Début février 2026, Anthropic a dévoilé Claude Opus 4.6, son dernier modèle d'intelligence artificielle (IA) pour le « vibe working », présenté comme étant plus performant en matière de codage, capable de soutenir des tâches agentiques pendant une durée plus longue et de produire un travail professionnel de meilleure qualité. Cette mise à jour améliore les performances du modèle en matière de planification, de révision de code, de débogage et de recherche, ce qui constitue une avancée significative dans le domaine des outils d'IA pour les entreprises. Claude Opus 4.6 excelle également dans les tâches d'analyse financière et devrait avoir un impact sur des secteurs tels que l'ingénierie logicielle et la finance.

Récemment, un rapport de Mozilla a montré les performances de Claude Opus 4.6. Seulement 20 minutes. C'est le temps qu'il a fallu au modèle d'IA le plus puissant d'Anthropic pour trouver sa première faille de sécurité grave dans Firefox, l'un des navigateurs web les plus populaires au monde. Bien qu'Anthropic ait été « interdit » par l'administration Trump pour une utilisation dans des opérations militaires, Claude démontre ses prouesses dans d'autres domaines, comme la détection de bogues dans des logiciels qui pourraient être utilisés par des pirates informatiques pour causer des dommages à des millions de personnes.

Selon un article du Wall Street Journal, lorsque l'équipe d'Anthropic a signalé le premier bug, les ingénieurs de Mozilla ne se sont pas contentés de les remercier. Ils ont demandé à être contactés de toute urgence. « Qu'avez-vous d'autre ? Envoyez-nous-en davantage », aurait déclaré Brian Grinstead, ingénieur chez Mozilla, l'organisation à but non lucratif qui gère Firefox. Au cours d'une période de deux semaines en janvier, le modèle d'IA d'Anthropic, Claude Opus 4.6, a analysé le code de Firefox et a détecté plus de 100 bogues.


Selon Anthropic, 14 d'entre eux ont été classés comme « très graves », ce qui signifie que, entre de mauvaises mains, ils auraient pu être utilisés pour lancer des attaques à grande échelle contre les millions d'utilisateurs de Firefox. Pour comprendre : Firefox a corrigé 73 bogues de gravité élevée ou critiques au cours de l'année 2024. Claude en a trouvé 14 en seulement deux semaines. Mozilla a confirmé que Claude avait découvert plus de failles de gravité élevée au cours de cette courte période que l'ensemble de la communauté mondiale de recherche en sécurité n'en signale généralement en deux mois, selon le rapport.

« Claude Opus 4.6 a découvert 22 vulnérabilités en deux semaines. Parmi celles-ci, Mozilla en a classé 14 comme vulnérabilités de haute gravité, soit près d'un cinquième de toutes les vulnérabilités de haute gravité de Firefox qui ont été corrigées en 2025. En d'autres termes, l'IA permet de détecter des vulnérabilités de sécurité graves à une vitesse très accélérée », a déclaré Anthropic.

L'équipe de sécurité d'Anthropic a délibérément choisi Firefox. Il s'agit de l'un des logiciels les plus complexes et les plus minutieusement examinés sur Internet. Mozilla mène un programme de prime aux bogues depuis plus de 30 ans, rémunérant les chercheurs jusqu'à 6 000 dollars pour chaque faille de haute gravité qu'ils trouvent, souligne le rapport. L'équipe d'Anthropic a également demandé à Claude de créer un code d'exploitation, le type d'outil qu'un pirate informatique utiliserait pour attaquer quelqu'un via une vulnérabilité découverte. Claude a bien écrit deux exploits fonctionnels, mais ceux-ci ne fonctionnaient que sur une version test de Firefox.

Selon Logan Graham, qui dirige la Frontier Red Team d'Anthropic (le groupe chargé de tester les risques potentiels de Claude), les défenses de sécurité réelles de Firefox auraient bloqué les deux exploits. L'équipe a également pris la décision délibérée de ne pas inonder Mozilla de tous les bugs découverts par Claude. Elle n'a soumis que ceux qui étaient confirmés et reproductibles.

Outre son utilisation pour la cybersécurité, Anthropic a précédemment annoncé qu'une équipe de 16 agents Claude Opus 4.6 ont écrit, en deux semaines et sans accès à Internet, un compilateur C en Rust de 100 000 lignes. Le compilateur est capable de compiler Linux et même le jeu Doom, ce qui a été présenté comme une démonstration spectaculaire des capacités de l'IA dans le développement logiciel. Cependant, un rapport a remis en doute les performances réelles, l'utilité et la qualité du code.

Voici le rapport de l'équipe de Mozilla :


Renforcement de la sécurité de Firefox avec l'équipe Red Team d'Anthropic

Depuis plus de deux décennies, Firefox est l'un des codes sources les plus scrutés et les plus sécurisés du Web. L'open source signifie que notre code est visible, vérifiable et soumis à des tests de résistance continus par une communauté mondiale.

Il y a quelques semaines, l'équipe Frontier Red d'Anthropic nous a présenté les résultats d'une nouvelle méthode de détection des vulnérabilités assistée par l'IA qui a permis de mettre en évidence plus d'une douzaine de bogues de sécurité vérifiables, avec des tests reproductibles. Nos ingénieurs ont validé ces résultats et ont apporté des corrections avant la sortie récente de Firefox 148.

Pour les utilisateurs, cela signifie une sécurité et une stabilité accrues dans Firefox. L'ajout de nouvelles techniques à notre boîte à outils de sécurité nous aide à identifier et à corriger les vulnérabilités avant qu'elles ne puissent être exploitées dans la nature.

Une technique émergente, testée sous pression par les ingénieurs de Firefox

Les rapports de bogues assistés par l'IA ont des résultats mitigés, et le scepticisme est de mise. Trop de soumissions ont entraîné des faux positifs et une charge supplémentaire pour les projets open source. Ce que nous avons reçu de la Frontier Red Team d'Anthropic était différent.

L'équipe d'Anthropic a contacté les ingénieurs de Firefox après avoir utilisé Claude pour identifier des bogues de sécurité dans notre moteur JavaScript. Les rapports de bogues comprenaient des cas de test minimaux qui ont permis à notre équipe de sécurité de vérifier et de reproduire rapidement chaque problème.

En quelques heures, nos ingénieurs de plateforme ont commencé à mettre en place des correctifs, et nous avons entamé une étroite collaboration avec Anthropic afin d'appliquer la même technique au reste du code du navigateur. Au total, nous avons découvert 14 bogues de gravité élevée et publié 22 CVE à la suite de ce travail. Tous ces bogues sont désormais corrigés dans la dernière version du navigateur.

En plus des 22 bogues sensibles sur le plan de la sécurité, Anthropic a découvert 90 autres bogues, dont la plupart sont désormais corrigés. Un certain nombre de découvertes de moindre gravité étaient des échecs d'assertion, qui recoupaient des problèmes traditionnellement détectés par le fuzzing, une technique de test automatisée qui alimente les logiciels avec un grand nombre d'entrées inattendues afin de déclencher des plantages et des bogues. Cependant, le modèle a également identifié des classes distinctes d'erreurs logiques que les fuzzers n'avaient pas détectées auparavant.

L'ampleur des résultats reflète la puissance de la combinaison d'une ingénierie rigoureuse et de nouveaux outils d'analyse pour une amélioration continue. Nous considérons cela comme une preuve évidente que l'analyse à grande échelle assistée par l'IA est un nouvel outil puissant dans la boîte à outils des ingénieurs en sécurité. Firefox a fait l'objet de certains des tests de fuzzing, d'analyses statiques et de contrôles de sécurité réguliers les plus approfondis depuis des décennies. Malgré cela, le modèle a permis de révéler de nombreux bugs jusque-là inconnus. Cela est analogue aux débuts du fuzzing : il existe probablement un retard important dans la découverte de bogues désormais détectables dans les logiciels largement déployés.

Firefox n'a pas été choisi au hasard. Il a été sélectionné parce qu'il s'agit d'un projet open source largement déployé et minutieusement examiné, ce qui en fait un terrain d'essai idéal pour une nouvelle catégorie d'outils défensifs. Mozilla a toujours été à la pointe du déploiement de techniques de sécurité avancées pour protéger les utilisateurs de Firefox. Dans le même esprit, notre équipe a déjà commencé à intégrer l'analyse assistée par l'IA dans nos workflows de sécurité internes afin de détecter et de corriger les vulnérabilités avant que les pirates ne le fassent.

Construire en toute transparence pour les utilisateurs

Firefox a toujours défendu la construction publique et la collaboration avec notre communauté afin de créer un navigateur qui place les utilisateurs au premier plan. Ce travail reflète l'engagement de longue date de Mozilla à appliquer les technologies émergentes de manière réfléchie et au service de la sécurité des utilisateurs.

La Frontier Red Team d'Anthropic a montré à quoi ressemble la collaboration dans ce domaine dans la pratique : divulguer de manière responsable les bogues aux responsables de la maintenance et travailler ensemble pour les rendre aussi exploitables que possible. Alors que l'IA accélère à la fois les attaques et les défenses, Mozilla continuera à investir dans les outils, les processus et les collaborations qui garantissent que Firefox continue à se renforcer et que les utilisateurs restent protégés.

Sources : WSJ, Rapport de Mozilla

Et vous ?

Pensez-vous que ces rapports sont crédibles ou pertinents ?
Quel est votre avis sur le sujet ?

Voir aussi :

Adieu innerHTML, bonjour setHTML : une protection XSS renforcée dans Firefox 148, le premier navigateur à intégrer cette nouvelle API Sanitizer standardisée qui améliore la sécurité

Des tests révèlent les lacunes profondes du compilateur C créé par l'IA Claude d'Anthropic pour 20 000 dollars : l'outil est nettement moins efficace que GCC et peine à réaliser des optimisations de base

Les experts en sécurité informatique sont divisés sur le potentiel de l'IA à aider les experts en sécurité offensive, « l'IA accélère la détection des vulnérabilités, mais ne remplace pas l'humain »
Vous avez lu gratuitement 15 906 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !