Mythos d'Anthropic a détecté 271 failles de sécurité dans Mozilla Firefox 150, Mozilla affirme que ce nouveau modèle d'IA est « tout aussi performant » que les meilleurs chercheurs en sécurité au monde

Mozilla, le développeur du navigateur Firefox, a récemment déclaré qu’une première version du modèle d’IA Claude Mythos d’Anthropic avait permis d’identifier 271 vulnérabilités dans le navigateur lors de tests internes. Ces bogues ont été corrigés. Mozilla a déclaré que le nouveau système d’IA pouvait analyser le code source et identifier les vulnérabilités d’une manière qui dépendait auparavant d’une expertise humaine rare. « À mesure que ces capacités sont mises à la disposition d’un plus grand nombre de défenseurs, de nombreuses autres équipes éprouvent désormais le même vertige que nous avons ressenti lorsque ces résultats ont été mis en évidence pour la première fois », a écrit Mozilla.

Fin mars, un modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public. Après la révélation de la fuite du modèle d'IA, un porte-parole d'Anthropic a confirmé son existence et a souligné que le modèle représentait « un changement radical » en termes de performances d'IA et qu'il était « le plus performant que nous ayons construit à ce jour ». Il a notamment déclaré : « Compte tenu de la puissance de ses capacités, nous réfléchissons mûrement à la manière dont nous allons le commercialiser. »

Puis quelques jours plus tard, Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle.

Dans ce contexte, Mozilla, le développeur du navigateur Firefox, a récemment déclaré qu’une première version du modèle d’IA Claude Mythos d’Anthropic avait permis d’identifier 271 vulnérabilités dans le navigateur lors de tests internes. Ces bogues ont été corrigés. Ces résultats soulignent la capacité des systèmes d’IA avancés à analyser de vastes bases de code et à localiser des faiblesses qui nécessitaient auparavant un examen manuel approfondi par des chercheurs en cybersécurité humains.

« À mesure que ces capacités sont mises à la disposition d’un plus grand nombre de défenseurs, de nombreuses autres équipes éprouvent désormais le même vertige que nous avons ressenti lorsque ces résultats ont été mis en évidence pour la première fois », a écrit Mozilla. « Pour une cible bien protégée, un seul de ces bugs aurait constitué une alerte rouge en 2025, et en découvrir autant d’un seul coup nous amène à nous demander s’il est même possible de suivre le rythme. »


Mozilla avait auparavant testé un autre modèle d’Anthropic qui avait identifié 22 bogues sensibles en matière de sécurité dans une version précédente de Firefox. Malgré ces succès, Mozilla a reconnu que le secteur de la cybersécurité considérait depuis longtemps l’élimination totale des failles logicielles comme un « objectif irréaliste ». « Jusqu’à présent, le secteur a largement mené une lutte à égalité contre les menaces de sécurité », a écrit l’entreprise. « Les éditeurs de logiciels critiques exposés à Internet, comme Firefox, prennent la sécurité extrêmement au sérieux et disposent d’équipes qui se lèvent chaque matin en réfléchissant à la manière d’assurer la sécurité des utilisateurs. »

Mozilla a déclaré que le nouveau système d’IA pouvait analyser le code source et identifier les vulnérabilités d’une manière qui dépendait auparavant d’une expertise humaine rare. Cependant, Mozilla a indiqué que la société était encouragée de constater qu’aucun bug n’avait été trouvé qui n’aurait pas pu être découvert par « un chercheur humain d’élite ». « Certains commentateurs prédisent que les futurs modèles d’IA mettront au jour des formes de vulnérabilités entièrement nouvelles qui défient notre compréhension actuelle, mais nous ne le pensons pas », ont-ils déclaré. « Les logiciels comme Firefox sont conçus de manière modulaire afin que les humains puissent en vérifier la justesse. Ils sont complexes, mais pas arbitrairement complexes. »

Les résultats suggèrent toutefois que les outils d’IA pourraient permettre aux développeurs de détecter un grand nombre de vulnérabilités avant que les attaquants ne les exploitent — même si, à l’inverse, entre de mauvaises mains, cela pourrait causer de gros problèmes tant aux éditeurs de logiciels qu’aux utilisateurs. Lancé en mars, Mythos est le modèle le plus avancé d’Anthropic pour les tâches de raisonnement, de codage et de cybersécurité. Des documents internes de l’entreprise décrivent le système comme faisant partie d’une nouvelle gamme de modèles allant au-delà de la série Opus précédente de l’entreprise. Les tests menés avant la sortie du modèle ont montré qu’il pouvait identifier des milliers de vulnérabilités jusque-là inconnues sur les principaux systèmes d’exploitation et navigateurs web.

Anthropic a limité l’accès au système via un programme restreint appelé Project Glasswing, qui permet à certaines entreprises technologiques — notamment Amazon, Apple et Microsoft — d’utiliser le modèle pour analyser les logiciels à la recherche de failles. Cela reflète un effort croissant au sein du secteur de la cybersécurité pour utiliser des systèmes d’IA afin d’identifier et de corriger les vulnérabilités avant que les attaquants ne puissent les exploiter.

Cependant, cette même technologie pourrait également permettre de nouvelles formes de cyberattaques....