IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mythos d'Anthropic a détecté 271 failles de sécurité dans Mozilla Firefox 150, Mozilla affirme que ce nouveau modèle d'IA est « tout aussi performant » que les meilleurs chercheurs en sécurité au monde

Le , par Jade Emy

128PARTAGES

6  0 
Mythos d’Anthropic a détecté 271 failles de sécurité dans Mozilla Firefox 150, Mozilla affirme que ce nouveau modèle d’IA est « tout aussi performant » que les meilleurs chercheurs en sécurité au monde

Mozilla, le développeur du navigateur Firefox, a récemment déclaré qu’une première version du modèle d’IA Claude Mythos d’Anthropic avait permis d’identifier 271 vulnérabilités dans le navigateur lors de tests internes. Ces bogues ont été corrigés. Mozilla a déclaré que le nouveau système d’IA pouvait analyser le code source et identifier les vulnérabilités d’une manière qui dépendait auparavant d’une expertise humaine rare. « À mesure que ces capacités sont mises à la disposition d’un plus grand nombre de défenseurs, de nombreuses autres équipes éprouvent désormais le même vertige que nous avons ressenti lorsque ces résultats ont été mis en évidence pour la première fois », a écrit Mozilla.

Fin mars, un modèle d'IA d'Anthropic a fait l'objet d'une fuite avant même son lancement et a fait grand bruit sur les réseaux sociaux. Le nouveau modèle, dont le nom de code est « Claude Mythos », a été révélé accidentellement après que des descriptions du modèle ont été stockées dans un cache de données accessible au public. Après la révélation de la fuite du modèle d'IA, un porte-parole d'Anthropic a confirmé son existence et a souligné que le modèle représentait « un changement radical » en termes de performances d'IA et qu'il était « le plus performant que nous ayons construit à ce jour ». Il a notamment déclaré : « Compte tenu de la puissance de ses capacités, nous réfléchissons mûrement à la manière dont nous allons le commercialiser. »

Puis quelques jours plus tard, Anthropic a annoncé qu'il ne commercialiserait pas son tout dernier modèle, Mythos, au grand public, invoquant la crainte qu'il ne soit trop efficace pour détecter des failles de cybersécurité de gravité élevée dans les principaux systèmes d'exploitation et navigateurs web. « L'augmentation considérable des capacités de Claude Mythos Preview nous a amenés à décider de ne pas le rendre accessible au grand public. Nous l'utilisons plutôt dans le cadre d'un programme de cybersécurité défensive avec un groupe restreint de partenaires », a écrit Anthropic dans la fiche technique du modèle.

Dans ce contexte, Mozilla, le développeur du navigateur Firefox, a récemment déclaré qu’une première version du modèle d’IA Claude Mythos d’Anthropic avait permis d’identifier 271 vulnérabilités dans le navigateur lors de tests internes. Ces bogues ont été corrigés. Ces résultats soulignent la capacité des systèmes d’IA avancés à analyser de vastes bases de code et à localiser des faiblesses qui nécessitaient auparavant un examen manuel approfondi par des chercheurs en cybersécurité humains.

« À mesure que ces capacités sont mises à la disposition d’un plus grand nombre de défenseurs, de nombreuses autres équipes éprouvent désormais le même vertige que nous avons ressenti lorsque ces résultats ont été mis en évidence pour la première fois », a écrit Mozilla. « Pour une cible bien protégée, un seul de ces bugs aurait constitué une alerte rouge en 2025, et en découvrir autant d’un seul coup nous amène à nous demander s’il est même possible de suivre le rythme. »


Mozilla avait auparavant testé un autre modèle d’Anthropic qui avait identifié 22 bogues sensibles en matière de sécurité dans une version précédente de Firefox. Malgré ces succès, Mozilla a reconnu que le secteur de la cybersécurité considérait depuis longtemps l’élimination totale des failles logicielles comme un « objectif irréaliste ». « Jusqu’à présent, le secteur a largement mené une lutte à égalité contre les menaces de sécurité », a écrit l’entreprise. « Les éditeurs de logiciels critiques exposés à Internet, comme Firefox, prennent la sécurité extrêmement au sérieux et disposent d’équipes qui se lèvent chaque matin en réfléchissant à la manière d’assurer la sécurité des utilisateurs. »

Mozilla a déclaré que le nouveau système d’IA pouvait analyser le code source et identifier les vulnérabilités d’une manière qui dépendait auparavant d’une expertise humaine rare. Cependant, Mozilla a indiqué que la société était encouragée de constater qu’aucun bug n’avait été trouvé qui n’aurait pas pu être découvert par « un chercheur humain d’élite ». « Certains commentateurs prédisent que les futurs modèles d’IA mettront au jour des formes de vulnérabilités entièrement nouvelles qui défient notre compréhension actuelle, mais nous ne le pensons pas », ont-ils déclaré. « Les logiciels comme Firefox sont conçus de manière modulaire afin que les humains puissent en vérifier la justesse. Ils sont complexes, mais pas arbitrairement complexes. »

Les résultats suggèrent toutefois que les outils d’IA pourraient permettre aux développeurs de détecter un grand nombre de vulnérabilités avant que les attaquants ne les exploitent — même si, à l’inverse, entre de mauvaises mains, cela pourrait causer de gros problèmes tant aux éditeurs de logiciels qu’aux utilisateurs. Lancé en mars, Mythos est le modèle le plus avancé d’Anthropic pour les tâches de raisonnement, de codage et de cybersécurité. Des documents internes de l’entreprise décrivent le système comme faisant partie d’une nouvelle gamme de modèles allant au-delà de la série Opus précédente de l’entreprise. Les tests menés avant la sortie du modèle ont montré qu’il pouvait identifier des milliers de vulnérabilités jusque-là inconnues sur les principaux systèmes d’exploitation et navigateurs web.

Anthropic a limité l’accès au système via un programme restreint appelé Project Glasswing, qui permet à certaines entreprises technologiques — notamment Amazon, Apple et Microsoft — d’utiliser le modèle pour analyser les logiciels à la recherche de failles. Cela reflète un effort croissant au sein du secteur de la cybersécurité pour utiliser des systèmes d’IA afin d’identifier et de corriger les vulnérabilités avant que les attaquants ne puissent les exploiter.

Cependant, cette même technologie pourrait également permettre de nouvelles formes de cyberattaques. Les chercheurs en sécurité affirment que les systèmes d’IA capables d’analyser du code à grande échelle pourraient automatiser la découverte de vulnérabilités exploitables dans les logiciels largement utilisés.

Après le lancement de Mythos, des tests menés par l’AI Security Institute au Royaume-Uni ont révélé que l’IA pouvait exécuter de manière autonome des opérations cybernétiques complexes, notamment mener à bien une simulation d’attaque en plusieurs étapes contre un réseau d’entreprise sans assistance humaine. Ces capacités ont attiré l’attention tant des gouvernements que des agences de renseignement.

Malgré l'appel lancé par l'administration du président Donald Trump pour cesser d'utiliser la technologie d'Anthropic en raison d'un désaccord sur son utilisation dans le cadre de la guerre et de la surveillance, il a été révélé que l'Agence nationale de sécurité (NSA) utilisait Claude Mythos Preview sur des réseaux classifiés, selon des sources proches du déploiement. L'utilisation de Mythos souligne l'intérêt croissant des agences de sécurité américaines pour la capacité du modèle à identifier les vulnérabilités logicielles critiques.

Les performances du modèle ont également mis en évidence les limites des systèmes d'évaluation de l'IA existants. Au début du mois, Anthropic a reconnu que plusieurs benchmarks de cybersécurité ne suffisaient plus à mesurer les capacités de ses tout derniers modèles. Mozilla a déclaré que ces résultats laissaient entrevoir un changement potentiel dans le domaine de la cybersécurité, où les défenseurs pourraient commencer à réduire l'avantage dont bénéficient depuis longtemps les attaquants.

« Nous sommes extrêmement fiers de la manière dont notre équipe a su relever ce défi, et d’autres en feront de même », a écrit Mozilla. « Notre travail n’est pas terminé, mais nous avons franchi un cap et entrevoyons un avenir bien plus prometteur que celui où nous nous contenterions de suivre le mouvement. Les défenseurs ont enfin une chance de l’emporter, et de manière décisive. »

Voici le rapport de Mozilla :


Les failles « zero-day » sont en voie de disparition

Depuis février, l'équipe Firefox travaille sans relâche à l'aide de modèles d'IA de pointe pour détecter et corriger les failles de sécurité latentes du navigateur. Nous avons déjà évoqué notre collaboration avec Anthropic pour analyser Firefox à l'aide d'Opus 4.6, ce qui a permis de corriger 22 bogues critiques pour la sécurité dans Firefox 148.

Dans le cadre de notre collaboration continue avec Anthropic, nous avons eu l’occasion d’appliquer une version préliminaire de Claude Mythos Preview à Firefox. La version 150 de Firefox, sortie cette semaine, inclut des correctifs pour 271 vulnérabilités identifiées lors de cette évaluation initiale.

À mesure que ces capacités sont mises à la disposition d’un plus grand nombre de défenseurs, de nombreuses autres équipes ressentent désormais le même vertige que nous avons éprouvé lorsque ces résultats ont été mis en évidence pour la première fois. Pour une cible bien protégée, un seul de ces bugs aurait constitué une alerte rouge en 2025, et en voir autant d’un seul coup nous amène à nous demander s’il est même possible de suivre le rythme.

Notre expérience est porteuse d’espoir pour les équipes qui parviennent à surmonter ce vertige et à se mettre au travail. Il vous faudra peut-être redéfinir vos priorités pour vous concentrer sans relâche et avec détermination sur cette tâche, mais il y a de la lumière au bout du tunnel. Nous sommes extrêmement fiers de la manière dont notre équipe a relevé ce défi, et d’autres en feront de même. Notre travail n’est pas terminé, mais nous avons franchi un cap et pouvons entrevoir un avenir bien meilleur que le simple fait de suivre le rythme. Les défenseurs ont enfin une chance de gagner, de manière décisive.

Jusqu’à présent, le secteur a largement mené une lutte à égalité en matière de sécurité. Les éditeurs de logiciels critiques exposés à Internet, comme Firefox, prennent la sécurité très au sérieux et disposent d’équipes qui se lèvent chaque matin en réfléchissant à la manière d’assurer la sécurité des utilisateurs. Néanmoins, nous avons tous depuis longtemps admis en silence que réduire à zéro les exploits était un objectif irréaliste. Au lieu de cela, nous avons cherché à les rendre si coûteux que seuls des acteurs disposant de budgets pratiquement illimités puissent se les permettre, et que le coût de la destruction d’un actif aussi onéreux dissuade ces acteurs de les utiliser à la légère.

En effet, jusqu’à présent, la sécurité a été dominée par l’offensive : la surface d’attaque n’est pas infinie, mais elle est suffisamment vaste pour qu’il soit difficile de la défendre de manière exhaustive avec les outils dont nous disposons. Cela confère aux attaquants un avantage asymétrique, puisqu’il leur suffit de trouver une seule faille dans l’armure.

Nous utilisons la défense en profondeur pour mettre en place plusieurs couches de défenses qui se chevauchent, mais aucune couche n’est à l’épreuve des balles. Firefox exécute chaque site web dans un bac à sable (sandbox) distinct, mais les attaquants tentent de combiner des bogues dans le code de rendu avec des bogues dans le bac à sable pour s'échapper vers un contexte plus privilégié. Nous avons été à l'avant-garde de l'industrie dans le développement et l'adoption de Rust, mais nous ne pouvons toujours pas nous permettre d'arrêter tout pour réécrire des décennies de code C++, d'autant plus que Rust n'atténue que certaines classes (très courantes) de vulnérabilités.

Nous associons l'ingénierie de la défense en profondeur à une équipe rouge interne chargée de rester à la pointe des techniques d'analyse automatisée. Jusqu'à récemment, il s'agissait principalement de techniques d'analyse dynamique comme le fuzzing. Le fuzzing est très efficace dans la pratique, mais certaines parties du code sont plus difficiles à fuzzer que d'autres, ce qui conduit à une couverture inégale.

Les chercheurs en sécurité d’élite trouvent des bogues que les fuzzers ne peuvent pas détecter, principalement en analysant le code source. Cette méthode est efficace, mais chronophage et dépend de l’expertise humaine, qui est une ressource rare. Il y a quelques mois, les ordinateurs étaient totalement incapables de le faire, et aujourd’hui, ils excellent dans ce domaine. Nous avons de nombreuses années d’expérience à décortiquer le travail des meilleurs chercheurs en sécurité du monde, et Mythos Preview est tout aussi performant. Jusqu’à présent, nous n’avons trouvé aucune catégorie ni aucune complexité de vulnérabilité que les humains peuvent détecter et que ce modèle ne peut pas.

Cela peut sembler terrifiant à court terme, mais c’est finalement une excellente nouvelle pour les défenseurs. Un écart entre les bogues détectables par les machines et ceux détectables par les humains favorise l’attaquant, qui peut consacrer de nombreux mois d’efforts humains coûteux à la recherche d’un seul bogue. Combler cet écart érode l’avantage à long terme de l’attaquant en rendant toutes les découvertes peu coûteuses.

Il est encourageant de constater que nous n’avons pas non plus observé de bogues qui n’auraient pas pu être détectés par un chercheur humain d’élite. Certains commentateurs prédisent que les futurs modèles d’IA mettront au jour des formes de vulnérabilités entièrement nouvelles qui défient notre compréhension actuelle, mais nous ne le pensons pas. Les logiciels comme Firefox sont conçus de manière modulaire afin que les humains puissent en vérifier la justesse. Ils sont complexes, mais pas arbitrairement complexes¹.

Les défauts sont finis, et nous entrons dans un monde où nous pouvons enfin tous les trouver.

Source : Rapport de Mozilla

Et vous ?

Pensez-vous que ce rapport est crédible ou pertinent ?
Quel est votre avis sur le sujet ?

Voir aussi :

L'IA Claude Opus 4.6 d'Anthropic a analysé le code du navigateur Firefox et a trouvé plus de 100 bogues, soit plus de bogues en deux semaines que le nombre total signalé dans le monde en deux mois

Le monde «pourrait ne pas avoir le temps» de se préparer aux risques liés à la sécurité de l'IA, selon un chercheur. L'industrie joue-t-elle avec le feu en déployant des systèmes que personne ne maîtrise ?

Mythos, le modèle IA trop dangereux pour être publié, accessible à des inconnus : comment un groupe de curieux sur Discord a contourné le dispositif de contrôle dans la chaîne de sous-traitance d'Anthropic
Vous avez lu gratuitement 35 812 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de Anselme45
Membre extrêmement actif https://www.developpez.com
Le 22/04/2026 à 15:50
Quand Mythos a été annoncé comme ne devant être distribué qu'à un nombre limité d'entreprises de la high tech californienne, j'ai posé la question suivante:

Et après avoir filé leur magnifique outil aux big tech, il va se passer combien de temps pour que ce dernier se retrouve dans les mains de vrais méchants hackers, étatiques ou autres?

Cela va se calculer en jours? En heures? Ou en secondes?
Ben, voilà... On a la réponse!
4  0 
Avatar de OrthodoxWindows
Membre expert https://www.developpez.com
Le 22/04/2026 à 16:53
Citation Envoyé par OuftiBoy Voir le message
Là, pour le coup, c'est raté, leur monstre est maintenant dans la nature...
Tout ce qui est "dans le cloud" finira un jour par être dévoilé. Ce n'est jamais qu'une question de temps. Croire le contraire est une erreur...

Mais ce n'est que mon avis, il n'engage que moi.

BàV et Peace & Love.
Je pense d'ailleurs qu'il est encor préférable que Claude Mythos soit totalement accessible au public, qu'accessible de manière ciblée mais finalement assez large.
A à ce moment, il risque de n'être découvert, certes sillégalement ou par la menace judiciaire (dans le cas d'acteurs étatiques), que par les pires acteurs (les sections militaires des cyberattaques, les services secrets gouvernementaux, les grosses mafias spécialisés dans les demandes de rançons...) en ciblant des logiciels auquel souvent, les développeurs, notamment dans le cas de projets open-source à faible moyen mais à importance cruciale, n'auront pas. Alors qu'a contrario, si tout le monde y a accès, il sera plus facile pour les développeurs concernés de détecter et corriger des failles avant qu'elles ne soient découvertes par des acteurs malveillants...
0  0 
Avatar de eomer212
Membre confirmé https://www.developpez.com
Le 27/04/2026 à 23:55
qu'attends l'ansi pour se mettre à la page et passer les services Français au crible de cette machine.?? ben ca pose un très gros problème en fait. car pour ca il faudrait alimenter claude avec les sources des dits services..
alors est-ce que mistral a les mêmes capacités ou approchantes? parce que , si on regarde les news récentes, c'est une avalanche de piratages et de pénétrations des services de l'état ou affiliés. l'informatique française est elle devenue une passoire gérée par des imbéciles incompétents.?
il serait temps d'oser se poser la question au vu des faits. pour résoudre un probléme, il faut oser le nommer pour le reconnaitre. hors, j'ai l'impression que à part, 'circulez ya rien à voir', rien n'est fait pour prévenir, auditer correctement et sécuriser les services de l'état et des grandes entreprises dont nous dépendons tous.
0  0 
Avatar de suricata
Nouveau Candidat au Club https://www.developpez.com
Le 28/05/2026 à 15:39
Ce qui me rassure entre autre dans cette news est que nous aurons toujours besoin d'humains. Donc je ne suis pas au chômage tout de suite.

Autre point, la défense dispose d'un outil pour prendre le pas sur l'attaque. Je l'expérimente déjà depuis 2016 chez Thales et son IA cortAIx qui n'est pas un LLM. Nous avons migré toute l'entreprise sur Debian et fait de la détection de failles et les corrections avec l'IA en juin 2025.
0  0 
Avatar de OuftiBoy
Membre éprouvé https://www.developpez.com
Le 22/04/2026 à 11:10
Pierre Louis Chevalier,

Citation Envoyé par Pierre Louis Chevalier Voir le message
C'est expliqué dans l'article, pour tout ceux qui n'ont rien lu à part le titre de l'annonce, au lieu de lâcher le monstre dans la nature, et que les hackers puissent s'en servir pour faire des dommages énormes, ils vont le filer dans un premier temps en avant première à la big tech pour qu'ils puissent détecter leurs failles et les colmater avant de se faire encore plus massacrer par les attaques.
Là, pour le coup, c'est raté, leur monstre est maintenant dans la nature...
Tout ce qui est "dans le cloud" finira un jour par être dévoilé. Ce n'est jamais qu'une question de temps. Croire le contraire est une erreur...

Mais ce n'est que mon avis, il n'engage que moi.

BàV et Peace & Love.
2  3