Claude vient de le démontrer avec Firefox
Pendant des années, la découverte de vulnérabilités graves dans des logiciels complexes a été une tâche réservée à des chercheurs spécialisés qui passaient des semaines ou des mois à examiner des millions de lignes de code. Ce scénario commence à changer. Les modèles d’intelligence artificielle ne se limitent plus à générer du code ou à aider à le déboguer, ils commencent également à détecter par eux-mêmes les failles de sécurité. Un exemple récent a été montré par Anthropic avec Claude Opus 4.6, son modèle le plus avancé, lors de son test avec Firefox. L'expérience est d'autant plus marquante que Firefox, géré par Mozilla et utilisé par des centaines de millions de personnes, est l'un des projets open source les plus audités de l'écosystème web.
Analysez le code du navigateur Firefox. Au cours de deux semaines de tests, le système a identifié 22 vulnérabilités différentes, selon les informations publiées par les deux organisations. Mozilla a évalué 14 d'entre elles comme des failles de haute gravité, ce qui signifie qu'elles auraient pu servir de base à des attaques si quelqu'un avait développé le code d'exploitation approprié. Selon les responsables du projet, la plupart de ces problèmes ont déjà été résolus dans Firefox 148, la version publiée en février, tandis que le reste sera corrigé dans les versions futures.
À l'intérieur de l'expérience. Le travail de Claude n'était pas une simple recherche automatique d'erreurs. Selon Anthropic, l'équipe a d'abord utilisé le modèle pour tenter de reproduire les vulnérabilités historiques enregistrées dans Firefox, une façon de tester si elle était capable de reconnaître de véritables modèles de défaillance. Ils sont ensuite passés à la partie la plus intéressante de l'expérience : lui demander d'analyser la version actuelle du navigateur pour localiser des problèmes qui n'avaient pas encore été signalés. Le processus a démarré dans le moteur JavaScript, puis s'est étendu à d'autres zones du code. Au total, l'analyse a couvert des milliers de fichiers du projet, dont plusieurs milliers de fichiers C++, générant une longue liste de résultats qui ont ensuite été examinés par les chercheurs.
Un fait frappant. Claude a trouvé plus de bugs de haute gravité en deux semaines que le navigateur n'en reçoit habituellement en deux mois environ via ses canaux d'enquête habituels. Au cours du processus, l'équipe d'Anthropic a soumis 112 rapports uniques au système de suivi des bogues du projet, même si tous n'étaient pas des vulnérabilités confirmées. Une partie du travail de Mozilla consistait précisément à examiner, déboguer et classer ces résultats avant de déterminer lesquels avaient de réelles implications en matière de sécurité. L’expérience a fini par devenir une collaboration directe entre les deux organisations pour examiner les résultats et prioriser les corrections.
L'autre moitié du problème. L’équipe d’Anthropic souhaitait également voir jusqu’où le modèle pouvait aller au-delà de la détection d’erreurs et transformer ces échecs en véritables attaques. Pour ce faire, ils lui ont demandé de développer des solutions capables de tirer parti des vulnérabilités découvertes. L'expérience comprenait des centaines d'exécutions avec différentes approches et coûtait environ 4 000 $ en crédits API. Pourtant, le résultat a montré une nette différence entre les deux capacités : Claude n'a réussi à générer que deux exploits fonctionnels dans un environnement de test simplifié, sans certaines des défenses présentes dans un vrai navigateur.
Au-delà du cas spécifique de Firefox, l’expérimentation reflète une évolution qui commence à la fois à inquiéter et à intéresser la communauté de la sécurité. Les outils basés sur l'IA s'améliorent rapidement dans la détection des vulnérabilités dans les logiciels complexes, ce qui pourrait aider les développeurs à corriger les bogues plus rapidement.
Images | Anthropique | Rubaitul Azad
À Simseo | Les iPhones étaient censés être les téléphones portables les plus sécurisés au monde. C'était censé
