Firefox a trouvé et corrigé plus de failles de sécurité en un mois qu'au cours des 15 mois précédents

Firefox a trouvé et corrigé plus de failles de sécurité en un mois qu’au cours des 15 mois précédents

ParSteven de Simseo

Il y a un an, Mozilla corrigeait 31 failles de sécurité dans son navigateur Firefox. En avril 2026, il en a corrigé 423. La croissance est spectaculaire et n’a qu’un seul responsable : Claude Mythos Preview, le modèle d’IA qu’Anthropic a décidé de ne pas rendre public car il le jugeait trop performant. L’analyse récente des experts de Mozilla a confirmé plus que jamais que Mythos n’était pas juste.

L’IA voit tout. L’intégration de Mythos dans le processus d’analyse des vulnérabilités de Firefox a provoqué une sorte d’explosion technique de « nettoyage ». Ce n’est pas que le code de Firefox soit pire maintenant, mais que les yeux qui l’analysent sont beaucoup plus aiguisés et semblent tout voir. Le graphique de Mozilla est convaincant : avec l’aide de Claude Mythos, l’équipe Firefox a trouvé plus de failles de sécurité en avril qu’au cours des 15 derniers mois réunis.

Firefox

Odeur. Le modèle est non seulement plus rapide lorsqu’il s’agit de détecter ces pannes, mais il possède une certaine « odeur » qui surpasse tout ce que l’on a vu jusqu’à présent dans les outils commerciaux. L’outil d’IA a pu identifier 271 des 423 bugs corrigés, et ce chiffre est dérisoire en comparaison avec d’autres méthodes traditionnelles telles que l’inspection manuelle. Mythos a montré qu’il pouvait évaluer son propre travail et filtrer le bruit, en raisonnant de manière récursive et en excluant les hallucinations.

Erreurs archéologiques. Parmi les découvertes les plus surprenantes qu’ils ont faites au cours de ce processus, il y a un bug dans le moteur XSLT (bug 2025977) qui était présent dans le navigateur depuis 20 ans. Mythos a également mis au jour un problème vieux de 15 ans avec le « 

 » du HTML qui ne pouvait être exploité que par une combinaison complexe de cas extrêmes à déclencher. L’IA ne se contente pas de trouver des bugs « typiques », mais elle fait exactement cela : combiner toutes sortes d’actions pour trouver des bugs qui seraient presque impossibles à détecter de manière traditionnelle.

Des patchs humains. Mozilla a cependant été clair sur quelque chose d’important : ils n’utilisent toujours pas l’IA pour écrire le code final qui finit par être déployé dans la version du navigateur utilisée par les utilisateurs. Ils demandent à Mythos de suggérer comment résoudre le problème, mais les ingénieurs ont constaté que ces suggestions sont souvent des modèles conceptuels qui ne sont pas prêts pour les environnements de production. Dans chacun des 423 correctifs créés, il y avait au moins un ingénieur humain qui a écrit le correctif et un autre qui l’a révisé. L’IA est le détecteur d’élite, mais dans ce cas, elle ne remplace toujours pas un développeur senior.

Un avenir plein d’espoir (pour Amodei). Lors d’un récent événement, le PDG d’Anthropic, Dario Amodei, s’est montré optimiste, soulignant que ces nouveaux outils bénéficieraient en fin de compte aux défenseurs de la cybersécurité. « Si nous gérons cela correctement, nous pourrions être dans une meilleure position qu’avant, car nous avons corrigé toutes ces erreurs. Il n’y a qu’un nombre fini d’erreurs à trouver, donc je pense qu’il y a un monde meilleur en vue. »

Chez Mozilla, ils ne sont pas si clairs. Brian Grinstead, un ingénieur distingué chez Mozilla, a une vision plus pragmatique et prudente. Il convient que disposer de ces options est légèrement plus avantageux pour les défenseurs. Cependant, il prévient qu’il est très probable que les attaquants utilisent déjà des techniques similaires avec leurs propres modèles. La course ne sera pas tant à celui qui trouvera le bug, mais plutôt à celui qui le fera en premier.

L’IA dans le cadre du processus. Le plan immédiat de Mozilla n’est pas seulement d’analyser le code déjà publié, mais d’intégrer cette analyse dans le processus de développement logiciel en temps réel. Ou ce qui revient au même : chaque fois qu’une nouvelle ligne de code est « mordue », analysez comment cela peut introduire des vulnérabilités. Firefox 150 est proposé comme la version la plus sécurisée du navigateur à ce jour, et tout cela grâce à ce travail entre les ingénieurs humains et la puissance de calcul d’Anthropic.

Par profession, chasseur de primes de bugs informatiques

La fin des chasseurs de primes ? La montée en puissance de Mythos en tant que grand détecteur de vulnérabilité peut mettre en danger l’une des professions les plus traditionnellement spécialisées au monde : les chasseurs de bug bounty. Les célèbres qui encourageaient les experts humains à détecter de nouveaux bugs et les récompensaient par de succulentes récompenses financières n’avaient plus de sens face à l’utilisation d’outils comme Claude Mythos.

À Simseo | Depuis des décennies, Linux a acquis la réputation d’être un système d’exploitation « protégé ». Jusqu’à maintenant

Steven de Simseo
Steven de Simseo

Steven, rédacteur en chef et moteur de Simseo, fusionne une expertise en intelligence artificielle avec une vision futuriste. Pionnier dans son domaine, il guide son équipe avec passion, transformant les complexités de l'IA en récits captivants et accessibles pour le grand public.