L’accès anticipé à Claude Mythos d’Anthropic a permis à Mozilla d’identifier à l’avance 271 vulnérabilités de sécurité et de les intégrer à Firefox 150, disponible dès maintenant. Ce résultat relance le débat sur l’effet réel de l’intelligence artificielle sur la cybersécurité, mais Mozilla y voit déjà un net avantage pour les défenseurs.
Quand l’IA aide à trouver de nombreuses vulnérabilités dans Firefox
Anthropic a expliqué plus tôt ce mois-ci que Claude Mythos avait suffisamment réussi à détecter des failles de sécurité pour que sa distribution initiale ait été limitée à un petit groupe de partenaires industriels jugés critiques. Depuis lors, le débat oppose ceux qui y voient un accélérateur potentiel du piratage à ceux qui considèrent ce modèle comme une simple étape supplémentaire dans la progression des capacités de l’IA.
Mozilla a apporté un élément concret à cette discussion en affirmant que Claude Mythos l’avait aidé à identifier 271 vulnérabilités branchées sur Firefox 150. Bobby Holley, directeur technique de Firefox, juge même que cela donne finalement aux défenseurs « une chance de gagner, de manière décisive » dans le rapport de force avec les attaquants.
À titre de comparaison, le modèle Opus 4.6 d’Anthropic n’a trouvé que 22 vulnérabilités sensibles en matière de sécurité lors de l’analyse de Firefox 148 le mois dernier.
Un diagnostic beaucoup moins coûteux
Bobby Holley précise que les vulnérabilités repérées par Claude Mythos auraient également pu être découvertes par des techniques de scan automatisées. fuzzant ou par un chercheur en sécurité très expérimenté qui examine le code source. Mais il estime que le modèle évite, dans de nombreux cas, de consacrer de longs mois de travail humain coûteux pour débusquer un seul défaut.
Le problème dépasse de toute façon Firefox. L’analyse des vulnérabilités assistée par l’IA deviendra indispensable pour tous les logiciels, car un grand nombre de vulnérabilités auparavant enfouies deviennent désormais plus facilement détectables.
Cette évolution pourrait être encore plus importante pour l’open source. Les projets de codes publics sont plus faciles à explorer pour les systèmes d’IA, même si certains d’entre eux reposent sur une maintenance volontaire insuffisante pour garantir un bon niveau de sécurité.
