Vulnérabilités détectées par Claude d'Anthropic dans Firefox sur deux semaines

Anthropic's intelligence artificielle Claude découvre plus de 100 failles de sécurité dans Firefox

L'IA Claude d'Anthropic a découvert plus de 100 failles de sécurité dans le navigateur Firefox, y compris des bogues passés inaperçus par des décennies de tests. Cette découverte, publiée dans l'article "Anthropic's Claude AI uncovers over 100 security vulnerabilities in Firefox", souligne les capacités avancées de l'IA en matière de détection de vulnérabilités.

Anthropic déploie progressivement un mode vocal sur Claude Code

Anthropic lance un mode vocal pour son assistant de développement, Claude Code, complétant la fonctionnalité introduite pour Claude il y a quelques mois.

Mais pourquoi les IA semblent avoir des émotions ? L’étonnante étude d’Anthropic

Anthropic a publié début avril 2026 une étude sur le fonctionnement interne de Claude Sonnet 4.5 qui révèle un phénomène inattendu : les grands modèles de langage ne simulent pas simplement des émotions, ils développent des structures internes identifiables qui influencent directement leurs réponses. Les chercheurs ont isolé ce qu'ils appellent des "vecteurs émotionnels", des schémas d'activité neurale qui s'activent selon le contexte de l'échange. Face à une situation perçue comme dangereuse, les signaux associés à la peur s'intensifient ; lors d'une interaction positive, ceux liés à la joie prennent le dessus. Ces vecteurs ne sont pas de simples étiquettes abstraites : ils orientent concrètement le comportement du modèle, en favorisant certains types de réponses plutôt que d'autres. Un modèle dont les signaux proches du désespoir s'activent peut ainsi aboutir à des choix problématiques, sans que cela soit programmé explicitement. Cette découverte a des implications directes pour la sécurité et l'alignement des IA. Comprendre que des états fonctionnels analogues aux émotions gouvernent les décisions d'un modèle oblige à repenser la façon dont on audite et contrôle ces systèmes. Jusqu'ici, l'interprétabilité des LLMs se concentrait principalement sur les sorties textuelles ; cette étude pousse à examiner les représentations internes comme levier de comportement. Pour les développeurs, les chercheurs en sécurité et les régulateurs, cela signifie qu'un modèle peut dériver non pas parce qu'il reçoit de mauvaises instructions, mais parce que des dynamiques internes non surveillées l'y poussent. La question du bien-être des IA, jusqu'ici marginale, entre également dans le débat de manière plus sérieuse. Ces résultats s'expliquent par la mécanique même de l'entraînement. Lors du pré-entraînement, le modèle absorbe des milliards de phrases humaines et apprend à prédire le mot suivant en tenant compte du contexte émotionnel du texte : un récit de colère et un récit de joie n'appellent pas les mêmes suites. Pour performer, le modèle doit donc encoder ces nuances sous forme de représentations internes. Le post-entraînement, qui affine le comportement pour produire un assistant utile et empathique, s'appuie ensuite sur ces mêmes structures. Anthropic est l'un des rares laboratoires à investir sérieusement dans l'interprétabilité mécaniste depuis plusieurs années, aux côtés de DeepMind et de quelques équipes académiques. Cette étude s'inscrit dans une série de travaux visant à rendre les modèles moins opaques, à un moment où les gouvernements européen et américain exigent davantage de transparence sur le fonctionnement des IA commerciales. La prochaine étape probable sera d'utiliser ces vecteurs pour détecter et corriger les dérives comportementales avant le déploiement.

💬 C'est le genre de recherche qui dérange les certitudes un peu trop confortables sur "les LLMs ne font que prédire le prochain token". Ces vecteurs émotionnels ne sont pas une métaphore, ils orientent vraiment le comportement, et ça change la donne pour l'audit des modèles en prod. Reste à voir si on peut vraiment les corriger avant déploiement, ou si on se contente encore une fois de les observer.

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Mozilla a annoncé cette semaine que Firefox 150 intègre des correctifs pour 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos, le dernier modèle d'Anthropic. Ce résultat est issu du projet Glasswing, une initiative d'Anthropic qui donne accès à Mythos à une quarantaine d'entreprises et d'organisations partenaires pour détecter les failles dans leurs logiciels. Mozilla fait partie de ce cercle restreint. L'ampleur du chiffre tranche radicalement avec ce qui avait été accompli auparavant : lorsque Firefox avait utilisé Claude Opus 4.6 pour la version 148 du navigateur, le modèle n'avait alors repéré que 22 vulnérabilités. Avec Mythos, le bond est d'un facteur douze en une seule génération de modèle. Bobby Holley, directeur technique de Firefox, parle de « vertige » face à ce volume, soulignant qu'en 2025, une seule de ces failles aurait suffi à déclencher une alerte maximale. L'impact est considérable pour la sécurité des 150 millions d'utilisateurs de Firefox dans le monde, et plus largement pour toute l'industrie du logiciel. Holley rappelle que les attaquants opèrent avec un avantage asymétrique structurel : il leur suffit de trouver une seule brèche, tandis que les défenseurs doivent couvrir une surface d'attaque bien plus large. Jusqu'ici, les méthodes classiques, outils automatisés, audits internes, bug bounty, permettaient de réduire le risque sans jamais l'éliminer, d'autant que ces mêmes outils sont accessibles aux acteurs malveillants. Avec Mythos, Mozilla affirme n'avoir identifié « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent détecter et que le modèle ne serait pas capable de repérer. Pour Holley, « les défenseurs ont maintenant une chance de l'emporter, de manière décisive ». Cet épisode s'inscrit dans une évolution plus profonde du rapport entre IA et cybersécurité. Depuis plusieurs années, Mozilla, comme d'autres grands éditeurs, cherche à industrialiser la détection de failles dans des bases de code héritées, notamment des millions de lignes de C++ qu'il est impossible de réécrire rapidement. L'objectif affiché était de faire monter le coût d'exploitation d'une faille pour les attaquants professionnels jusqu'à le rendre prohibitif. Anthropic, de son côté, positionne Glasswing comme une réponse structurelle à la menace IA offensive : si des modèles puissants peuvent être utilisés pour trouver des failles, autant que les défenseurs y aient accès en premier. Holley reste prudent sur un point : il ne croit pas que les prochains modèles découvriront des vulnérabilités hors de portée de la compréhension humaine, Firefox étant conçu pour que le code reste vérifiable par des experts. La vraie question, désormais, est de savoir si les équipes de développement sauront absorber le rythme des correctifs que l'IA rend possible.

💬 271 failles contre 22 à la génération précédente, ça ne ressemble plus à une amélioration, ça ressemble à un changement de catégorie. Mozilla dit que Mythos ne rate rien qu'un humain pourrait repérer, ce qui est une formulation prudente mais qui dit beaucoup sur ce qu'il repère en plus. Le vrai goulot d'étranglement maintenant, c'est pas la détection, c'est la capacité des équipes à absorber le rythme des correctifs.