Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Le pipeline IA de Mozilla et Claude Mythos Preview révèlent 271 failles inconnues dans Firefox

Mozilla a utilisé Claude Mythos Preview, le dernier modèle d'Anthropic, pour passer au crible Firefox 150 et a découvert 271 failles de sécurité jusqu'alors inconnues. Parmi elles, certaines vulnérabilités dormaient dans le code depuis près de vingt ans, sans jamais avoir été détectées par les méthodes d'audit traditionnelles. L'opération s'est appuyée sur un pipeline agentique : l'IA ne se contente pas d'analyser le code statiquement, elle construit et exécute elle-même des cas de test pour éliminer les faux positifs avant de remonter les alertes. L'ampleur de la découverte souligne les limites des approches humaines et outillées classiques face à des bases de code aussi massives que Firefox, qui compte des dizaines de millions de lignes accumulées sur plus de deux décennies. Pour les utilisateurs, ces 271 failles représentaient autant de vecteurs d'attaque potentiels restés ouverts sans que personne le sache. Pour l'industrie du logiciel, le résultat pose une question directe : combien de vulnérabilités similaires sommeillent dans d'autres projets majeurs, faute d'une capacité d'analyse à cette échelle ? Mozilla entend désormais intégrer ce type de vérification automatique dans son cycle de développement continu, chaque nouvelle portion de code devant être analysée avant tout commit. Cette décision marque un tournant dans l'usage de l'IA comme outil de sécurité offensive et préventive, et non plus seulement d'assistance au développeur. Anthropic, qui pousse activement ses modèles vers des usages agentiques, voit là une démonstration concrète de la valeur de Claude Mythos Preview dans des environnements de production critiques.

💬 271 failles qui dormaient là depuis vingt ans sans jamais se faire attraper, c'est une claque. Ce qui change vraiment avec ce pipeline, c'est que l'IA ne se contente pas de scanner le code statiquement, elle écrit et exécute ses propres cas de test pour filtrer les faux positifs avant de remonter les alertes. Si c'est ce qu'on trouve dans Firefox, avec des décennies d'audit derrière lui, j'ose pas imaginer ce qui sommeille ailleurs.

Mozilla : 271 failles détectées par Mythos avec quasiment aucun faux positif

Mozilla a utilisé Mythos, un modèle d'intelligence artificielle développé par Anthropic spécialisé dans la détection de failles logicielles, pour identifier 271 vulnérabilités dans Firefox en l'espace de deux mois. Les ingénieurs de la fondation ont publié jeudi un retour détaillé sur cette expérience, expliquant que le résultat repose sur deux facteurs combinés : l'amélioration des modèles eux-mêmes, et le développement par Mozilla d'un "harness" sur mesure, un environnement d'exécution adapté permettant à Mythos d'analyser efficacement le code source du navigateur. Le taux de faux positifs relevé serait quasi nul, ce qui constitue une rupture nette avec les tentatives précédentes. C'est précisément ce point qui marque un tournant concret. Jusqu'à présent, les outils d'IA appliqués à l'audit de sécurité produisaient ce que les développeurs appellent du "slop" : des rapports de bugs plausibles en apparence, mais truffés de détails hallusinés, qui obligeaient les équipes humaines à vérifier chaque résultat manuellement, annulant une grande partie du gain de productivité promis. Avec Mythos et le harness maison, Mozilla affirme avoir franchi le seuil de fiabilité nécessaire pour intégrer cet outil dans un vrai pipeline de sécurité. Pour l'industrie du logiciel, cela signifie que la détection automatisée de failles pourrait enfin décharger de façon significative les équipes de sécurité, accélérer les cycles de correction, et réduire la fenêtre d'exposition aux attaques. Le contexte de cette annonce est important. Le mois dernier, le CTO de Mozilla avait provoqué une vague de scepticisme en déclarant que "les zero-days sont comptés" et que "les défenseurs ont enfin une chance de gagner, de façon décisive" grâce à l'IA. Ces formules avaient été perçues comme du marketing habituel autour de résultats soigneusement triés. La publication de jeudi est une réponse directe à ces critiques, avec des chiffres et une méthodologie à l'appui. L'enjeu dépasse Firefox : si l'approche se généralise, elle pourrait redéfinir la façon dont l'ensemble de l'industrie audite la sécurité de ses logiciels, à une échelle et une cadence inaccessibles aux seules équipes humaines.

Claude Mythos : Anthropic ouvre son IA à 150 nouvelles organisations

Anthropic a annoncé le 2 juin 2026 l'élargissement de son programme Project Glasswing, ouvrant l'accès à son IA spécialisée en cybersécurité Claude Mythos à environ 150 nouvelles organisations réparties dans plus de 15 pays. Lancé en avril 2026, le programme comptait initialement une cinquantaine de partenaires parmi lesquels AWS, Apple, Google et Microsoft. Ces premiers participants auraient, selon Anthropic, identifié plus de 10 000 vulnérabilités critiques dans différents projets logiciels en l'espace de quelques semaines. La nouvelle vague d'organisations intègre des secteurs considérés comme essentiels : énergie, santé, télécommunications et gestion de l'eau. Sur le plan géographique, l'expansion touche plusieurs pays européens, mais aussi le Canada, l'Australie, le Japon, l'Inde et la Corée du Sud. L'ENISA, l'agence européenne de cybersécurité, figure parmi les nouveaux membres du programme. L'enjeu est considérable : en donnant à des défenseurs un accès anticipé aux capacités d'analyse de Mythos, Anthropic cherche à inverser l'asymétrie traditionnelle entre attaquants et défenseurs dans le cyberespace. Les secteurs critiques comme les hôpitaux ou les réseaux électriques sont des cibles de choix pour les cyberattaques, souvent paralysées par des failles logicielles non corrigées. Disposer d'un outil capable de détecter automatiquement ces vulnérabilités avant leur exploitation représente un avantage opérationnel majeur. Pour les équipes de sécurité, cela se traduit par une capacité à traiter en quelques jours un volume d'analyse qui aurait autrefois mobilisé des équipes entières pendant des mois. Project Glasswing illustre un débat structurant de l'industrie de l'IA : comment mettre à disposition des outils puissants sans les transformer en vecteurs d'attaque. L'accès à Mythos reste contrôlé et réservé à des acteurs vérifiés, une approche délibérément prudente face à des capacités qui, entre de mauvaises mains, pourraient tout aussi bien servir à exploiter les failles qu'à les colmater. La pression internationale avait par ailleurs pesé sur cette décision : plusieurs gouvernements et régulateurs hors des États-Unis réclamaient un accès équitable à ces outils, estimant ne pas pouvoir assurer la défense de leurs infrastructures sans disposer des mêmes capacités analytiques que leurs homologues américains. Cette expansion marque donc à la fois une réponse diplomatique et une validation commerciale du modèle : les résultats obtenus lors de la première phase ont suffisamment convaincu Anthropic pour accélérer le déploiement et asseoir Mythos comme référence dans la cybersécurité assistée par IA.

💬 10 000 vulnérabilités identifiées en quelques semaines par la première vague de partenaires, c'est le genre de stat difficile à ignorer. Ce qui change avec cette expansion, c'est l'ENISA et les infras critiques européennes dans la boucle, les défenseurs hors États-Unis avaient jusqu'ici les mains vides. Garder l'accès contrôlé à 150 organisations dans 15 pays, c'est là que ça va devenir intéressant à surveiller.

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Mozilla a annoncé cette semaine que Firefox 150 intègre des correctifs pour 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos, le dernier modèle d'Anthropic. Ce résultat est issu du projet Glasswing, une initiative d'Anthropic qui donne accès à Mythos à une quarantaine d'entreprises et d'organisations partenaires pour détecter les failles dans leurs logiciels. Mozilla fait partie de ce cercle restreint. L'ampleur du chiffre tranche radicalement avec ce qui avait été accompli auparavant : lorsque Firefox avait utilisé Claude Opus 4.6 pour la version 148 du navigateur, le modèle n'avait alors repéré que 22 vulnérabilités. Avec Mythos, le bond est d'un facteur douze en une seule génération de modèle. Bobby Holley, directeur technique de Firefox, parle de « vertige » face à ce volume, soulignant qu'en 2025, une seule de ces failles aurait suffi à déclencher une alerte maximale. L'impact est considérable pour la sécurité des 150 millions d'utilisateurs de Firefox dans le monde, et plus largement pour toute l'industrie du logiciel. Holley rappelle que les attaquants opèrent avec un avantage asymétrique structurel : il leur suffit de trouver une seule brèche, tandis que les défenseurs doivent couvrir une surface d'attaque bien plus large. Jusqu'ici, les méthodes classiques, outils automatisés, audits internes, bug bounty, permettaient de réduire le risque sans jamais l'éliminer, d'autant que ces mêmes outils sont accessibles aux acteurs malveillants. Avec Mythos, Mozilla affirme n'avoir identifié « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent détecter et que le modèle ne serait pas capable de repérer. Pour Holley, « les défenseurs ont maintenant une chance de l'emporter, de manière décisive ». Cet épisode s'inscrit dans une évolution plus profonde du rapport entre IA et cybersécurité. Depuis plusieurs années, Mozilla, comme d'autres grands éditeurs, cherche à industrialiser la détection de failles dans des bases de code héritées, notamment des millions de lignes de C++ qu'il est impossible de réécrire rapidement. L'objectif affiché était de faire monter le coût d'exploitation d'une faille pour les attaquants professionnels jusqu'à le rendre prohibitif. Anthropic, de son côté, positionne Glasswing comme une réponse structurelle à la menace IA offensive : si des modèles puissants peuvent être utilisés pour trouver des failles, autant que les défenseurs y aient accès en premier. Holley reste prudent sur un point : il ne croit pas que les prochains modèles découvriront des vulnérabilités hors de portée de la compréhension humaine, Firefox étant conçu pour que le code reste vérifiable par des experts. La vraie question, désormais, est de savoir si les équipes de développement sauront absorber le rythme des correctifs que l'IA rend possible.

💬 271 failles contre 22 à la génération précédente, ça ne ressemble plus à une amélioration, ça ressemble à un changement de catégorie. Mozilla dit que Mythos ne rate rien qu'un humain pourrait repérer, ce qui est une formulation prudente mais qui dit beaucoup sur ce qu'il repère en plus. Le vrai goulot d'étranglement maintenant, c'est pas la détection, c'est la capacité des équipes à absorber le rythme des correctifs.