Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Le pipeline IA de Mozilla et Claude Mythos Preview révèlent 271 failles inconnues dans Firefox

Mozilla a utilisé Claude Mythos Preview, le dernier modèle d'Anthropic, pour passer au crible Firefox 150 et a découvert 271 failles de sécurité jusqu'alors inconnues. Parmi elles, certaines vulnérabilités dormaient dans le code depuis près de vingt ans, sans jamais avoir été détectées par les méthodes d'audit traditionnelles. L'opération s'est appuyée sur un pipeline agentique : l'IA ne se contente pas d'analyser le code statiquement, elle construit et exécute elle-même des cas de test pour éliminer les faux positifs avant de remonter les alertes. L'ampleur de la découverte souligne les limites des approches humaines et outillées classiques face à des bases de code aussi massives que Firefox, qui compte des dizaines de millions de lignes accumulées sur plus de deux décennies. Pour les utilisateurs, ces 271 failles représentaient autant de vecteurs d'attaque potentiels restés ouverts sans que personne le sache. Pour l'industrie du logiciel, le résultat pose une question directe : combien de vulnérabilités similaires sommeillent dans d'autres projets majeurs, faute d'une capacité d'analyse à cette échelle ? Mozilla entend désormais intégrer ce type de vérification automatique dans son cycle de développement continu, chaque nouvelle portion de code devant être analysée avant tout commit. Cette décision marque un tournant dans l'usage de l'IA comme outil de sécurité offensive et préventive, et non plus seulement d'assistance au développeur. Anthropic, qui pousse activement ses modèles vers des usages agentiques, voit là une démonstration concrète de la valeur de Claude Mythos Preview dans des environnements de production critiques.

💬 271 failles qui dormaient là depuis vingt ans sans jamais se faire attraper, c'est une claque. Ce qui change vraiment avec ce pipeline, c'est que l'IA ne se contente pas de scanner le code statiquement, elle écrit et exécute ses propres cas de test pour filtrer les faux positifs avant de remonter les alertes. Si c'est ce qu'on trouve dans Firefox, avec des décennies d'audit derrière lui, j'ose pas imaginer ce qui sommeille ailleurs.

Les IA de détection de vulnérabilités réduisent les coûts de sécurité en entreprise

L'équipe d'ingénierie de Mozilla Firefox a annoncé avoir identifié et corrigé 271 vulnérabilités de sécurité dans la version 150 du navigateur, grâce à une évaluation menée avec Claude Mythos Preview, le modèle frontier d'Anthropic. Cette collaboration fait suite à un premier partenariat avec Anthropic utilisant Claude Opus 4.6, qui avait permis de détecter 22 corrections sensibles sur le plan sécuritaire dans la version 148. En quelques semaines, l'IA a donc fait remonter des centaines de failles dans un codebase mature et massif, un résultat que des équipes humaines auraient mis des mois à produire. Les ingénieurs de Firefox ont également noté qu'ils n'ont trouvé aucune catégorie de faille, ni aucun niveau de complexité, que l'humain puisse identifier et que le modèle ne puisse pas. Symétriquement, aucun bug détecté par l'IA n'était hors de portée d'un chercheur humain d'élite. Ce résultat renverse une dynamique économique qui favorisait structurellement les attaquants depuis des décennies. La doctrine défensive classique consistait à rendre les attaques suffisamment coûteuses pour décourager tous sauf les acteurs disposant de budgets illimités. Avec l'IA, c'est désormais la découverte de vulnérabilités qui devient bon marché et systématique du côté des défenseurs. Pour les entreprises, le calcul est limpide : dans un environnement réglementaire strict, le coût d'un audit automatisé continu est sans commune mesure avec celui d'une violation de données ou d'une attaque par ransomware. L'automatisation réduit aussi la dépendance aux consultants externes spécialisés, dont la rareté et le coût représentaient jusqu'ici un frein réel pour les équipes de sécurité interne. L'enjeu dépasse largement Firefox. Pendant des années, les chercheurs en sécurité d'élite compensaient les limites du fuzzing automatisé en raisonnant manuellement sur le code source pour détecter des failles logiques, un travail lent, coûteux et contraint par la rareté des experts. L'intégration de modèles comme Mythos Preview supprime cette contrainte humaine. Des outils capables d'un tel raisonnement étaient inimaginables il y a quelques mois. Cette évolution profite aussi aux entreprises incapables de se permettre une réécriture complète de leur base de code C++ en Rust ou dans d'autres langages sécurisés par construction : l'IA leur offre un moyen de sécuriser du code legacy sans engager une refonte financièrement prohibitive. Si d'autres éditeurs de logiciels critiques exposés sur internet adoptent des méthodes similaires, le niveau de référence de la sécurité logicielle pourrait franchir un seuil structurel, réduisant durablement l'avantage offensif dont bénéficiaient jusqu'ici les acteurs malveillants.

💬 271 failles dans Firefox, en quelques semaines. Depuis des décennies, le bras de fer penchait côté attaque : trouver une faille a toujours coûté moins cher que la corriger, et les équipes sécu passaient leur temps à rendre les attaques suffisamment chères pour décourager les petits budgets, pas les gros. Si l'IA systématise la découverte du côté défenseur, ça change le calcul, et pour les boîtes avec du legacy C++ qu'elles ne peuvent pas réécrire, c'est presque une bouée de sauvetage.

Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Mozilla a annoncé mardi que le modèle Mythos Preview d'Anthropic avait détecté 271 vulnérabilités zero-day dans le code source de Firefox 150 avant même sa sortie officielle cette semaine. Ces failles ont été identifiées par simple analyse statique du code non publié, sans exécution du logiciel. À titre de comparaison, le modèle précédent d'Anthropic, Claude Opus 4.6, n'avait repéré que 22 bugs liés à la sécurité lors de l'analyse de Firefox 148 le mois dernier. Le CTO de Firefox, Bobby Holley, s'est montré enthousiaste dans un billet de blog, affirmant que ce résultat marque un tournant dans la bataille permanente entre attaquants et défenseurs : "les défenseurs ont enfin une chance de gagner, de façon décisive." L'écart entre 22 et 271 vulnérabilités détectées en l'espace d'un mois illustre une accélération brutale des capacités des modèles spécialisés en cybersécurité. Pour les éditeurs de logiciels, cela signifie qu'un outil d'IA peut désormais parcourir des millions de lignes de code et signaler des failles exploitables avant qu'elles n'atteignent les utilisateurs, réduisant considérablement la fenêtre d'exposition. Holley n'a pas précisé la gravité des 271 vulnérabilités identifiées, mais leur volume seul suggère que Mythos opère à une échelle inaccessible aux équipes de sécurité humaines dans des délais comparables. Anthropic avait lancé Mythos Preview début avril en le réservant à "un groupe limité de partenaires industriels critiques", suscitant un débat sur la nature réelle du modèle : percée technique ou communication marketing soignée. Les résultats obtenus par Mozilla apportent une réponse concrète, mais soulèvent aussi des questions symétriques : si Mythos peut trouver 271 failles dans Firefox en quelques heures, des acteurs malveillants disposant d'un accès similaire pourraient faire de même. La course entre red teams et blue teams risque donc de s'accélérer, avec des modèles d'IA comme arbitres d'un nouvel équilibre encore incertain.

Comment survivre à la déferlante à venir des vulnérabilités identifiées par IA ? (3/3)

Deux cent cinquante responsables de la sécurité des systèmes d'information ont cosigné en urgence, le week-end du 12 avril 2026, un rapport intitulé « La tempête de vulnérabilités liées à l'IA : créer un programme de sécurité Mythosready ». Ce document, rédigé en un seul week-end par plus de 60 contributeurs puis relu par 250 RSSI, répond directement à l'annonce, le 7 avril, de Mythos Preview, l'intelligence artificielle spécialisée en cybersécurité développée par Anthropic. Cinquante entreprises et organismes du projet Glasswing disposent d'un accès bêta à cet outil pendant 90 jours, au terme desquels Anthropic rendra publiques toutes les vulnérabilités identifiées. Parmi les signataires figurent des personnalités de premier plan : Jen Easterly, ancienne directrice de la CISA, Chris Inglis, premier National Cyber Director des États-Unis, et Rob Joyce, ex-patron de l'unité de hacking offensif de la NSA, TAO. Le rapport a été publié par le SANS Institute et la Cloud Security Alliance. L'enjeu central est la compression dramatique du délai entre la découverte d'une faille et son exploitation active. D'après les données de zerodayclock.com, ce délai moyen est passé de 2,3 ans en 2019 à moins d'un jour en 2026, avec une accélération fulgurante au cours des seules dernières semaines : 1,6 jour début mars, 20 heures mi-avril, 10 heures une semaine plus tard. Autrement dit, les équipes de défense disposent désormais de quelques heures pour déployer des correctifs après la divulgation publique d'une vulnérabilité. Si Anthropic annonce en bloc les résultats des 50 bêta-testeurs de Mythos Preview, des centaines de failles pourraient être rendues publiques simultanément, créant une situation sans précédent pour les équipes sécurité mondiales. Le rapport s'adresse explicitement à ceux qui « doivent se présenter lundi matin avec un plan crédible ». Ce contexte s'inscrit dans une trajectoire documentée d'escalade des capacités offensives basées sur les grands modèles de langage. En juin 2025, XBOW devenait le premier système autonome à prendre la tête du classement du programme de bug bounty de HackerOne, surpassant tous les hackers humains. En août, l'IA Big Sleep de Google identifiait 20 vulnérabilités zero-day dans des logiciels open source. Le challenge AIxCC de la DARPA a permis de détecter 54 failles dans 54 projets distincts. Sur le kernel Linux, le rythme de découverte par IA est passé de 2 bugs par semaine à 10 par jour. Mythos Preview représente l'étape suivante de cette progression : une IA agentique dédiée, entre les mains de dizaines d'organisations, capable d'analyser des bases de code à une échelle et une vitesse inatteignables pour des équipes humaines. La question posée par ce rapport n'est plus de savoir si cette déferlante aura lieu, mais si les défenseurs auront les moyens d'y répondre en temps réel.

💬 Le vrai chiffre à retenir dans tout ça : le délai entre la découverte d'une faille et son exploitation est passé de 2,3 ans à moins d'un jour, et encore, c'est la moyenne d'avril. Quand Anthropic va lâcher en bloc des centaines de vulnérabilités identifiées par Mythos Preview, les équipes sécurité auront quelques heures pour réagir, pas quelques mois. Le rapport des 250 RSSI pondu en un week-end, c'est bien, mais la vraie question c'est qui développe les défenses à la même vitesse que l'IA attaque.