Mozilla : 271 failles détectées par Mythos avec quasiment aucun faux positif

Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Mozilla a annoncé mardi que le modèle Mythos Preview d'Anthropic avait détecté 271 vulnérabilités zero-day dans le code source de Firefox 150 avant même sa sortie officielle cette semaine. Ces failles ont été identifiées par simple analyse statique du code non publié, sans exécution du logiciel. À titre de comparaison, le modèle précédent d'Anthropic, Claude Opus 4.6, n'avait repéré que 22 bugs liés à la sécurité lors de l'analyse de Firefox 148 le mois dernier. Le CTO de Firefox, Bobby Holley, s'est montré enthousiaste dans un billet de blog, affirmant que ce résultat marque un tournant dans la bataille permanente entre attaquants et défenseurs : "les défenseurs ont enfin une chance de gagner, de façon décisive." L'écart entre 22 et 271 vulnérabilités détectées en l'espace d'un mois illustre une accélération brutale des capacités des modèles spécialisés en cybersécurité. Pour les éditeurs de logiciels, cela signifie qu'un outil d'IA peut désormais parcourir des millions de lignes de code et signaler des failles exploitables avant qu'elles n'atteignent les utilisateurs, réduisant considérablement la fenêtre d'exposition. Holley n'a pas précisé la gravité des 271 vulnérabilités identifiées, mais leur volume seul suggère que Mythos opère à une échelle inaccessible aux équipes de sécurité humaines dans des délais comparables. Anthropic avait lancé Mythos Preview début avril en le réservant à "un groupe limité de partenaires industriels critiques", suscitant un débat sur la nature réelle du modèle : percée technique ou communication marketing soignée. Les résultats obtenus par Mozilla apportent une réponse concrète, mais soulèvent aussi des questions symétriques : si Mythos peut trouver 271 failles dans Firefox en quelques heures, des acteurs malveillants disposant d'un accès similaire pourraient faire de même. La course entre red teams et blue teams risque donc de s'accélérer, avec des modèles d'IA comme arbitres d'un nouvel équilibre encore incertain.

Le mythe Claude Mythos s'effondre : de petits modèles open source détectent les mêmes failles de cybersécurité

Anthropic présente depuis plusieurs mois Claude Mythos comme un modèle de cybersécurité aux capacités uniques, affirmant qu'aucun concurrent ne peut égaler ses performances dans la détection et l'analyse de vulnérabilités logicielles. Deux nouvelles études indépendantes viennent cependant ébranler cette position : des modèles ouverts de petite taille seraient capables de reproduire la quasi-totalité des analyses de failles que l'entreprise américaine avait mises en avant pour justifier les restrictions d'accès à Mythos. Ces résultats ont une portée directe sur la stratégie de contrôle adoptée par Anthropic. En limitant l'accès à Mythos au nom d'un risque de sécurité nationale, la société justifiait des barrières d'entrée strictes. Si des modèles open source bien moins lourds atteignent des performances comparables, l'argument tombe en partie : les acteurs malveillants n'ont pas besoin d'accéder à Mythos pour mener des recherches offensives sur des vulnérabilités, ce qui affaiblit la logique même du contrôle d'accès. Cette controverse s'inscrit dans un débat plus large sur la manière dont les laboratoires d'IA justifient les restrictions imposées à leurs modèles les plus puissants. Anthropic n'est pas le seul à invoquer des risques de double usage pour limiter la diffusion de certains outils, mais la crédibilité de ces arguments dépend directement de l'écart réel entre modèles propriétaires et alternatives ouvertes. Si cet écart se réduit rapidement, la question de la gouvernance des modèles de cybersécurité devra être posée sur d'autres bases que la seule supériorité technique des acteurs fermés.

💬 Le vernis craque vite quand les preuves arrivent. Si des petits modèles open source font le même boulot sur la détection de failles, l'argument "accès restreint pour la sécurité nationale" devient difficile à tenir sérieusement. Ce qui reste à régler, c'est comment on régule vraiment, sans se cacher derrière une supériorité technique qui visiblement ne dure pas.

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Mozilla a annoncé cette semaine que Firefox 150 intègre des correctifs pour 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos, le dernier modèle d'Anthropic. Ce résultat est issu du projet Glasswing, une initiative d'Anthropic qui donne accès à Mythos à une quarantaine d'entreprises et d'organisations partenaires pour détecter les failles dans leurs logiciels. Mozilla fait partie de ce cercle restreint. L'ampleur du chiffre tranche radicalement avec ce qui avait été accompli auparavant : lorsque Firefox avait utilisé Claude Opus 4.6 pour la version 148 du navigateur, le modèle n'avait alors repéré que 22 vulnérabilités. Avec Mythos, le bond est d'un facteur douze en une seule génération de modèle. Bobby Holley, directeur technique de Firefox, parle de « vertige » face à ce volume, soulignant qu'en 2025, une seule de ces failles aurait suffi à déclencher une alerte maximale. L'impact est considérable pour la sécurité des 150 millions d'utilisateurs de Firefox dans le monde, et plus largement pour toute l'industrie du logiciel. Holley rappelle que les attaquants opèrent avec un avantage asymétrique structurel : il leur suffit de trouver une seule brèche, tandis que les défenseurs doivent couvrir une surface d'attaque bien plus large. Jusqu'ici, les méthodes classiques, outils automatisés, audits internes, bug bounty, permettaient de réduire le risque sans jamais l'éliminer, d'autant que ces mêmes outils sont accessibles aux acteurs malveillants. Avec Mythos, Mozilla affirme n'avoir identifié « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent détecter et que le modèle ne serait pas capable de repérer. Pour Holley, « les défenseurs ont maintenant une chance de l'emporter, de manière décisive ». Cet épisode s'inscrit dans une évolution plus profonde du rapport entre IA et cybersécurité. Depuis plusieurs années, Mozilla, comme d'autres grands éditeurs, cherche à industrialiser la détection de failles dans des bases de code héritées, notamment des millions de lignes de C++ qu'il est impossible de réécrire rapidement. L'objectif affiché était de faire monter le coût d'exploitation d'une faille pour les attaquants professionnels jusqu'à le rendre prohibitif. Anthropic, de son côté, positionne Glasswing comme une réponse structurelle à la menace IA offensive : si des modèles puissants peuvent être utilisés pour trouver des failles, autant que les défenseurs y aient accès en premier. Holley reste prudent sur un point : il ne croit pas que les prochains modèles découvriront des vulnérabilités hors de portée de la compréhension humaine, Firefox étant conçu pour que le code reste vérifiable par des experts. La vraie question, désormais, est de savoir si les équipes de développement sauront absorber le rythme des correctifs que l'IA rend possible.

💬 271 failles contre 22 à la génération précédente, ça ne ressemble plus à une amélioration, ça ressemble à un changement de catégorie. Mozilla dit que Mythos ne rate rien qu'un humain pourrait repérer, ce qui est une formulation prudente mais qui dit beaucoup sur ce qu'il repère en plus. Le vrai goulot d'étranglement maintenant, c'est pas la détection, c'est la capacité des équipes à absorber le rythme des correctifs.

« Un déluge de failles » : le Campus cyber anticipe le chaos en Europe avec la sortie de Mythos, l'IA d'Anthropic

Le Campus Cyber, pôle de référence de la cybersécurité française réunissant entreprises, agences gouvernementales et experts du secteur, a publié ce mardi 6 mai 2026 une note d'alerte consacrée à Mythos, le nouveau modèle d'intelligence artificielle développé par Anthropic. Selon cette note, Mythos serait capable de détecter automatiquement des milliers de failles critiques encore inconnues dans des systèmes informatiques à travers le monde, à une vitesse et une échelle sans précédent. L'inquiétude principale porte sur l'effet d'aubaine que représente un tel outil pour des acteurs malveillants : si Mythos peut cartographier massivement des vulnérabilités zero-day, ces informations pourraient être weaponisées bien avant que les équipes de sécurité n'aient eu le temps de les corriger. Le risque n'est pas théorique, il est structurel. Des millions d'infrastructures critiques, des hôpitaux aux réseaux énergétiques en passant par les administrations publiques, pourraient se retrouver exposées simultanément à un volume d'attaques inédit. Cette alerte s'inscrit dans une compétition technologique qui s'est considérablement accélérée depuis 2024, avec des modèles américains et chinois atteignant des capacités offensives en cybersécurité que l'Europe peine à surveiller, encore moins à contrebalancer. Le Campus Cyber appelle les institutions européennes à coordonner une réponse d'urgence, notamment sur le plan réglementaire et capacitaire, pour ne pas subir passivement une asymétrie croissante face aux grandes puissances de l'IA.

💬 C'est exactement le scénario qu'on redoutait depuis qu'on parle de LLMs capables de raisonner sur du code. Un modèle qui cartographie des zero-days à l'échelle industrielle, c'est pas un problème de demain, c'est un problème de ce trimestre. Et pendant que le Campus Cyber publie des notes d'alerte, les attaquants, eux, testent déjà.