Le pipeline IA de Mozilla et Claude Mythos Preview révèlent 271 failles inconnues dans Firefox

Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Mozilla a annoncé mardi que le modèle Mythos Preview d'Anthropic avait détecté 271 vulnérabilités zero-day dans le code source de Firefox 150 avant même sa sortie officielle cette semaine. Ces failles ont été identifiées par simple analyse statique du code non publié, sans exécution du logiciel. À titre de comparaison, le modèle précédent d'Anthropic, Claude Opus 4.6, n'avait repéré que 22 bugs liés à la sécurité lors de l'analyse de Firefox 148 le mois dernier. Le CTO de Firefox, Bobby Holley, s'est montré enthousiaste dans un billet de blog, affirmant que ce résultat marque un tournant dans la bataille permanente entre attaquants et défenseurs : "les défenseurs ont enfin une chance de gagner, de façon décisive." L'écart entre 22 et 271 vulnérabilités détectées en l'espace d'un mois illustre une accélération brutale des capacités des modèles spécialisés en cybersécurité. Pour les éditeurs de logiciels, cela signifie qu'un outil d'IA peut désormais parcourir des millions de lignes de code et signaler des failles exploitables avant qu'elles n'atteignent les utilisateurs, réduisant considérablement la fenêtre d'exposition. Holley n'a pas précisé la gravité des 271 vulnérabilités identifiées, mais leur volume seul suggère que Mythos opère à une échelle inaccessible aux équipes de sécurité humaines dans des délais comparables. Anthropic avait lancé Mythos Preview début avril en le réservant à "un groupe limité de partenaires industriels critiques", suscitant un débat sur la nature réelle du modèle : percée technique ou communication marketing soignée. Les résultats obtenus par Mozilla apportent une réponse concrète, mais soulèvent aussi des questions symétriques : si Mythos peut trouver 271 failles dans Firefox en quelques heures, des acteurs malveillants disposant d'un accès similaire pourraient faire de même. La course entre red teams et blue teams risque donc de s'accélérer, avec des modèles d'IA comme arbitres d'un nouvel équilibre encore incertain.

Firefox 150 corrige 271 vulnérabilités repérées par Claude Mythos

Mozilla a annoncé cette semaine que Firefox 150 intègre des correctifs pour 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos, le dernier modèle d'Anthropic. Ce résultat est issu du projet Glasswing, une initiative d'Anthropic qui donne accès à Mythos à une quarantaine d'entreprises et d'organisations partenaires pour détecter les failles dans leurs logiciels. Mozilla fait partie de ce cercle restreint. L'ampleur du chiffre tranche radicalement avec ce qui avait été accompli auparavant : lorsque Firefox avait utilisé Claude Opus 4.6 pour la version 148 du navigateur, le modèle n'avait alors repéré que 22 vulnérabilités. Avec Mythos, le bond est d'un facteur douze en une seule génération de modèle. Bobby Holley, directeur technique de Firefox, parle de « vertige » face à ce volume, soulignant qu'en 2025, une seule de ces failles aurait suffi à déclencher une alerte maximale. L'impact est considérable pour la sécurité des 150 millions d'utilisateurs de Firefox dans le monde, et plus largement pour toute l'industrie du logiciel. Holley rappelle que les attaquants opèrent avec un avantage asymétrique structurel : il leur suffit de trouver une seule brèche, tandis que les défenseurs doivent couvrir une surface d'attaque bien plus large. Jusqu'ici, les méthodes classiques, outils automatisés, audits internes, bug bounty, permettaient de réduire le risque sans jamais l'éliminer, d'autant que ces mêmes outils sont accessibles aux acteurs malveillants. Avec Mythos, Mozilla affirme n'avoir identifié « aucune catégorie ni aucun niveau de complexité de vulnérabilité » que des humains peuvent détecter et que le modèle ne serait pas capable de repérer. Pour Holley, « les défenseurs ont maintenant une chance de l'emporter, de manière décisive ». Cet épisode s'inscrit dans une évolution plus profonde du rapport entre IA et cybersécurité. Depuis plusieurs années, Mozilla, comme d'autres grands éditeurs, cherche à industrialiser la détection de failles dans des bases de code héritées, notamment des millions de lignes de C++ qu'il est impossible de réécrire rapidement. L'objectif affiché était de faire monter le coût d'exploitation d'une faille pour les attaquants professionnels jusqu'à le rendre prohibitif. Anthropic, de son côté, positionne Glasswing comme une réponse structurelle à la menace IA offensive : si des modèles puissants peuvent être utilisés pour trouver des failles, autant que les défenseurs y aient accès en premier. Holley reste prudent sur un point : il ne croit pas que les prochains modèles découvriront des vulnérabilités hors de portée de la compréhension humaine, Firefox étant conçu pour que le code reste vérifiable par des experts. La vraie question, désormais, est de savoir si les équipes de développement sauront absorber le rythme des correctifs que l'IA rend possible.

💬 271 failles contre 22 à la génération précédente, ça ne ressemble plus à une amélioration, ça ressemble à un changement de catégorie. Mozilla dit que Mythos ne rate rien qu'un humain pourrait repérer, ce qui est une formulation prudente mais qui dit beaucoup sur ce qu'il repère en plus. Le vrai goulot d'étranglement maintenant, c'est pas la détection, c'est la capacité des équipes à absorber le rythme des correctifs.

Mozilla : 271 failles détectées par Mythos avec quasiment aucun faux positif

Mozilla a utilisé Mythos, un modèle d'intelligence artificielle développé par Anthropic spécialisé dans la détection de failles logicielles, pour identifier 271 vulnérabilités dans Firefox en l'espace de deux mois. Les ingénieurs de la fondation ont publié jeudi un retour détaillé sur cette expérience, expliquant que le résultat repose sur deux facteurs combinés : l'amélioration des modèles eux-mêmes, et le développement par Mozilla d'un "harness" sur mesure, un environnement d'exécution adapté permettant à Mythos d'analyser efficacement le code source du navigateur. Le taux de faux positifs relevé serait quasi nul, ce qui constitue une rupture nette avec les tentatives précédentes. C'est précisément ce point qui marque un tournant concret. Jusqu'à présent, les outils d'IA appliqués à l'audit de sécurité produisaient ce que les développeurs appellent du "slop" : des rapports de bugs plausibles en apparence, mais truffés de détails hallusinés, qui obligeaient les équipes humaines à vérifier chaque résultat manuellement, annulant une grande partie du gain de productivité promis. Avec Mythos et le harness maison, Mozilla affirme avoir franchi le seuil de fiabilité nécessaire pour intégrer cet outil dans un vrai pipeline de sécurité. Pour l'industrie du logiciel, cela signifie que la détection automatisée de failles pourrait enfin décharger de façon significative les équipes de sécurité, accélérer les cycles de correction, et réduire la fenêtre d'exposition aux attaques. Le contexte de cette annonce est important. Le mois dernier, le CTO de Mozilla avait provoqué une vague de scepticisme en déclarant que "les zero-days sont comptés" et que "les défenseurs ont enfin une chance de gagner, de façon décisive" grâce à l'IA. Ces formules avaient été perçues comme du marketing habituel autour de résultats soigneusement triés. La publication de jeudi est une réponse directe à ces critiques, avec des chiffres et une méthodologie à l'appui. L'enjeu dépasse Firefox : si l'approche se généralise, elle pourrait redéfinir la façon dont l'ensemble de l'industrie audite la sécurité de ses logiciels, à une échelle et une cadence inaccessibles aux seules équipes humaines.

Le mythe Claude Mythos s'effondre : de petits modèles open source détectent les mêmes failles de cybersécurité

Anthropic présente depuis plusieurs mois Claude Mythos comme un modèle de cybersécurité aux capacités uniques, affirmant qu'aucun concurrent ne peut égaler ses performances dans la détection et l'analyse de vulnérabilités logicielles. Deux nouvelles études indépendantes viennent cependant ébranler cette position : des modèles ouverts de petite taille seraient capables de reproduire la quasi-totalité des analyses de failles que l'entreprise américaine avait mises en avant pour justifier les restrictions d'accès à Mythos. Ces résultats ont une portée directe sur la stratégie de contrôle adoptée par Anthropic. En limitant l'accès à Mythos au nom d'un risque de sécurité nationale, la société justifiait des barrières d'entrée strictes. Si des modèles open source bien moins lourds atteignent des performances comparables, l'argument tombe en partie : les acteurs malveillants n'ont pas besoin d'accéder à Mythos pour mener des recherches offensives sur des vulnérabilités, ce qui affaiblit la logique même du contrôle d'accès. Cette controverse s'inscrit dans un débat plus large sur la manière dont les laboratoires d'IA justifient les restrictions imposées à leurs modèles les plus puissants. Anthropic n'est pas le seul à invoquer des risques de double usage pour limiter la diffusion de certains outils, mais la crédibilité de ces arguments dépend directement de l'écart réel entre modèles propriétaires et alternatives ouvertes. Si cet écart se réduit rapidement, la question de la gouvernance des modèles de cybersécurité devra être posée sur d'autres bases que la seule supériorité technique des acteurs fermés.

💬 Le vernis craque vite quand les preuves arrivent. Si des petits modèles open source font le même boulot sur la détection de failles, l'argument "accès restreint pour la sécurité nationale" devient difficile à tenir sérieusement. Ce qui reste à régler, c'est comment on régule vraiment, sans se cacher derrière une supériorité technique qui visiblement ne dure pas.