Un modèle d'IA découvre 22 failles dans Firefox en deux semaines

Le pipeline IA de Mozilla et Claude Mythos Preview révèlent 271 failles inconnues dans Firefox

Mozilla a utilisé Claude Mythos Preview, le dernier modèle d'Anthropic, pour passer au crible Firefox 150 et a découvert 271 failles de sécurité jusqu'alors inconnues. Parmi elles, certaines vulnérabilités dormaient dans le code depuis près de vingt ans, sans jamais avoir été détectées par les méthodes d'audit traditionnelles. L'opération s'est appuyée sur un pipeline agentique : l'IA ne se contente pas d'analyser le code statiquement, elle construit et exécute elle-même des cas de test pour éliminer les faux positifs avant de remonter les alertes. L'ampleur de la découverte souligne les limites des approches humaines et outillées classiques face à des bases de code aussi massives que Firefox, qui compte des dizaines de millions de lignes accumulées sur plus de deux décennies. Pour les utilisateurs, ces 271 failles représentaient autant de vecteurs d'attaque potentiels restés ouverts sans que personne le sache. Pour l'industrie du logiciel, le résultat pose une question directe : combien de vulnérabilités similaires sommeillent dans d'autres projets majeurs, faute d'une capacité d'analyse à cette échelle ? Mozilla entend désormais intégrer ce type de vérification automatique dans son cycle de développement continu, chaque nouvelle portion de code devant être analysée avant tout commit. Cette décision marque un tournant dans l'usage de l'IA comme outil de sécurité offensive et préventive, et non plus seulement d'assistance au développeur. Anthropic, qui pousse activement ses modèles vers des usages agentiques, voit là une démonstration concrète de la valeur de Claude Mythos Preview dans des environnements de production critiques.

💬 271 failles qui dormaient là depuis vingt ans sans jamais se faire attraper, c'est une claque. Ce qui change vraiment avec ce pipeline, c'est que l'IA ne se contente pas de scanner le code statiquement, elle écrit et exécute ses propres cas de test pour filtrer les faux positifs avant de remonter les alertes. Si c'est ce qu'on trouve dans Firefox, avec des décennies d'audit derrière lui, j'ose pas imaginer ce qui sommeille ailleurs.

Mozilla : l'outil Mythos d'Anthropic a découvert 271 failles zero-day dans Firefox 150

Mozilla a annoncé mardi que le modèle Mythos Preview d'Anthropic avait détecté 271 vulnérabilités zero-day dans le code source de Firefox 150 avant même sa sortie officielle cette semaine. Ces failles ont été identifiées par simple analyse statique du code non publié, sans exécution du logiciel. À titre de comparaison, le modèle précédent d'Anthropic, Claude Opus 4.6, n'avait repéré que 22 bugs liés à la sécurité lors de l'analyse de Firefox 148 le mois dernier. Le CTO de Firefox, Bobby Holley, s'est montré enthousiaste dans un billet de blog, affirmant que ce résultat marque un tournant dans la bataille permanente entre attaquants et défenseurs : "les défenseurs ont enfin une chance de gagner, de façon décisive." L'écart entre 22 et 271 vulnérabilités détectées en l'espace d'un mois illustre une accélération brutale des capacités des modèles spécialisés en cybersécurité. Pour les éditeurs de logiciels, cela signifie qu'un outil d'IA peut désormais parcourir des millions de lignes de code et signaler des failles exploitables avant qu'elles n'atteignent les utilisateurs, réduisant considérablement la fenêtre d'exposition. Holley n'a pas précisé la gravité des 271 vulnérabilités identifiées, mais leur volume seul suggère que Mythos opère à une échelle inaccessible aux équipes de sécurité humaines dans des délais comparables. Anthropic avait lancé Mythos Preview début avril en le réservant à "un groupe limité de partenaires industriels critiques", suscitant un débat sur la nature réelle du modèle : percée technique ou communication marketing soignée. Les résultats obtenus par Mozilla apportent une réponse concrète, mais soulèvent aussi des questions symétriques : si Mythos peut trouver 271 failles dans Firefox en quelques heures, des acteurs malveillants disposant d'un accès similaire pourraient faire de même. La course entre red teams et blue teams risque donc de s'accélérer, avec des modèles d'IA comme arbitres d'un nouvel équilibre encore incertain.

Anthropic garde un nouveau modèle IA secret après avoir découvert des milliers de failles externes

Anthropic a développé un nouveau modèle d'intelligence artificielle, baptisé Claude Mythos Preview, dont les capacités en cybersécurité sont jugées trop dangereuses pour une diffusion publique. Ce modèle a déjà identifié des milliers de vulnérabilités dans les principaux systèmes d'exploitation et navigateurs web, notamment un bug vieux de 27 ans dans OpenBSD et une faille critique de 17 ans dans FreeBSD, la CVE-2026-4747, permettant à n'importe quel utilisateur non authentifié de prendre le contrôle total d'un serveur exposé sur internet. Cette dernière découverte a été réalisée de manière entièrement autonome, sans intervention humaine après la simple instruction initiale. Plutôt que de commercialiser le modèle, Anthropic a choisi de le confier discrètement à une coalition de partenaires fondateurs incluant Amazon Web Services, Apple, Cisco, Google, Microsoft, Nvidia, CrowdStrike, JPMorganChase et la Linux Foundation, auxquels s'ajoutent plus de 40 organisations gérant des infrastructures logicielles critiques. L'entreprise s'engage à mobiliser jusqu'à 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons directs à des organisations de sécurité open source, dont 2,5 millions à Alpha-Omega et OpenSSF via la Linux Foundation, et 1,5 million à la Fondation Apache. L'enjeu dépasse la simple prouesse technique. Mythos Preview est capable de chaîner trois, quatre, voire cinq vulnérabilités distinctes pour construire des exploits sophistiqués, selon Nicholas Carlini, chercheur chez Anthropic, qui déclare avoir trouvé "plus de bugs ces dernières semaines que dans toute sa vie réunie". Le modèle sature désormais les benchmarks de sécurité existants, forçant Anthropic à se concentrer sur des tâches réelles inédites, notamment la découverte de failles zero-day. Newton Cheng, responsable de la Red Team cyber chez Anthropic, est explicite : les retombées d'une diffusion incontrôlée "pour les économies, la sécurité publique et la sécurité nationale pourraient être sévères". Pour les mainteneurs open source, qui gèrent des logiciels critiques sans équipes de sécurité dédiées, l'accès à ce type d'outil représente un rééquilibrage structurel : la sécurité de haut niveau cesse d'être un privilège réservé aux grands groupes. Cette initiative s'inscrit dans un contexte de tensions croissantes autour de l'IA offensive. Anthropic avait précédemment documenté le premier cas avéré d'une cyberattaque conduite majoritairement par des agents IA, un groupe soutenu par l'État chinois ayant infiltré une trentaine de cibles mondiales avec une autonomie tactique quasi totale. Les services de renseignement américains ont été informés en privé des capacités complètes de Mythos Preview et évaluent actuellement son impact potentiel sur les opérations offensives et défensives. Le projet Glasswing représente ainsi le pari d'Anthropic : diffuser les capacités défensives avant que les capacités offensives ne se propagent à des acteurs moins scrupuleux, dans une course contre la montre que la rapidité même des progrès de l'IA rend particulièrement incertaine.

Le modèle d'IA le plus dangereux d'Anthropic vient de tomber entre de mauvaises mains

Un groupe restreint d'utilisateurs non autorisés a réussi à accéder à Mythos, le modèle d'intelligence artificielle cybersécurité d'Anthropic, selon une enquête de Bloomberg publiée en avril 2026. L'accès aurait été obtenu grâce à un sous-traitant tiers d'Anthropic, qui a permis à des membres d'un forum privé en ligne d'exploiter ses accréditations combinées à des outils de recherche ouverts sur internet. Claude Mythos Preview est un modèle nouvelle génération capable d'identifier et d'exploiter des failles de sécurité dans tous les grands systèmes d'exploitation et navigateurs web du marché. L'incident est particulièrement préoccupant car Anthropic avait elle-même qualifié Mythos de modèle "dangereux entre de mauvaises mains", justifiant ainsi un accès strictement limité et contrôlé. Un outil capable de cartographier et d'exploiter des vulnérabilités à l'échelle de Windows, macOS, Chrome ou Firefox représente une menace concrète s'il est utilisé à des fins malveillantes, que ce soit pour des cyberattaques ciblées, du vol de données ou des opérations d'espionnage industriel. Cet accès non autorisé illustre une tension centrale dans le développement des modèles d'IA à double usage: plus les capacités cybersécurité sont avancées, plus les risques de détournement augmentent. Anthropic fait partie des rares laboratoires à avoir instauré des restrictions d'accès explicites pour ses modèles les plus sensibles, une approche que l'incident remet en question. La fuite via un sous-traitant soulève aussi des interrogations sur les pratiques de gestion des accès au sein des grands laboratoires d'IA, où la chaîne de confiance s'étend bien au-delà des équipes internes.