Mozilla industrialise la chasse aux bugs dans Firefox avec l’IA
Mozilla a corrigé 423 vulnérabilités dans Firefox en avril 2026, un bond spectaculaire par rapport aux 76 correctifs du mois précédent. Parmi ces failles, 271 ont été découvertes par Mythos, l'outil de chasse aux bugs assisté par IA développé en interne, qui équipe désormais Firefox 150. Les 152 restantes proviennent de chercheurs externes et de méthodes internes classiques. Mythos repose sur un "harnais agentique" construit autour de Claude Opus 4.6 : le modèle formule une hypothèse de vulnérabilité, exécute du code pour vérifier si la faille est réellement exploitable, puis génère des cas de test reproductibles. L'ensemble tourne en parallèle sur plusieurs machines virtuelles éphémères, selon les ingénieurs Brian Grinstead, Christian Holler et Frederik Braun qui ont décrit le système.
Ce qui change ici, c'est la bascule vers l'approche agentique. Les expériences menées ces dernières années avec GPT-4 ou Claude Sonnet 3.5 se heurtaient à un taux élevé de faux positifs qui les rendait inutilisables à l'échelle industrielle. Avec les nouveaux modèles, le système peut écarter lui-même les hypothèses impossibles à reproduire avant de les signaler, ce qui supprime le goulot d'étranglement humain du triage. Le pipeline complet intègre l'orchestration, la validation, la gestion du cycle de vie des vulnérabilités et l'intégration avec les outils internes de Mozilla. Le résultat, selon Mozilla : le système "devient simultanément meilleur pour repérer des bugs potentiels, créer des preuves de concept et expliquer précisément leur mécanisme". Mais les correctifs, eux, restent l'apanage des ingénieurs humains, chaque patch est écrit puis relu par une autre personne, même si l'IA est consultée pour suggérer des pistes de correction.
Ce déploiement s'inscrit dans un moment charnière pour la sécurité logicielle. Jusqu'à très récemment, les rapports de vulnérabilités générés par IA envoyés aux projets open source étaient surtout connus pour être du bruit : peu coûteux à produire, mais longs et chers à vérifier. L'amélioration des LLM et des techniques d'exploitation agentique a retourné cette équation. Mozilla prévient toutefois que Mythos est très spécifique à Firefox et ne se transpose pas facilement à d'autres organisations. La question qui se pose désormais à l'ensemble de l'industrie est celle de l'échelle : si des outils similaires prolifèrent, comment les équipes de sécurité absorberont-elles le volume croissant de vulnérabilités identifiées par IA, y compris celles que des acteurs malveillants pourraient exploiter de la même façon ?
Firefox étant très utilisé en Europe, les 271 vulnérabilités supplémentaires corrigées grâce à Mythos bénéficient directement aux utilisateurs européens, mais la prolifération potentielle d'outils agentiques similaires chez des acteurs malveillants pose un défi systémique pour les équipes de sécurité des organisations publiques et privées de l'UE.
Le vrai saut, c'est pas les 423 correctifs, c'est que le système filtre lui-même ses faux positifs avant de remonter quoi que ce soit à un humain. C'est exactement ce qui cassait les expériences avec GPT-4 ou Sonnet 3.5, le triage humain devenait le goulot et tout s'arrêtait là. Ce qu'un outil défensif peut faire, un attaquant avec les mêmes modèles peut le faire aussi, faut pas se raconter d'histoires.
Dans nos dossiers
Vu une erreur factuelle dans cet article ? Signalez-la. Toutes les corrections valides sont publiées sur /corrections.
