Mythos d'Anthropic redéfinit la sécurité de Firefox

Lorsque Anthropic a présenté son modèle d'intelligence artificielle, Mythos, en avril, il a également lancé un avertissement sévère à l'industrie du développement logiciel. Mythos s'est révélé être un outil extrêmement puissant pour détecter les vulnérabilités logicielles, découvrant des milliers de bugs de haute gravité qui nécessitaient une correction avant de pouvoir être rendus publics.

Les chercheurs en sécurité de Mozilla, qui travaillent sur le navigateur Firefox, ont récemment fourni un aperçu détaillé de l'impact de Mythos sur leur processus de sécurité. Dans un article publié jeudi, Mozilla a expliqué comment Mythos a permis de découvrir une multitude de bugs critiques, y compris certains qui étaient restés enfouis dans le code depuis plus de dix ans.

Cette avancée représente une amélioration significative par rapport aux outils de détection de bugs basés sur l'IA disponibles il y a seulement six mois. Jusqu'à présent, ces outils étaient souvent critiqués pour générer des rapports de mauvaise qualité et de nombreux faux positifs. Cependant, les chercheurs de Mozilla affirment que la dernière génération d'outils a franchi un cap, notamment grâce à la capacité des systèmes agentiques à évaluer et à filtrer leurs propres résultats.

« Il est difficile de surestimer à quel point cette dynamique a changé pour nous en quelques mois », ont écrit les chercheurs de Mozilla. « D'abord, les modèles sont devenus beaucoup plus capables. Ensuite, nous avons considérablement amélioré nos techniques pour exploiter ces modèles. »

Les résultats sont frappants : en avril 2026, Firefox a expédié 423 corrections de bugs, contre seulement 31 exactement un an plus tôt. Les chercheurs ont également publié des détails sur 12 des bugs découverts, qui vont d'une paire de vulnérabilités de sandbox inhabituelles à une erreur vieille de 15 ans dans la manière dont le navigateur analyse un élément HTML.

Brian Grinstead, un ingénieur distingué chez Mozilla, a déclaré à TechCrunch : « Ces choses sont en fait soudainement très bonnes. Nous le voyons dans notre propre analyse interne, nous le voyons dans les rapports de bugs externes, et nous le voyons dans toutes sortes de signaux à travers l'industrie. »

Le fait que le système ait aidé à révéler des vulnérabilités dans le système de sandbox de Firefox est particulièrement impressionnant, étant donné la complexité d'une attaque qui l'exploite. Pour trouver des vulnérabilités de sandbox, le modèle doit écrire un patch compromis pour le navigateur, puis attaquer la partie la plus sécurisée du logiciel avec le nouveau code implémenté. Trouver et démontrer le bug est un processus délicat en plusieurs étapes, nécessitant à la fois créativité et attention.

Pour mettre cela en contexte, le programme de récompense pour bugs de Mozilla paie les chercheurs qui peuvent trouver un bug dans la sandbox de Firefox jusqu'à 20 000 $ — la récompense la plus élevée disponible. Malgré cette prime, Grinstead affirme que Mythos trouve plus de problèmes de sandbox que les chercheurs humains ne l'ont jamais fait. « Nous les obtenons », a-t-il déclaré à TechCrunch, « mais pas au volume que nous sommes capables de trouver avec cette technique. »

Notamment, l'équipe de Firefox n'utilise toujours pas l'IA pour corriger les bugs, malgré les progrès bien documentés des outils de codage basés sur l'IA. L'équipe demande à l'IA de coder des patches pour chaque bug, mais le code résultant ne peut généralement pas être déployé directement et sert plutôt de modèle pour un ingénieur humain.

« Pour les bugs dont nous parlons dans cet article, chacun est un ingénieur écrivant un patch et un ingénieur le révisant », déclare Grinstead. « Nous n'avons pas trouvé cela automatisable. »

Il n'est pas encore clair comment les capacités émergentes de l'IA vont changer l'équilibre des pouvoirs dans la cybersécurité. Un mois après la présentation de Mythos, la plupart des bugs découverts n'ont probablement pas été corrigés, ce qui rend difficile de saisir l'ampleur de leur impact. Anthropic a été scrupuleux dans le respect des normes de divulgation responsable, mais il est probable que des acteurs malveillants utilisent des techniques similaires en coulisses, même si les modèles qu'ils utilisent ne sont pas tout à fait aussi bons.

S'exprimant lors d'un événement récent, le PDG d'Anthropic, Dario Amodei, était optimiste quant au fait que les nouveaux outils favoriseraient finalement les défenseurs. « Si nous gérons cela correctement, nous pourrions être dans une meilleure position que celle dans laquelle nous avons commencé, car nous avons corrigé tous ces bugs. Il n'y a qu'un nombre limité de bugs à trouver », a déclaré Amodei. « Donc je pense qu'il y a un monde meilleur de l'autre côté de cela. »

Après avoir traité des détails concrets, Grinstead a une vision plus mesurée : « C'est utile à la fois pour les attaquants et les défenseurs, mais avoir l'outil disponible déplace un peu l'avantage vers la défense. Réalistes, personne ne connaît encore la réponse à cela. »