Brief IA : Mozilla et Claude Mythos : 271 failles de Firefox révélées par l'IA

Mozilla et Claude Mythos : 271 failles de Firefox révélées par l'IA

Brief IA
Tom Levy·4 min·1 vues

Mozilla a découvert 271 vulnérabilités de sécurité inconnues dans Firefox 150 grâce à Claude Mythos Preview, certaines datant de 20 ans. En avril, Mozilla a résolu un total de 423 problèmes de sécurité, un record par rapport aux 76 résolus en mars. Cette avancée renforce la sécurité des utilisateurs et illustre le potentiel de l'IA dans l'amélioration des logiciels.

En bref
1Mozilla a utilisé Claude Mythos Preview pour identifier 271 vulnérabilités dans Firefox 150, contribuant à résoudre 423 problèmes de sécurité en avril.
2Les systèmes agentiques de Claude Mythos ont permis de réduire les faux positifs en exécutant leurs propres tests pour valider les bugs.
3Des bugs vieux de 15 à 20 ans ont été découverts, renforçant la crédibilité des découvertes de l'IA.
💡Pourquoi c'est importantL'intégration de l'IA dans le développement de Firefox améliore la sécurité et l'efficacité des corrections de bugs.
Le brief IA que lisent les pros

Tu suis la course aux modèles IA ?

Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.

Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.

Choisis ton rythme

Gratuit · Pas de spam · Désabonnement en 1 clic

📄
L'analyse en français

Une avancée majeure dans la détection des vulnérabilités

Les équipes de développement de Mozilla ont récemment fait appel à Claude Mythos Preview, une technologie d'intelligence artificielle, pour identifier un nombre impressionnant de 271 vulnérabilités de sécurité jusque-là inconnues dans la version Firefox 150. Ce travail a permis à Mozilla de résoudre un total de 423 problèmes de sécurité en avril, établissant ainsi un nouveau record par rapport aux 76 problèmes corrigés en mars.

Contrairement aux modèles d'IA précédents, qui généraient de nombreux faux positifs, les nouveaux systèmes agentiques ont la capacité de créer et d'exécuter leurs propres cas de test. Cela permet de vérifier l'existence réelle d'un bug suspect avant de le signaler, réduisant ainsi considérablement le nombre de faux positifs.

Une découverte détaillée et méthodique

Dans un article publié sur le blog Mozilla Hacks, trois développeurs de Firefox ont expliqué comment l'utilisation de Claude Mythos Preview a permis de découvrir et corriger 271 vulnérabilités de sécurité inconnues dans Firefox 150. En avril, Mozilla a ainsi pu résoudre 423 problèmes de sécurité, un chiffre bien supérieur au précédent record de 76 en mars.

La répartition des découvertes met en lumière l'importance de Mythos Preview :

  • 271 bugs ont été trouvés dans Firefox 150.
  • Environ un tiers des 111 bugs restants ont également été découverts grâce aux exécutions de Mythos.
  • Les deux tiers restants ont été identifiés par d'autres modèles et des méthodes de test traditionnelles comme le fuzzing.
  • Seulement 41 des 423 vulnérabilités totales provenaient de rapports externes.

Il y a quelques mois, les rapports de bugs générés par l'IA étaient souvent considérés comme peu fiables, car ils semblaient plausibles mais se révélaient souvent faux, entraînant une perte de temps pour les développeurs. Deux facteurs ont changé cette perception : des modèles plus performants et une meilleure infrastructure pour distinguer les vraies découvertes du bruit.

L'impact des pipelines agentiques et de Claude Mythos

Les tentatives précédentes d'analyse de code avec des modèles comme GPT-4 et Claude Sonnet 3.5 se sont soldées par un échec en raison de nombreux faux positifs. La percée est venue des systèmes agentiques, qui permettent à l'IA de construire et d'exécuter ses propres cas de test pour vérifier l'existence réelle d'un bug suspect. Cette vérification automatique filtre efficacement les spéculations.

Mozilla a débuté avec Claude Opus 4.6 lors de petites exécutions supervisées manuellement, avant d'étendre le processus à de nombreuses machines virtuelles, chacune vérifiant un seul fichier en parallèle. Un pipeline a été construit autour de ce système pour dédupliquer les rapports, prioriser les découvertes et suivre les corrections jusqu'à leur publication.

En février, l'équipe Frontier Red Team d'Anthropic avait signalé un premier lot de vulnérabilités à Mozilla, ce qui a directement conduit à la mise en place du pipeline que Mozilla utilise actuellement.

Pour renforcer la crédibilité des découvertes, Mozilla a publié certains rapports de bugs plus tôt que prévu. Parmi ces découvertes :

  • Un bug vieux de 15 ans dans l'élément HTML label utilisé pour les descriptions de formulaires.
  • Un bug vieux de 20 ans dans l'outil XML XSLT.
  • Plusieurs méthodes pour contourner le sandbox, le mécanisme de sécurité qui isole les sites web du reste du système.

Un exemple frappant est celui d'un tableau HTML avec plus de 65 535 lignes, qui a provoqué un débordement d'un compteur interne. Même le sandbox supplémentaire de Mozilla pour les bibliothèques tierces, appelé RLBox, a été contourné.

Validation des défenses existantes

Ce que les modèles n'ont pas pu faire s'est avéré tout aussi révélateur. Plusieurs tentatives d'attaque ont ciblé une technique appelée Prototype Pollution, que les attaquants avaient précédemment utilisée pour sortir du sandbox. Ces tentatives ont échoué grâce à une décision architecturale prise par Mozilla des années auparavant. Pour les développeurs, avoir une preuve directe que leurs défenses existantes tiennent toujours était tout aussi précieux que de trouver de nouvelles vulnérabilités.

De nombreuses vulnérabilités découvertes ne suffisent pas à elles seules pour une attaque complète - elles devraient être enchaînées avec d'autres failles. Mais ce sont exactement le genre de faiblesses que les méthodes de test traditionnelles comme le fuzzing ont du mal à détecter, et l'analyse par IA couvre ce terrain de manière beaucoup plus approfondie. À l'avenir, Mozilla prévoit d'intégrer le pipeline directement dans son processus de développement afin que chaque nouveau morceau de code soit automatiquement vérifié avant son engagement.

Suivez Brief IA

L'actu IA du jour, aussi dans votre fil.

Commentaires