Tu suis la course aux modèles IA ?
Chaque sortie (GPT, Claude, Gemini, Mistral…) décryptée le soir même, en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Une avancée majeure dans la détection des vulnérabilités
Les équipes de développement de Mozilla ont récemment fait appel à Claude Mythos Preview, une technologie d'intelligence artificielle, pour identifier un nombre impressionnant de 271 vulnérabilités de sécurité jusque-là inconnues dans la version Firefox 150. Ce travail a permis à Mozilla de résoudre un total de 423 problèmes de sécurité en avril, établissant ainsi un nouveau record par rapport aux 76 problèmes corrigés en mars.
Contrairement aux modèles d'IA précédents, qui généraient de nombreux faux positifs, les nouveaux systèmes agentiques ont la capacité de créer et d'exécuter leurs propres cas de test. Cela permet de vérifier l'existence réelle d'un bug suspect avant de le signaler, réduisant ainsi considérablement le nombre de faux positifs.
Une découverte détaillée et méthodique
Dans un article publié sur le blog Mozilla Hacks, trois développeurs de Firefox ont expliqué comment l'utilisation de Claude Mythos Preview a permis de découvrir et corriger 271 vulnérabilités de sécurité inconnues dans Firefox 150. En avril, Mozilla a ainsi pu résoudre 423 problèmes de sécurité, un chiffre bien supérieur au précédent record de 76 en mars.
La répartition des découvertes met en lumière l'importance de Mythos Preview :
- 271 bugs ont été trouvés dans Firefox 150.
- Environ un tiers des 111 bugs restants ont également été découverts grâce aux exécutions de Mythos.
- Les deux tiers restants ont été identifiés par d'autres modèles et des méthodes de test traditionnelles comme le fuzzing.
- Seulement 41 des 423 vulnérabilités totales provenaient de rapports externes.
Il y a quelques mois, les rapports de bugs générés par l'IA étaient souvent considérés comme peu fiables, car ils semblaient plausibles mais se révélaient souvent faux, entraînant une perte de temps pour les développeurs. Deux facteurs ont changé cette perception : des modèles plus performants et une meilleure infrastructure pour distinguer les vraies découvertes du bruit.
L'impact des pipelines agentiques et de Claude Mythos
Les tentatives précédentes d'analyse de code avec des modèles comme GPT-4 et Claude Sonnet 3.5 se sont soldées par un échec en raison de nombreux faux positifs. La percée est venue des systèmes agentiques, qui permettent à l'IA de construire et d'exécuter ses propres cas de test pour vérifier l'existence réelle d'un bug suspect. Cette vérification automatique filtre efficacement les spéculations.
Mozilla a débuté avec Claude Opus 4.6 lors de petites exécutions supervisées manuellement, avant d'étendre le processus à de nombreuses machines virtuelles, chacune vérifiant un seul fichier en parallèle. Un pipeline a été construit autour de ce système pour dédupliquer les rapports, prioriser les découvertes et suivre les corrections jusqu'à leur publication.
En février, l'équipe Frontier Red Team d'Anthropic avait signalé un premier lot de vulnérabilités à Mozilla, ce qui a directement conduit à la mise en place du pipeline que Mozilla utilise actuellement.
Pour renforcer la crédibilité des découvertes, Mozilla a publié certains rapports de bugs plus tôt que prévu. Parmi ces découvertes :
- Un bug vieux de 15 ans dans l'élément HTML label utilisé pour les descriptions de formulaires.
- Un bug vieux de 20 ans dans l'outil XML XSLT.
- Plusieurs méthodes pour contourner le sandbox, le mécanisme de sécurité qui isole les sites web du reste du système.
Un exemple frappant est celui d'un tableau HTML avec plus de 65 535 lignes, qui a provoqué un débordement d'un compteur interne. Même le sandbox supplémentaire de Mozilla pour les bibliothèques tierces, appelé RLBox, a été contourné.
Validation des défenses existantes
Ce que les modèles n'ont pas pu faire s'est avéré tout aussi révélateur. Plusieurs tentatives d'attaque ont ciblé une technique appelée Prototype Pollution, que les attaquants avaient précédemment utilisée pour sortir du sandbox. Ces tentatives ont échoué grâce à une décision architecturale prise par Mozilla des années auparavant. Pour les développeurs, avoir une preuve directe que leurs défenses existantes tiennent toujours était tout aussi précieux que de trouver de nouvelles vulnérabilités.
De nombreuses vulnérabilités découvertes ne suffisent pas à elles seules pour une attaque complète - elles devraient être enchaînées avec d'autres failles. Mais ce sont exactement le genre de faiblesses que les méthodes de test traditionnelles comme le fuzzing ont du mal à détecter, et l'analyse par IA couvre ce terrain de manière beaucoup plus approfondie. À l'avenir, Mozilla prévoit d'intégrer le pipeline directement dans son processus de développement afin que chaque nouveau morceau de code soit automatiquement vérifié avant son engagement.

