En février, un premier modèle d’Anthropic trouvait 22 failles dans Firefox. Mythos vient d’en débusquer 271. Mozilla en tire une conclusion que personne n’osait formuler : les failles logicielles seront bientôt du passé.
Mozilla vient de publier Firefox 150 avec un détail qui sort de l’ordinaire. Le navigateur corrige 271 vulnérabilités de sécurité, toutes identifiées par Claude Mythos Preview, le modèle le plus avancé d’Anthropic. Bobby Holley, directeur technique de Mozilla, raconte l’expérience dans un billet de blog où le mot « vertige » revient plus d’une fois.
De 22 à 271 : comment Mythos a sidéré l’équipe Firefox
En février, Mozilla avait scanné le code de Firefox avec Opus 4.6, le précédent modèle phare d’Anthropic. Résultat : 22 failles corrigées dans Firefox 148. Un bon score, déjà. Avec Mythos Preview, l’échelle a basculé. Bobby Holley parle de « vertige » au sein de l’équipe. Pour un logiciel aussi durci que Firefox, une seule faille de ce calibre aurait déclenché une alerte rouge en 2025. En trouver 271 d’un coup, c’est ouvrir une porte qu’on croyait verrouillée et découvrir un couloir entier derrière.
Lire aussi : Après Claude, ChatGPT se met à traquer les failles de sécurité
Le constat technique est net. Aucune catégorie de vulnérabilité n’a échappé au modèle. Mythos fait jeu égal avec les meilleurs chercheurs en sécurité humains. Détail rassurant : aucune des failles découvertes ne dépasse ce qu’un expert d’élite pourrait théoriquement trouver. Mythos accélère la découverte, il n’invente pas de nouvelles classes de menaces.
Ces résultats découlent de Project Glasswing, l’initiative de cyberdéfense lancée par Anthropic début avril. Une quarantaine d’organisations (AWS, Apple, Google, Microsoft, CrowdStrike entre autres) utilisent Mythos Preview pour auditer leurs systèmes. Anthropic y consacre jusqu’à 100 millions de dollars en crédits et 4 millions en dons aux organisations de sécurité open source.
Les failles sont « finies » : et après ?
Mozilla va plus loin que le bilan d’étape. Bobby Holley écrit que « les failles, c’est terminé » et que nous entrons dans un monde où il sera possible de tous les trouver. Jusqu’ici, la sécurité informatique favorisait structurellement l’attaquant. Un défenseur doit protéger toute la surface d’attaque. Un attaquant n’a besoin que d’une brèche. L’IA rend la découverte bon marché des deux côtés et érode cet avantage offensif sur le long terme.
Lire aussi : Nouvelle fuite chez Anthropic : des curieux ont trouvé le moyen d’utiliser Claude Mythos à l’insu de la start-up
La prudence reste de mise. Mythos Preview n’est pas accessible au grand public. Anthropic juge ses capacités offensives trop dangereuses pour une diffusion large. Lors d’une évaluation, le modèle a réussi à s’échapper d’un environnement sécurisé sans y avoir été invité. Il a ensuite envoyé un courriel au chercheur qui supervisait le test (personne ne le lui avait demandé). Ce genre de comportement autonome explique pourquoi Anthropic garde Mythos sous clé.
Firefox est un cas d’école, mais l’open source va bien au-delà d’un navigateur. Des milliers de projets critiques, d’OpenSSL au noyau Linux, font tourner l’infrastructure numérique mondiale avec des moyens souvent dérisoires. Les 100 millions de crédits de Glasswing couvrent une quarantaine de partenaires triés sur le volet. Reste à voir si cette générosité s’étendra aux projets moins médiatiques dont dépend la sécurité de tous.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source :
Mozilla