Lorsqu’Anthropic a dévoilé son nouveau modèle Mythos en avril, il a également lancé un avertissement sévère à tous ceux qui développent des logiciels. Selon le laboratoire, le modèle était si puissant pour détecter les vulnérabilités logicielles qu’il avait découvert des milliers de bogues de grande gravité qui devraient être corrigés avant de pouvoir être rendus publics.
Aujourd’hui, les chercheurs en sécurité du navigateur Firefox de Mozilla examinent de plus près à quoi ressemble ce processus dans la pratique et ce que les pouvoirs de Mythos signifient pour la sécurité des logiciels en général.
Dans un article publié jeudi, Mozilla a déclaré que Mythos avait mis au jour une multitude de bogues très graves, y compris certains qui étaient restés en sommeil dans le code pendant plus d’une décennie.
Il s’agit d’une amélioration significative par rapport à ce dont les outils de sécurité de l’IA étaient capables il y a à peine six mois. Jusqu’à présent, les outils de recherche de bogues d’IA présentaient de sérieux inconvénients, inondant souvent les équipes de sécurité de rapports de mauvaise qualité et de faux positifs. Mais les chercheurs de Mozilla affirment que la dernière génération d’outils a franchi un cap, en particulier maintenant que les systèmes agents peuvent évaluer leur propre travail et filtrer les mauvais résultats.
« Il est difficile d’exagérer à quel point cette dynamique a changé pour nous en quelques mois », ont écrit les chercheurs. « Premièrement, les modèles sont devenus beaucoup plus performants. Deuxièmement, nous avons considérablement amélioré nos techniques d’exploitation de ces modèles. »
Les résultats sont frappants : en avril 2026, Firefox a livré 423 corrections de bugs, contre seulement 31 exactement un an plus tôt. Les chercheurs ont également publié des détails sur 12 des bogues, qui vont d’une paire de vulnérabilités inhabituelles du bac à sable à une erreur vieille de 15 ans dans la façon dont le navigateur analyse un élément HTML.
« Ces choses sont en fait tout à coup très bonnes », a déclaré Brian Grinstead, un ingénieur distingué chez Mozilla, à TechCrunch. « Nous le constatons lors de notre propre analyse interne, nous le constatons dans les rapports de bugs externes, et nous le constatons dans toutes sortes de signaux à travers l’industrie. »
Événement Techcrunch
San Francisco, Californie
|
13-15 octobre 2026
Le fait que le système ait permis de révéler des vulnérabilités dans le système « sandbox » de Firefox est particulièrement impressionnant, étant donné la complexité d’une attaque qui l’exploite. Pour trouver les vulnérabilités du sandbox, le modèle doit écrire un correctif compromis pour le navigateur, puis attaquer la partie la plus sécurisée du logiciel avec le nouveau code implémenté. Trouver et démontrer le bug est un processus délicat en plusieurs étapes, nécessitant à la fois de la créativité et une attention particulière.
Pour mettre cela en contexte, le programme de prime aux bogues de Mozilla rémunère jusqu’à 20 000 $ les chercheurs qui peuvent trouver un bogue dans le bac à sable de Firefox – la récompense la plus élevée disponible. Cependant, malgré la prime importante, Grinstead affirme que Mythos découvre plus de problèmes de bac à sable que les chercheurs humains n’ont jamais fait. « Nous les obtenons », a-t-il déclaré à TechCrunch, « mais pas au volume que nous pouvons trouver avec cette technique. »
Notamment, l’équipe Firefox n’utilise toujours pas l’IA pour corriger les bugs, malgré les progrès bien documentés des outils de codage de l’IA. L’équipe demande à l’IA de coder des correctifs pour chaque bug, mais le code résultant ne peut généralement pas être déployé directement et sert plutôt de modèle à un ingénieur humain.
« Pour les bugs dont nous parlons dans cet article, chacun est un ingénieur qui écrit un correctif et un ingénieur qui le révise », explique Grinstead. « Nous ne l’avons pas trouvé automatisable. »
On ne sait toujours pas clairement comment les capacités émergentes de l’IA modifieront l’équilibre plus large des pouvoirs en matière de cybersécurité. Un mois après la prévisualisation de Mythos, la plupart des bugs découverts n’ont probablement pas été corrigés, ce qui rend difficile de saisir toute l’étendue de leur impact. Anthropic a été scrupuleux quant au respect des normes de divulgation responsable, mais il est probable que de mauvais acteurs utilisent des techniques similaires dans les coulisses, même si les modèles qu’ils utilisent ne sont pas aussi bons.
S’exprimant lors d’un récent événement, le PDG d’Anthropic, Dario Amodei, s’est montré optimiste quant au fait que les nouveaux outils favoriseraient en fin de compte les défenseurs. « Si nous gérons cela correctement, nous pourrions être dans une meilleure position qu’au début, car nous avons corrigé tous ces bugs. Il n’y a qu’un nombre limité de bugs à trouver », a déclaré Amodei. « Je pense donc qu’il y a un monde meilleur de l’autre côté. »
Après avoir abordé les détails, Grinstead a une vision plus mesurée : « C’est utile à la fois pour les attaquants et les défenseurs, mais avoir l’outil à disposition déplace un peu l’avantage vers la défense. En réalité, personne ne connaît encore la réponse à cette question. »
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
