Lorsqu'Anthropic a lancé son nouveau modèle, Mythos, en avril, le laboratoire d'IA a simultanément lancé un avertissement fort à l'industrie du développement logiciel. On dit que ce modèle est extrêmement capable d’exploiter les vulnérabilités de sécurité des logiciels et a découvert des milliers de vulnérabilités à haut risque. Le modèle ne pourra pas être pleinement ouvert sur le monde extérieur tant que ces problèmes ne seront pas résolus.
Maintenant, pour la première fois, les chercheurs en sécurité du navigateur Mozilla Firefox ont systématiquement divulgué les détails du fonctionnement de ce processus dans l'ingénierie réelle et ont tenté d'expliquer ce que Mythos signifie pour l'écosystème global de la sécurité logicielle. Mythos a découvert un certain nombre de vulnérabilités de grande gravité dans Firefox, dont certaines sont dormantes dans le code depuis plus d'une décennie, a déclaré Mozilla dans un article publié jeudi.
En seulement six mois, l'utilité des outils de sécurité de l'IA a considérablement augmenté. Dans le passé, divers outils automatiques de vérification des erreurs par l'IA étaient souvent très bruyants, remplissant fréquemment l'équipe de sécurité de rapports de mauvaise qualité et d'un grand nombre de faux positifs, laissant l'équipe d'ingénierie avoir du mal à y faire face. Les chercheurs de Mozilla estiment que la nouvelle génération d'outils a « atteint un point d'inflexion », surtout après avoir doté de capacités « de type agent ». Le modèle peut effectuer une évaluation secondaire et un filtrage de ses propres résultats d'analyse, filtrant ainsi un grand nombre de sorties peu fiables.
"Il est difficile d'exagérer à quel point ce changement nous affectera d'ici quelques mois", ont écrit les chercheurs. "Tout d'abord, les capacités des modèles eux-mêmes ont été considérablement améliorées ; deuxièmement, notre pile technologique dans la manière de contrôler ces modèles a également fait des progrès rapides."
Plus précisément au niveau des résultats, les changements sont particulièrement intuitifs : en avril 2026, Firefox a publié un total de 423 correctifs de vulnérabilités, alors que le même mois il y a un an, ce nombre n'était que de 31. L'équipe de recherche a également divulgué les détails techniques de 12 des vulnérabilités, y compris deux failles rares du mécanisme de sécurité du bac à sable et une analyse d'éléments HTML vieille de 15 ans. erreur.
"Ces outils deviennent soudainement très utiles maintenant", a déclaré Brian Grinstead, ingénieur émérite de Mozilla, dans une interview avec TechCrunch. "Nous constatons cela sur nos systèmes d'analyse internes, nous constatons la même tendance dans les rapports de vulnérabilité soumis en externe et dans l'ensemble du secteur."
L'un des points les plus marquants est que Mythos a permis de découvrir un certain nombre de vulnérabilités liées au mécanisme "sandbox" du navigateur. Dans l'industrie, ce type de vulnérabilité a toujours été considéré comme l'une des failles les plus difficiles et les plus nuisibles à découvrir : pour réussir à trouver et vérifier les vulnérabilités du sandbox, le modèle doit non seulement être capable d'écrire un correctif avec des modifications malveillantes, mais aussi parvenir à attaquer les parties les plus protégées du navigateur après avoir introduit ce nouveau code. Ce processus nécessite de maintenir une logique stricte et une créativité suffisante entre les opérations en plusieurs étapes, et est beaucoup plus difficile que l'exploration de défauts conventionnelle.
Sa valeur peut également être vue en termes d’incitations économiques. Le programme de bug bounty de Mozilla offre une récompense maximale de 20 000 $ pour les vulnérabilités du sandbox de Firefox, la limite de récompense la plus élevée de toutes les catégories de vulnérabilités. Néanmoins, Grinstead a déclaré que Mythos avait désormais découvert plus de problèmes liés au bac à sable que les chercheurs en sécurité humaine n'en avaient découvert grâce aux primes du passé combinées. "Nous recevons des rapports sur des vulnérabilités du bac à sable", a-t-il déclaré, "mais en termes de volume, elles sont loin d'avoir l'ampleur de ce que nous découvrons de manière proactive en utilisant cette nouvelle technologie."
Il convient de noter que malgré les progrès significatifs de l'industrie dans les outils de génération de code d'IA, l'équipe Firefox ne s'appuie actuellement pas sur l'IA pour corriger directement ces vulnérabilités. L'équipe demandera au modèle d'essayer de générer des correctifs en fonction de chaque vulnérabilité, mais ces codes générés automatiquement ne peuvent généralement pas être directement intégrés dans le backbone et ne peuvent être utilisés que comme modèle de référence permettant aux ingénieurs humains d'écrire des correctifs.
"Pour chacune des vulnérabilités mentionnées dans cet article, un ingénieur a terminé l'écriture du correctif et un autre ingénieur a terminé la révision du code." Grinstead a souligné. « Nous devons encore trouver un moyen fiable d’automatiser entièrement ce processus. »
À un niveau plus macro, on ne sait toujours pas comment l'évolution rapide des capacités de l'IA modifiera l'équilibre des pouvoirs entre l'attaque et la défense du réseau. Cela fait plus d'un mois depuis la sortie de la version préliminaire de Mythos, et la plupart des failles découvertes sont encore en cours de correction, ce qui signifie également qu'il est difficile pour le monde extérieur d'évaluer pleinement son impact à long terme. Anthropic adhère strictement aux pratiques de divulgation responsable et communique progressivement les détails des vulnérabilités aux projets concernés, mais il est raisonnable de supposer que certains acteurs malveillants essaient également des techniques similaires en privé, même si les modèles qu'ils utilisent ont encore des capacités inférieures.
Lors d'un récent événement public, le PDG d'Anthropic, Dario Amodei, s'est montré relativement optimiste quant à la tendance. Selon lui, si l’industrie réglemente correctement la manière dont ces outils sont utilisés, les défenseurs pourraient se retrouver dans une meilleure position qu’aujourd’hui. "Si nous le faisons correctement, nous espérons que nous nous retrouverons avec une situation plus sûre qu'au départ, car nous allons corriger ces vulnérabilités une par une", a déclaré Amodei. « Le nombre total de vulnérabilités est limité, il est donc possible d’inaugurer un monde meilleur après cela. »
En revanche, Grinstead, qui est confronté depuis longtemps à des vulnérabilités en première ligne, est plus prudent. "Cet outil est tout aussi utile pour les attaquants que pour les défenseurs, mais sa popularité a au moins légèrement fait pencher l'avantage en faveur du défenseur", a-t-il déclaré. "Une affirmation plus réaliste est que personne ne peut vraiment donner de réponse définitive à cette question pour le moment."