L’affirmation de Mozilla au sujet de Firefox a encore tendu un débat déjà vif sur la sécurité liée à l’IA

Mozilla affirme que le modèle Mythos Preview d’Anthropic l’a aidée à identifier 271 vulnérabilités de sécurité dans Firefox 150 avant la sortie du navigateur, un résultat qui relève immédiatement les enjeux dans la course pour comprendre l’impact de l’IA avancée sur la cybersécurité.

L’information, rapportée par Ars Technica, apporte des éléments inhabituellement concrets à un débat jusqu’ici largement alimenté par des spéculations, des affirmations de benchmarks et des mises en garde de sociétés d’IA. Début avril, Anthropic a indiqué que Mythos était si efficace pour découvrir des vulnérabilités que l’entreprise avait limité son premier déploiement à un petit groupe de partenaires industriels stratégiques. L’expérience rapportée par Mozilla constitue désormais l’un des signaux les plus clairs, dans le monde réel, de ce que cette capacité peut donner en pratique.

Bobby Holley, CTO de Firefox, a décrit les implications en des termes ambitieux, estimant que les équipes de sécurité défensive pourraient enfin prendre l’avantage. Même sans divulgation détaillée de la gravité des 271 failles, l’ampleur du résultat rapporté est difficile à ignorer.

De dizaines de bogues à des centaines en un seul cycle de publication

La comparaison la plus frappante dans le rapport source n’oppose pas l’IA aux humains, mais une génération de modèles d’IA à la suivante. Holley a déclaré que le modèle Opus 4.6 d’Anthropic avait trouvé 22 bogues sensibles sur le plan de la sécurité lors de l’analyse de Firefox 148 le mois dernier. Mythos Preview, en examinant Firefox 150, aurait mis au jour 271 vulnérabilités.

Si ces chiffres sont directement comparables, l’augmentation est spectaculaire. Elle suggère que les progrès des modèles dans l’analyse de vulnérabilités ne sont peut-être pas linéaires. Même en tenant compte des différences de code cible ou de conditions de recherche, passer de quelques dizaines à des centaines de résultats en si peu de temps implique une évolution significative des capacités.

Le rapport source indique que le modèle a trouvé ces problèmes simplement en analysant du code source non publié. Ce point compte, car il présente le modèle non pas comme un moteur de fuzzing automatisé nécessitant une exécution à grande échelle, mais comme un système de raisonnement capable d’inspecter des bases de code et de signaler des vulnérabilités probables.

Holley a comparé ce travail à ce qui pourrait être accompli soit par du fuzzing automatisé, soit par des chercheurs humains d’élite raisonnant sur un code de navigateur complexe. La différence pratique, selon lui, tient au coût et à la vitesse. Si un modèle d’IA peut trouver des failles de sécurité sans de longs mois d’efforts experts concentrés, l’examen défensif devient moins coûteux et plus facile à déployer à grande échelle.

Indie game Screenbound gets a date and a live demo
More in News

Le jeu indépendant Screenbound obtient une date de sortie et une démo jouable

Screenbound, le très attendu jeu de plateforme « 5D » qui partage l’action entre une console portable en 2D et un monde en 3D, sortira le 10 septembre, avec une démo déjà disponible.

Read article

Pourquoi la sécurité des navigateurs est un cas d’étude pertinent

Les navigateurs figurent parmi les produits logiciels grand public les plus complexes et les plus attaqués au monde. Ils traitent en permanence des entrées non fiables, s’étendent sur d’immenses bases de code et exigent une gestion minutieuse de la mémoire, du rendu, du scripting, du réseau et du cloisonnement.

Cela fait de Firefox un environnement d’essai solide pour les affirmations sur la découverte de vulnérabilités par l’IA. Un modèle capable de trouver des bogues significatifs dans un navigateur moderne fait quelque chose de plus conséquent que de gagner un benchmark artificiel. Il opère dans un domaine où de véritables défauts peuvent toucher des millions d’utilisateurs et où l’examen de sécurité par des experts est déjà extrêmement sophistiqué.

Le rapport source ne précise pas la répartition de gravité des 271 vulnérabilités. Ce détail manquant est important. Des centaines de problèmes de faible gravité n’auraient pas la même portée stratégique que des centaines de failles à fort impact. Néanmoins, la capacité à identifier à l’avance un grand nombre de bogues sensibles sur le plan de la sécurité avant une sortie publique représenterait déjà un changement majeur dans les flux de travail de défense logicielle.

La question défenseurs contre attaquants devient plus difficile à trancher

Depuis des mois, la conversation sur la cybersécurité autour de l’IA avancée oscille entre alarme et scepticisme. D’un côté, certains craignent que des modèles puissants rendent l’exploitation plus facile et plus scalable pour les attaquants. De l’autre, on soutient que l’IA accélère surtout le travail que les défenseurs effectuent déjà et que le battage médiatique dépasse souvent les résultats pratiques.

L’utilisation rapportée de Mythos par Mozilla ne met pas fin à ce débat, mais elle le fait avancer. Selon la description donnée dans le rapport source, la position de Holley est que la découverte moins coûteuse des vulnérabilités aide les défenseurs, car les éditeurs peuvent trouver et corriger les problèmes avant que les attaquants ne les exploitent.

C’est plausible, surtout pour les organisations qui ont accès aux modèles de pointe et la capacité technique de les intégrer dans des chaînes de développement sécurisé. Mais la même capacité sous-jacente pourrait aussi profiter aux attaquants si des systèmes équivalents deviennent plus largement disponibles ou se retrouvent dans des chaînes d’outils offensives.

Autrement dit, l’avantage dépend peut-être moins de la capacité de l’IA à trouver des vulnérabilités que de la rapidité et de la responsabilité avec lesquelles chacun peut operationaliser cette capacité.

New iOS 27 designs reportedly coming to these iPhone apps - 9to5Mac
More in News

Les rumeurs sur iOS 27 laissent entrevoir des changements de design plus larges pour les apps

Un rapport indique qu’iOS 27 d’Apple apportera des changements de design à plusieurs apps de l’iPhone lors de la présentation du logiciel dans les prochains jours.

Read article

Ce qui change dans le développement logiciel

Si le résultat de Mozilla se confirme, la revue de code assistée par IA pourrait cesser d’être un simple atout pour devenir une exigence de base pour les grands projets logiciels. Selon le rapport source, Holley a déclaré à Wired que chaque logiciel devra bientôt probablement s’engager dans ce type d’analyse assistée par IA, car chaque logiciel sera exposé à la même capacité depuis l’extérieur.

Cela crée une nouvelle norme minimale. Les projets qui n’utilisent pas des outils d’IA performants pour inspecter le code pourraient être désavantagés face aux attaquants ou aux concurrents qui le font. L’examen de sécurité pourrait commencer à ressembler à un triage continu piloté par l’IA, superposé aux tests conventionnels, au fuzzing et à la recherche humaine.

Cela pourrait aussi modifier la dynamique du travail au sein des équipes de sécurité. Les chercheurs très qualifiés pourraient passer moins de temps à fouiller manuellement des chemins de code peu rentables et davantage de temps à valider, hiérarchiser et exploiter ou corriger les résultats générés par le modèle. Dans ce scénario, l’IA ne remplace pas tant le travail de sécurité d’élite qu’elle en modifie l’économie.

Les détails manquants restent importants

Le chiffre mis en avant est impressionnant, mais les questions en suspens sont nombreuses. Le rapport source ne précise pas combien des vulnérabilités étaient graves, combien auraient déjà été détectées par les outils internes existants, ni à quoi ressemblait le taux de faux positifs. Il laisse aussi ouverte la question de savoir si cette performance dépendait d’orientations privilégiées, d’outils ou de formulations de prompts difficiles à reproduire à grande échelle.

Ces réserves n’annulent pas l’importance du résultat. Elles définissent simplement ce qui reste inconnu. Les affirmations en matière de sécurité sont les plus solides lorsque des chercheurs externes peuvent les valider dans le temps, sur plusieurs bases de code et dans plusieurs contextes opérationnels.

SpaceX signage outside the Space Exploration Technologies Corp. facility in Hawthorne, California, on June 3, 2026. A Tesla Cybertruck sits in the foreground.
More in News

S&P refuse d’accélérer l’entrée de SpaceX dans le S&P 500 après son IPO

S&P Dow Jones Indices a refusé d’assouplir des règles d’éligibilité clés pour les IPO MegaCap, bloquant une voie plus rapide pour SpaceX vers le S&P 500 et fermant la même voie aux sociétés d’IA non rentables.

Read article

Un moment charnière pour l’IA dans la défense cyber

Même avec ces incertitudes, le récit de Mozilla ressemble à un moment charnière. Jusqu’ici, les affirmations sur l’IA de pointe et les capacités cyber sonnaient souvent comme des hypothèses ou des discours intéressés. Le fait qu’un éditeur de navigateur dise qu’un modèle a aidé à découvrir 271 vulnérabilités dans une version majeure donne au débat une forme beaucoup plus concrète.

Si ce chiffre reflète de véritables défauts de sécurité significatifs, alors l’IA avancée commence dès maintenant à modifier l’économie de l’assurance logicielle. Cela ne garantit pas que les défenseurs aient clairement gagné, comme le soutient Holley. Mais cela suggère que la compétition est entrée dans une nouvelle phase, où la capacité de raisonner sur du code à la vitesse de la machine devient un facteur de sécurité concret plutôt qu’une possibilité future.

La question suivante n’est plus de savoir si l’IA peut compter dans la recherche de vulnérabilités. Elle consiste à savoir à quelle vitesse le reste de l’industrie logicielle s’adapte à un monde dans lequel c’est déjà le cas.

Cet article est basé sur un reportage d’Ars Technica. Lire l’article original.

Originally published on arstechnica.com