271 bugs dans Firefox : une IA résout en jours ce qui prend des mois
Mozilla a corrigé 271 vulnérabilités dans Firefox 150, toutes découvertes par Claude Mythos Preview, le modèle d’IA d’Anthropic. Selon Bobby Holley, CTO de Firefox, l’IA n’a trouvé aucune faille qu’un expert humain n’aurait pu détecter avec assez de temps.
Mozilla a récemment corrigé 271 vulnérabilités dans Firefox 150, toutes détectées par Claude Mythos Preview, le modèle d’IA le plus avancé d’Anthropic.
Depuis le début du mois d’avril 2026, le nom « Claude Mythos » est omniprésent dans les discussions sur la cybersécurité.
Ce modèle d’IA généraliste a été annoncé par Anthropic le 7 avril dans le cadre du programme « Project Glasswing ». Il a fait preuve d’une efficacité remarquable dans la découverte et l’exploitation de failles logicielles, au point qu’Anthropic a décidé de ne pas le rendre accessible au grand public. Seules quelques entreprises sélectionnées, telles qu’Amazon Web Services, Apple, Google, Microsoft, Cisco, NVIDIA et JPMorgan Chase, peuvent y accéder, ainsi que la Linux Foundation. Mozilla fait partie de ces partenaires. Les premiers résultats concrets viennent de paraître.
Pour cela, l’équipe de Firefox a soumis le code source du navigateur à Claude Mythos Preview, via un agent autonome (Claude Code) lancé dans un conteneur isolé. Le modèle analyse le code, propose des hypothèses sur d’éventuelles vulnérabilités, puis les vérifie en exécutant le logiciel, sans intervention humaine durant l’analyse. Les résultats ont été validés par des outils automatiques de vérification, notamment AddressSanitizer, et par des contractuels en sécurité pour s’assurer de la pertinence des rapports.
Les résultats sont impressionnants. Lors d’une première évaluation, Claude Mythos Preview a identifié **271 vulnérabilités dans Firefox 150**, toutes corrigées dans une mise à jour publiée cette semaine. Pour donner une idée des progrès, le mois dernier, Mozilla avait utilisé Claude Opus 4.6, l’ancien modèle d’Anthropic, sur Firefox 148, n’ayant trouvé que 22 bugs de sécurité. On assiste donc à un bond d’une vingtaine à près de 300, ce qui représente un facteur multiplication d’environ 12 entre les deux générations de modèles.
Anthropic précise que chaque bug signalé par Opus 4.6 lors des tests précédents a été confirmé comme un vrai positif par les outils d’analyse. Le taux de validation humaine des rapports de Mythos est de 89 % d’accord exact avec la sévérité attribuée par le modèle et de 98 % à un niveau de sévérité proche.
### Un saut qualitatif, pas seulement quantitatif
Ce qui distingue Mythos des autres modèles de langage, c’est sa capacité à raisonner sur le code comme un chercheur humain, mais à une échelle et une vitesse inaccessibles.
Contrairement à des plantages aléatoires, il comprend la logique du programme et cible des vulnérabilités que les outils classiques ne détectent pas. Mythos a même créé des exploits fonctionnels pour des vulnérabilités du moteur JavaScript de Firefox, alors qu’Opus 4.6 échouait souvent dans ce domaine.
À titre de comparaison, OpenAI a annoncé peu de temps après GPT-5.4-Cyber, mais sans résultats publics comparables. Le programme Project Glasswing bénéficie d’un financement de 100 millions de dollars en crédits, avec 4 millions destinés à l’open source. Pour les utilisateurs, le bénéfice est pour le moment indirect : les correctifs arrivent plus rapidement, mais l’accès au modèle reste impossible.
Bobby Holley, CTO de Firefox, tempère toutefois cet enthousiasme. Selon lui, l’IA n’a pas découvert de faille qu’un expert humain n’aurait pu détecter avec le temps nécessaire. Aucun type de bug n’échappe à Mythos ; les gains sont donc surtout liés à la rapidité d’exécution et non à la nature des découvertes.
### Un outil puissant, un accès verrouillé
Comme mentionné précédemment, Mythos n’est pas un produit commercial et Anthropic n’a pas l’intention de le rendre public. Pour ceux qui recherchent des fonctionnalités similaires, Opus 4.7, lancé le 16 avril, inclut des garde-fous automatiques en matière de cybersécurité et sert de test avant une éventuelle ouverture des modèles de type Mythos. Cependant, ses capacités restent largement inférieures.
Plusieurs questions émergent. Le 21 avril, Bloomberg a révélé qu’un groupe non autorisé avait accédé à Mythos via un sous-traitant, après avoir deviné l’URL grâce à la méthode de nommage d’Anthropic. Pour un modèle jugé « trop dangereux pour être rendu public », cela pose un problème.
De plus, Anthropic mentionne « des milliers » de vulnérabilités zero-day signalées aux éditeurs, mais avec un délai de divulgation de 135 jours, un temps qui laisse des failles critiques ouvertes.
En résumé, si vous utilisez Firefox, il est impératif de mettre à jour vers la version 150.
Il est à noter que, pour la première fois, un tiers indépendant confirme qu’un modèle d’IA peut détecter des centaines de failles dans un logiciel majeur avec un taux de fiabilité élevé. Toutefois, Anthropic contrôle l’accès, impose des conditions et tire profit de la situation. La « victoire des défenseurs » promise par Mozilla est, pour l’instant, réservée à ceux qui peuvent se permettre d’être associés à ce développement.
