Anthropic et Mozilla viennent de publier les r\u00e9sultats d’une collaboration men\u00e9e en f\u00e9vrier. En deux semaines, le mod\u00e8le Claude Opus 4.6 a analys\u00e9 pr\u00e8s de 6 000 fichiers C++ du code source de Firefox et d\u00e9couvert 22 vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9, dont 14 class\u00e9es haute gravit\u00e9. Toutes sont d\u00e9j\u00e0 corrig\u00e9es dans Firefox 148.<\/p>\n
C’est l’\u00e9quipe de red team d’Anthropic qui a contact\u00e9 Mozilla pour tester son syst\u00e8me de d\u00e9tection de failles par IA sur le code source de Firefox. Le mod\u00e8le Claude Opus 4.6 a d’abord \u00e9t\u00e9 l\u00e2ch\u00e9 sur le moteur JavaScript du navigateur, avant d’\u00eatre \u00e9tendu au reste de la base de code.<\/p>\n
Vingt minutes apr\u00e8s le d\u00e9but de l’analyse, il avait d\u00e9j\u00e0 identifi\u00e9 sa premi\u00e8re faille : un Use After Free, un type de vuln\u00e9rabilit\u00e9 m\u00e9moire qui peut permettre \u00e0 un attaquant d’\u00e9craser des donn\u00e9es avec du contenu malveillant. Les ing\u00e9nieurs de Mozilla ont commenc\u00e9 \u00e0 appliquer des correctifs dans les heures qui ont suivi.<\/p>\n
Au total, Anthropic a soumis 112 rapports de bugs sur la p\u00e9riode. Mozilla a soulign\u00e9 que la qualit\u00e9 des rapports a fait la diff\u00e9rence : chaque soumission incluait un cas de test minimal, une preuve de concept et un correctif candidat. Claude a m\u00eame propos\u00e9 ses propres patchs pour corriger les failles qu’il trouvait.<\/p>\n
Sur les 112 rapports, 22 ont donn\u00e9 lieu \u00e0 des CVE (des identifiants de failles de s\u00e9curit\u00e9 officiels), dont 14 class\u00e9es haute gravit\u00e9 par Mozilla. Pour donner un ordre d’id\u00e9e, ces 14 failles repr\u00e9sentent quasiment un cinqui\u00e8me de toutes les vuln\u00e9rabilit\u00e9s haute gravit\u00e9 corrig\u00e9es dans Firefox sur l’ensemble de l’ann\u00e9e 2025. Les 90 bugs restants sont de moindre gravit\u00e9, mais la plupart sont d\u00e9sormais corrig\u00e9s. Tout est int\u00e9gr\u00e9 dans Firefox 148, disponible depuis le 24 f\u00e9vrier.<\/p>\n
Firefox n’est pas le seul projet concern\u00e9. Anthropic indique avoir utilis\u00e9 Claude Opus 4.6 pour rep\u00e9rer des vuln\u00e9rabilit\u00e9s dans d’autres logiciels open source, dont le noyau Linux.<\/p>\n
C\u00f4t\u00e9 offensif, le constat est quand m\u00eame rassurant. Anthropic a aussi test\u00e9 la capacit\u00e9 de Claude \u00e0 exploiter les failles qu’il trouvait, pas seulement les d\u00e9tecter. L’\u00e9quipe a d\u00e9pens\u00e9 environ 4 000 dollars en cr\u00e9dits API pour tenter de produire des exploits fonctionnels. Sur plusieurs centaines d’essais, seuls deux ont abouti, et encore : uniquement dans un environnement de test o\u00f9 la sandbox de Firefox avait \u00e9t\u00e9 d\u00e9sactiv\u00e9e. Le mod\u00e8le est bien meilleur pour trouver les bugs que pour les exploiter, et le co\u00fbt de d\u00e9tection est dix fois inf\u00e9rieur \u00e0 celui de l’exploitation.<\/p>\n
C\u2019est le genre de r\u00e9sultat qui change un peu la perception de l’IA dans la cybers\u00e9curit\u00e9. On a beaucoup parl\u00e9 du risque que des mod\u00e8les comme Claude ou GPT servent \u00e0 cr\u00e9er des attaques. Et l\u00e0, c’est l’inverse : l’IA trouve les failles plus vite et pour moins cher que n’importe quel audit traditionnel, mais elle a encore du mal \u00e0 les exploiter.\u00a0<\/p>\n
L’avantage est clairement du c\u00f4t\u00e9 des d\u00e9fenseurs, pour l’instant en tous cas. Mozilla a d’ailleurs annonc\u00e9 avoir d\u00e9j\u00e0 int\u00e9gr\u00e9 l’analyse assist\u00e9e par IA dans ses processus de s\u00e9curit\u00e9 internes. En tout cas, quand une IA trouve en deux semaines autant de failles critiques qu’un an de recherches classiques, on comprend assez vite que le m\u00e9tier de la cybers\u00e9curit\u00e9 va changer.<\/p>\n
Sources : Anthropic et Mozilla viennent de publier les r\u00e9sultats d’une collaboration men\u00e9e en f\u00e9vrier. En deux semaines, le mod\u00e8le Claude Opus 4.6 a analys\u00e9 pr\u00e8s de 6 000 fichiers C++ du code source de Firefox et d\u00e9couvert 22 vuln\u00e9rabilit\u00e9s de s\u00e9curit\u00e9, dont 14 class\u00e9es haute gravit\u00e9. Toutes sont d\u00e9j\u00e0 corrig\u00e9es dans Firefox 148. Un chasseur de bugs d’un nouveau genre C’est l’\u00e9quipe de red team d’Anthropic qui a contact\u00e9 Mozilla pour tester son syst\u00e8me de d\u00e9tection de failles par IA sur le code source de Firefox. Le mod\u00e8le Claude Opus 4.6 a d’abord \u00e9t\u00e9 l\u00e2ch\u00e9 sur le moteur JavaScript du navigateur, avant d’\u00eatre \u00e9tendu au reste de la base de code. Vingt minutes apr\u00e8s le d\u00e9but de l’analyse, il avait d\u00e9j\u00e0 identifi\u00e9 sa premi\u00e8re faille : un Use After Free, un type de vuln\u00e9rabilit\u00e9 m\u00e9moire qui peut permettre \u00e0 un attaquant d’\u00e9craser des donn\u00e9es avec du contenu malveillant. Les ing\u00e9nieurs de Mozilla ont commenc\u00e9 \u00e0 appliquer des correctifs dans les heures qui ont suivi. Au total, Anthropic a soumis 112 rapports de bugs sur la p\u00e9riode. Mozilla a soulign\u00e9 que la qualit\u00e9 des rapports a fait la diff\u00e9rence : chaque soumission incluait un cas de test minimal, une preuve de concept et un correctif candidat. Claude a m\u00eame propos\u00e9 ses propres patchs pour corriger les failles qu’il trouvait. 22 failles dont 14 haute gravit\u00e9 Sur les 112 rapports, 22 ont donn\u00e9 lieu \u00e0 des CVE (des identifiants de failles de s\u00e9curit\u00e9 officiels), dont 14 class\u00e9es haute gravit\u00e9 par Mozilla. Pour donner un ordre d’id\u00e9e, ces 14 failles repr\u00e9sentent quasiment un cinqui\u00e8me de toutes les vuln\u00e9rabilit\u00e9s haute gravit\u00e9 corrig\u00e9es dans Firefox sur l’ensemble de l’ann\u00e9e 2025. Les 90 bugs restants sont de moindre gravit\u00e9, mais la plupart sont d\u00e9sormais corrig\u00e9s. Tout est int\u00e9gr\u00e9 dans Firefox 148, disponible depuis le 24 f\u00e9vrier. Firefox n’est pas le seul projet concern\u00e9. Anthropic indique avoir utilis\u00e9 Claude Opus 4.6 pour rep\u00e9rer des vuln\u00e9rabilit\u00e9s dans d’autres logiciels open source, dont le noyau Linux. Trouver les failles, mais pas les exploiter C\u00f4t\u00e9 offensif, le constat est quand m\u00eame rassurant. Anthropic a aussi test\u00e9 la capacit\u00e9 de Claude \u00e0 exploiter les failles qu’il trouvait, pas seulement les d\u00e9tecter. L’\u00e9quipe a d\u00e9pens\u00e9 environ 4 000 dollars en cr\u00e9dits API pour tenter de produire des exploits fonctionnels. Sur plusieurs centaines d’essais, seuls deux ont abouti, et encore : uniquement dans un environnement de test o\u00f9 la sandbox de Firefox avait \u00e9t\u00e9 d\u00e9sactiv\u00e9e. Le mod\u00e8le est bien meilleur pour trouver les bugs que pour les exploiter, et le co\u00fbt de d\u00e9tection est dix fois inf\u00e9rieur \u00e0 celui de l’exploitation. C\u2019est le genre de r\u00e9sultat qui change un peu la perception de l’IA dans la cybers\u00e9curit\u00e9. On a beaucoup parl\u00e9 du risque que des mod\u00e8les comme Claude ou GPT servent \u00e0 cr\u00e9er des attaques. Et l\u00e0, c’est l’inverse : l’IA trouve les failles plus vite et pour moins cher que n’importe quel audit traditionnel, mais elle a encore du mal \u00e0 les exploiter.\u00a0 L’avantage est clairement du c\u00f4t\u00e9 des d\u00e9fenseurs, pour l’instant en tous cas. Mozilla a d’ailleurs annonc\u00e9 avoir d\u00e9j\u00e0 int\u00e9gr\u00e9 l’analyse assist\u00e9e par IA dans ses processus de s\u00e9curit\u00e9 internes. En tout cas, quand une IA trouve en deux semaines autant de failles critiques qu’un an de recherches classiques, on comprend assez vite que le m\u00e9tier de la cybers\u00e9curit\u00e9 va changer. Sources : Anthropic , Mozilla<\/p>\n","protected":false},"author":1,"featured_media":2466,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2465","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2465","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2465"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2465\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2466"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2465"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
\nAnthropic<\/a>
\n,
\nMozilla<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"