Mozilla vient de corriger 271 vulnérabilités dans Firefox 150, toutes découvertes par Claude Mythos Preview, le modèle d’IA le plus avancé d’Anthropic.
Depuis début avril 2026, le nom « Claude Mythos » revient dans toutes les conversations cybersécurité.
Pour aller plus loinAnthropic dévoile Claude Mythos, une IA jugée trop dangereuse pour nous
Annoncé le 7 avril par Anthropic dans le cadre du programme « Project Glasswing », ce modèle d’IA généraliste s’est révélé si redoutable en matière de découverte et d’exploitation de failles logicielles qu’Anthropic a décidé de ne pas le rendre public. Seule une poignée de partenaires triés sur le volet, Amazon Web Services, Apple, Google, Microsoft, Cisco, NVIDIA, JPMorganChase, la Linux Foundation, entre autres, y ont accès. Mozilla en fait partie. Et les premiers résultats concrets viennent de tomber.
Concrètement, l’équipe Firefox a soumis le code source du navigateur à Claude Mythos Preview, via un agent autonome (Claude Code) lancé dans un conteneur isolé. Le modèle lit le code, formule des hypothèses sur d’éventuelles failles, puis les vérifie en exécutant le logiciel. Aucune intervention humaine pendant l’analyse. Les résultats bruts ont été validés par des outils de vérification automatique, notamment AddressSanitizer pour les erreurs de mémoire, puis par des contractuels en sécurité pour s’assurer de la pertinence des rapports.
Les chiffres donnent le vertige. En une évaluation initiale, Claude Mythos Preview a identifié 271 vulnérabilités dans Firefox 150, toutes corrigées dans la mise à jour publiée cette semaine. Pour donner un ordre de grandeur : le mois précédent, Mozilla avait utilisé Claude Opus 4.6, le précédent modèle d’Anthropic, sur Firefox 148 et n’avait trouvé que 22 bugs de sécurité. On passe donc d’une vingtaine à près de 300, soit un facteur de multiplication d’environ 12 entre les deux générations de modèles.
Selon Anthropic, chaque bug signalé par Opus 4.6 lors de tests antérieurs s’est avéré un vrai positif, confirmé par les outils d’analyse. Le taux de validation humaine des rapports de Mythos est de 89 % d’accord exact avec la sévérité attribuée par le modèle, et 98 % à un niveau de sévérité près.
Un saut qualitatif, pas seulement quantitatif
Ce qui distingue Mythos des autres LLM, c’est sa capacité à raisonner sur le code comme un chercheur humain, mais à une échelle et une vitesse inaccessibles.
Il ne se contente pas de provoquer des plantages aléatoires : il comprend la logique du programme et cible les failles que les outils classiques ne couvrent pas. Mythos a même développé des exploits fonctionnels pour des vulnérabilités du moteur JavaScript de Firefox, là où Opus 4.6 échouait presque systématiquement.
Côté concurrence, OpenAI a annoncé GPT-5.4-Cyber peu après, mais sans résultat public comparable. Il faut dire que Project Glasswing est financé à hauteur de 100 millions de dollars en crédits, plus 4 millions pour l’open source. Et pour nous, utilisateurs, pour le moment, le bénéfice est indirect : on obtient des correctifs plus rapides, certes, mais toujours aucun accès au modèle.
Bobby Holley, CTO de Firefox, nuance néanmoins cet enthousiasme. Selon lui, l’IA n’a trouvé aucune faille qu’un expert humain n’aurait pu détecter avec assez de temps. Et inversement, aucune catégorie de bug n’échappe à Mythos. Le gain est donc un gain de débit, pas de nature.
Un outil puissant, un accès verrouillé
Comme expliqué plus haut, Mythos n’est pas un produit commercial. Anthropic ne compte pas le rendre public. Pour ceux qui veulent des capacités approchantes, Opus 4.7, sorti le 16 avril, intègre des garde-fous cyber automatiques et sert de banc d’essai avant une éventuelle ouverture des modèles de classe Mythos. Mais ses capacités restent nettement en deçà.
Alors, plusieurs points posent question. Le 21 avril, Bloomberg a révélé qu’un groupe non autorisé avait accédé à Mythos via un sous-traitant, en devinant l’URL grâce aux manières de nommage d’Anthropic. Pour un modèle jugé « trop dangereux pour être rendu public », c’est embarrassant.
Par ailleurs, Anthropic évoque « des milliers » de zero-days signalées aux éditeurs, mais le délai de divulgation est de 135 jours, un temps considérable pendant lequel des failles critiques restent ouvertes.
Bref, si vous êtes un utilisateur de Firefox, le conseil est simple : mettre à jour vers la version 150.
Et malgré tout, c’est un fait : pour la première fois, un tiers indépendant confirme qu’un modèle d’IA détecte des centaines de failles dans un logiciel majeur avec un taux de fiabilité élevé. Mais Anthropic contrôle l’accès, dicte les conditions et profite du récit. La « victoire des défenseurs » promise par Mozilla est pour l’instant réservée à ceux qui ont les moyens de s’asseoir à la table.
Source:
www.frandroid.com
