À l’occasion de la sortie de Claude Opus 4.6, Anthropic a révélé que son nouveau modèle d’IA était parvenu à identifier plus de 500 vulnérabilités importantes dans un ensemble de projets open source.

Anthropic annonce une capacité de raisonnement comparable à l’humain

Jeudi 5 février 2026, Anthropic a lancé Claude Opus 4.6, la dernière version de son modèle de langage capable d’être beaucoup plus performante pour exécuter certaines tâches. Selon Anthropic, cette version est bien meilleure pour découvrir des failles de sécurité importantes, et ce, sans nécessiter d’outils spécifiques ou de prompts ultra-spécialisés.

D’ailleurs, l’équipe de Red Team d’Anthropic a effectué des tests concrets en utilisant Claude Opus 4.6 pour tenter de débusquer des failles de sécurité inconnues jusqu’ici. Pour effectuer ces tests, Anthropic a placé l’IA dans un environnement virtualisé, doté d’outils standards comme des débogueurs et des fuzzers, mais sans lui donner d’instructions quant à leur utilisation.

L’objectif ? Tester ses capacités “out-of-the-box” et les résultats sont là : l’IA est parvenue à identifier des failles, mais elle a également validé chaque découverte pour s’assurer qu’il ne s’agissait pas d’hallucinations. Ce qui est différent avec ce modèle, c’est sa méthode d’analyse et sa capacité d’autocorrection pour limiter justement les hallucinations.

Anthropic explique : “Opus 4.6 lit et analyse le code comme le ferait un chercheur humain : il examine les corrections apportées par le passé pour trouver des bogues similaires qui n’ont pas été corrigés, repère les schémas qui ont tendance à causer des problèmes ou comprend suffisamment bien un élément de logique pour savoir exactement quelle entrée le perturberait.“

À en croire les propos d’Anthropic, il ne s’agirait pas uniquement de scanner le code ou de faire du fuzzing (injecter des données aléatoires pour voir comment réagit un programme), mais de raisonner comme un chercheur.

Plus de 500 vulnérabilités découvertes

“À ce jour, nous avons identifié et validé plus de 500 vulnérabilités avec un haut niveau de gravité. Nous avons commencé à les signaler et voyons nos premiers correctifs arriver, et nous continuons à travailler avec les responsables de la maintenance pour corriger les autres.“

Les vulnérabilités découvertes affectent des solutions et bibliothèques largement utilisées comme Ghostscript, OpenSC et CGIF :

• Ghostscript : en analysant l’historique des commits Git, l’IA a repéré une absence de vérification des limites (bounds check) pouvant entraîner un crash.
• OpenSC : en traquant des appels de fonctions comme et , elle a identifié un dépassement de tampon (buffer overflow).
• CGIF : une vulnérabilité de dépassement de tampon de tas (heap buffer overflow), corrigée dans la version 0.5.1.

Le cas de la vulnérabilité découverte dans la bibliothèque CGIF est intéressant, car sa découverte implique une séquence d’opérations très spécifique et donc une bonne compréhension générale du fonctionnement des composants : “Cette vulnérabilité est particulièrement intéressante, car pour la déclencher, il faut comprendre le concept de l’algorithme LZW et son lien avec le format de fichier GIF.”, précise le rapport.

Nous avons la preuve que l’IA peut identifier des vulnérabilités. Désormais, le challenge, c’est d’identifier des vulnérabilités importantes pour ne pas noyer les développeurs. À l’heure actuelle, c’est déjà ce qui se passe pour certains projets open source où les rapports soumis par une IA sont souvent critiqués. D’ailleurs, Debian vient de durcir le ton vis-à-vis de l’IA, que ce soit pour les contributions ou le scrapping.

Qu’en pensez-vous ?

Source