Accrochez-vous bien : 423 failles de sécurité ont été corrigées dans le navigateur web Mozilla Firefox en avril 2026. Grâce à l’utilisation de l’IA, notamment Claude Mythos de chez Anthropic, les équipes de Mozilla ont pu identifier de nombreuses vulnérabilités inconnues jusqu’ici.

L’IA, le nouveau pilier de l’analyse de code

La recherche de vulnérabilités évolue avec l’intelligence artificielle, en particulier avec les modèles les plus performants. Un article publié par Brian Grinstead, Christian Holler et Frederik Braun, des ingénieurs de chez Mozilla, revient sur cette chasse aux vulnérabilités hors normes réalisée dans le code de Firefox depuis plusieurs semaines.

Comme ils l’expliquent, “il est peu coûteux et facile de demander à un LLM de trouver un “problème” dans le code, mais lent et coûteux d’y répondre.“. Ce qui signifie qu’on ne peut pas perdre du temps à vérifier de faux problèmes… Mais, la situation évolue dans le bon sens pour deux raisons :

• Les capacités des modèles d’intelligence artificielle se sont largement améliorées,
• Les chercheurs qui en font l’usage aussi, notamment dans l’optimisation des techniques pour les exploiter (guidage, combinaison, etc).

“Au cours des dernières années, nous avons mené des essais en interne sur l’audit de code à l’aide de LLM, en commençant par utiliser des modèles tels que GPT-4 ou Sonnet 3.5 pour analyser de manière statique le code à haut risque à la recherche de vulnérabilités. Ces essais se sont révélés prometteurs, mais le taux élevé de faux positifs les a rendus difficilement applicables à grande échelle.”, peut-on lire.

Pour parvenir à des résultats satisfaisants, Mozilla a mis en place un pipeline de sécurité automatisé (nommé harness agentique) couplé à son infrastructure de fuzzing existante. Il y a notamment eu des tests avec Claude Opus 4.6, avec un système capable de créer et d’exécuter des scénarios de test reproductibles pour prouver l’existence d’un bug. Cela permet de filtrer les fausses alertes et de s’intégrer efficacement au cycle de vie classique du traitement des vulnérabilités (détection, déduplication, tri et déploiement du correctif).

L’arrivée de Claude Mythos Preview)

Claude Opus 4.6 a également été épaulé par Claude Mythos Preview, le modèle le plus performant actuellement disponible et dont l’accès n’est pas public. Ainsi, uniquement en avril 2026, Mozilla a corrigé un total de 423 failles de sécurité dans son navigateur Firefox. L’occasion de rappeler que Claude Mythos Preview a permis d’identifier 271 vulnérabilités dont les patchs ont été intégrés à Firefox 150 (ainsi que dans les mises à jour 149.0.2, 150.0.1 et 150.0.2).

Si l’on se penche sur la criticité des 271 failles découvertes grâce à Claude Mythos Preview, voici la répartition :

• 180 failles avec une sévérité haute : il s’agit de vulnérabilités pouvant être déclenchées par le comportement normal d’un utilisateur, comme la simple navigation sur une page web.
• 80 failles avec une sévérité modérée : il s’agit de faiblesses nécessitant des manipulations complexes et inhabituelles de la part de la victime.
• 11 failles avec une sévérité faible : des problèmes causant des perturbations, comme un plantage du navigateur, mais sans danger direct pour l’utilisateur et ses données.

Dans son rapport, Mozilla a intégré quelques précisions à propos de certaines vulnérabilités. On y retrouve notamment des vulnérabilités présentes depuis 15 ans ou 20 ans dans le navigateur Firefox, comme c’est le cas pour une faille XSLT.

Au-delà de la découverte de ces vulnérabilités, l’IA a permis de tester et de valider la robustesse de certains mécanismes de défense. “Ce que les modèles n’ont pas trouvé est tout aussi intéressant que ce qu’ils ont découvert — non pas parce qu’ils n’ont pas essayé, mais parce qu’ils n’ont pas réussi à contourner les défenses multicouches de Firefox.”, peut-on lire.

Il est à noter que pour traiter l’ensemble de ces problèmes de sécurité, Mozilla a pu compter sur une centaine de contributeurs ! Terminons par cette phrase : “Le moment actuel est périlleux, mais aussi plein d’opportunités. Travaillons ensemble pour sécuriser Internet.”