C’est hallucinant : l’IA Claude Mythos (Preview) est parvenue à identifier 271 vulnérabilités dans Firefox 150, la toute dernière version du navigateur de Mozilla. Cette IA sonne comme une révolution pour la sécurisation des applications.

Claude Mythos : l’arme fatale des défenseurs

Depuis plusieurs mois, la fondation Mozilla collabore avec Anthropic pour analyser le code source de Firefox et tenter de débusquer des failles de sécurité. Une première analyse menée avec le modèle Opus 4.6 avait permis de détecter et patcher 22 failles dans Firefox 148. Mais ce que vient de faire Claude Mythos Preview, c’est d’un autre niveau, c’est même incroyable : la sortie de Firefox 150 embarque des correctifs de pas moins de 271 vulnérabilités identifiées par l’IA.

“Notre expérience est porteuse d’espoir pour les équipes qui parviennent à surmonter leur vertige et à se mettre au travail. Il vous faudra peut-être redéfinir vos priorités pour vous consacrer corps et âme à cette tâche, mais il y a de la lumière au bout du tunnel.”, précise Mozilla dans son annonce.

Cela me fait penser à un rapport de la CSA (Cloud Security Alliance) que j’ai consulté récemment et qui évoque notamment les risques psychologiques liés à Claude Mythos. Autrement dit, il y aurait un vrai impact sur les humains (notamment les développeurs) avec un risque accru de burnout.

Traiter autant de vulnérabilités d’un seul coup impose de revoir toutes ses priorités, c’est une charge de travail énorme pour les équipes techniques. Mais le bilan reste extrêmement prometteur. Bobby Holley de chez Mozilla indique : “Les défenseurs ont enfin une chance de gagner, de manière décisive.” – Je suis d’accord avec lui, Claude Mythos peut jouer un rôle clé dans la sécurisation des applications et il ne doit surtout pas être rendu public (sinon c’est la fin).

Bobby Holley explique que, jusqu’à aujourd’hui, l’industrie de l’informatique considérait que la sécurité souffrait d’une dominance de l’offensive. La stratégie consistait surtout à rendre la création d’exploits tellement coûteuse qu’elle en dissuadait les attaquants aux budgets limités. Pour y parvenir, des mécanismes de défense en profondeur sont utilisés, notamment :

• Le sandboxing des processus, pour isoler chaque site web et complexifier les évasions de privilèges.
• L’adoption du langage Rust pour s’affranchir de certaines vulnérabilités courantes, même si la réécriture complète de décennies de code en C++ est un chantier monstrueux.
• Le “fuzzing”, une technique d’analyse dynamique très utile, mais dont la couverture de code reste inégale.

Quand l’IA égale les meilleurs chercheurs

Jusqu’à très récemment, l’identification des failles de sécurité les plus complexes était l’apanage d’une poignée de chercheurs considérés comme l’élite. Ce sont ceux capables de raisonner directement au niveau du code source d’une application.

Le modèle Mythos Preview change totalement la donne : Mozilla affirme qu’il est tout aussi performant que ces experts humains. L’IA est aujourd’hui capable d’identifier toutes les catégories et toutes les complexités de vulnérabilités qu’un humain pourrait déceler.

“Il est encourageant de constater que nous n’avons pas non plus rencontré de bogues qu’un chercheur humain chevronné n’aurait pas pu détecter.”, peut-on lire.

À ce niveau, Firefox aurait un avantage dans sa conception modulaire conçue pour que les humains puissent l’auditer plus facilement. Ce qui n’est pas forcément le cas des applications développées avec l’IA. “Nous risquons de concevoir des bases de code qui dépassent la compréhension humaine. Maintenir cette lisibilité est donc crucial, particulièrement pour les logiciels vitaux comme les navigateurs ou les systèmes d’exploitation”, avertit Mozilla.

Qu’en pensez-vous ?