Début avril 2026, Anthropic a affirmé que son modèle Claude Mythos était la première IA qui est parvenue à identifier une faille de sécurité offrant un accès root sur FreeBSD (CVE-2026-4747). Pourtant, un nouveau rapport publié par Rival Security évoque une faille de sécurité recyclée.

Une faille “inédite” aux airs de déjà-vu

La vulnérabilité découverte par Claude Mythos et documentée sous la référence CVE-2026-4747 concerne une exécution de code à distance (RCE) dans le serveur NFS et le module d’authentification RPCSEC_GSS via Kerberos intégrés nativement à FreeBSD (au sein de son noyau).

Cette faille de sécurité est un buffer overflow classique lié à la fonction , au sein de laquelle un en-tête RPC est reconstruit dans un tampon de 128 octets. Le code écrit d’abord 32 octets d’en-tête, puis copie l’intégralité du corps des identifiants dans l’espace restant (96 octets), sans aucune vérification de limite. Si la taille dépasse cet espace, la pile déborde.

Mais l’origine de ce code est bien plus ancienne. Elle remonte au protocole ONC RPC et NFS de Sun Microsystems, créé en 1984. Une grande partie du code open source implémentant ces fonctions a été développée dans les années 90 par le CITI (Center for Information Technology Integration) de l’Université du Michigan. Or, FreeBSD maintient son système de base dans un dépôt unique et le code vulnérable y a été copié, il y a plusieurs années.

Le fantôme de la CVE-2007-3999

Puisque ce code a été massivement partagé et recopié, notamment dans l’implémentation Kerberos du MIT, l’IA a-t-elle vraiment découvert une nouvelle faille ? Le rapport Rival Security met en évidence une autre version de la réalité. En fouillant dans les archives, les chercheurs ont pu tomber sur une autre faille de sécurité : la CVE-2007-3999.

Sa description par le NIST évoque un débordement de tampon basé sur la pile dans la fonction de MIT Kerberos, permettant l’exécution de code arbitraire. Cela vous rappelle quelque chose ? Je pense que oui…

En réalité, si l’on compare le code vulnérable de Kerberos (corrigé en 2007) avec celui présent dans le code source de FreeBSD découvert par Mythos en 2026, il y a une réelle ressemblance. Les deux fonctions sont pratiquement identiques au niveau du code. La logique est la même, malgré que les fonctions ont des noms différents et que les arguments acceptés ne sont pas identiques dans les deux cas. De plus, le correctif appliqué pour patcher FreeBSD est un quasi-copier-coller du correctif de 2007.

Ainsi, les chercheurs estiment que Claude Mythos a identifié et exploité une vulnérabilité dont les traces existaient déjà très probablement au sein de la masse de données d’entraînement dont il a bénéficié. Voici les codes vulnérables tels que présentés dans le rapport de Rival Security.

Finalement, ce point de vue est intéressant et il met en évidence les risques associés au code recyclé. Ceci est d’autant plus vrai que les LLM sont susceptibles de “régurgiter” les mêmes schémas non sécurisés sur lesquels ils ont été entraînés. Et d’un autre côté, les LLM aident aussi à les identifier, ce qui fait de l’IA un redoutable scanner (y compris pour ce que l’on appelle le pattern-matching).