Dans le cadre d’un partenariat de sécurité récent avec Mozilla, Anthropic a identifié un total de 22 vulnérabilités distinctes dans le navigateur Firefox, dont 14 classées comme à « haute gravité ». La majorité de ces failles ont été corrigées dans la version Firefox 148, sortie en février dernier, tandis que certaines nécessiteront une nouvelle mise à jour pour être résolues. L’équipe d’Anthropic a exploité le modèle d’IA Claude Opus 4.6 durant deux semaines, en débutant par le moteur JavaScript avant d’élargir son approche à d’autres composants du code source du navigateur.
Selon leur rapport, l’équipe s’est concentrée sur Firefox précisément parce qu’il s’agit à la fois d’un code complexe et de l’un des projets open source les plus testés et sécurisés au monde. Curieusement, Claude Opus s’est montré beaucoup plus efficace pour détecter des vulnérabilités que pour générer des exploits exploitables. Malgré un budget de 4000 dollars en crédits API utilisé pour tenter de concevoir des preuves de concept exploitables, seuls deux exploits ont finalement été couronnés de succès.
Ce constat illustre à quel point les outils d’intelligence artificielle peuvent être puissants pour renforcer la sécurité des projets open source, tout en générant un flux important de propositions de modifications — utiles ou non.
Ce partenariat illustre également la montée en puissance de l’IA dans le domaine de la cybersécurité. En exploitant ces technologies, les chercheurs peuvent accélérer la détection et la correction des vulnérabilités, mais cela soulève aussi des questions sur la gestion des failles et la prévention des abus. La collaboration entre Anthropic et Mozilla pourrait servir d’exemple pour d’autres projets open source cherchant à renforcer leur sécurité face à des menaces de plus en plus sophistiquées.
En conclusion, cette initiative démontre le potentiel considérable des modèles d’IA comme Claude pour renforcer la sécurité informatique, tout en soulignant la nécessité d’un usage responsable. La capacité de l’IA à identifier rapidement des failles dans des projets complexes pourrait transformer la manière dont la sécurité des logiciels est gérée à l’avenir, mais elle exige également de la prudence pour éviter la prolifération de faux positifs et d’initiatives inutiles.
