En avril dernier, Anthropic a présenté son nouveau modèle Mythos, en adressant un avertissement sévère à la communauté des développeurs de logiciels. Selon le laboratoire, Mythos possédait une capacité exceptionnelle à détecter les vulnérabilités dans le code, ayant déjà identifié des milliers de bugs majeurs nécessitant une correction avant toute diffusion publique. Depuis cette annonce, les chercheurs en sécurité du navigateur Firefox de Mozilla ont approfondi la compréhension de cet outil et de ses implications pour la sécurité logicielle à grande échelle.
Dans un billet publié jeudi, Mozilla indique que Mythos a permis de découvrir une multitude de bugs à haute gravité, dont certains étaient enfouis dans le code depuis plus de dix ans. Cette avancée marque un progrès notable par rapport aux capacités des outils d’intelligence artificielle dans ce domaine, il y a seulement six mois. Auparavant, ces outils produisaient souvent des rapports peu pertinents ou des faux positifs, noyant les équipes de sécurité sous une masse d’informations peu exploitables. Aujourd’hui, grâce à des systèmes plus avancés dotés d’une capacité d’auto-évaluation, ces outils filtrent efficacement les résultats inutiles, rendant leur utilisation bien plus pertinente.
Les modèles deviennent soudainement très performants, transformant radicalement la manière dont les chercheurs détectent et corrigent les vulnérabilités.
Les résultats sont spectaculaires : en avril 2026, Firefox a corrigé 423 bugs, contre seulement 31 un an plus tôt. Parmi les vulnérabilités révélées, certaines concernent des failles inédites dans le système de sandbox du navigateur, ainsi qu’une erreur vieille de quinze ans dans la façon dont le navigateur analyse un élément HTML. Brian Grinstead, ingénieur de Mozilla, souligne que cette performance exceptionnelle dépasse de loin la capacité humaine ou même celle des chercheurs traditionnels, en montrant que Mythos excelle dans la détection rapide et précise de vulnérabilités complexes.
La découverte de failles dans le « sandbox » est particulièrement impressionnante, étant donné la complexité technique de telles attaques. Détecter une vulnérabilité dans cette zone exige de développer une version compromise du patch, et de tester la résistance du navigateur face à une attaque sophistiquée. Pour illustrer l’intérêt pour la communauté, Mozilla rémunère jusqu’à 20 000 dollars les chercheurs capables de dénicher de telles failles. Pourtant, Mythos a montré qu’il détecte bien plus de problèmes que ne pourraient le faire les chercheurs humains, même ceux bénéficiant de récompenses élevées.
Malgré ces avancées, Mozilla précise que l’intelligence artificielle n’est pas encore utilisée pour corriger automatiquement ces bugs. Les patchs générés par l’IA restent des modèles pour les ingénieurs, qui doivent ensuite les vérifier et les déployer manuellement. Selon Grinstead, cette étape nécessite encore une intervention humaine pour garantir la fiabilité et la sécurité du code. La forte corrélation entre la capacité de détection et la pratique de correction humaine maintient un certain équilibre dans la gestion de la sécurité, tout en laissant entrevoir un avenir où l’IA pourrait jouer un rôle plus autonome.
Ce que cette évolution suggère, c’est que l’intelligence artificielle peut devenir un allié précieux dans la lutte contre les vulnérabilités, tout en ne remplaçant pas encore totalement l’expertise humaine.
Concernant l’impact global, le contexte reste prudent. Mythos continue de découvrir de nombreux bugs, mais la majorité d’entre eux ne sont pas encore complétement corrigés. Anthropic applique des règles strictes de divulgation responsable, ce qui limite pour l’instant la visibilité sur les vulnérabilités exploitables par des acteurs malveillants. Néanmoins, il est probable que des cybercriminels utilisent également des techniques similaires avec leurs propres modèles, moins performants mais efficaces. Lors d’un récent événement, Dario Amodei, PDG d’Anthropic, a exprimé son optimisme quant à l’avenir : « Si nous gérons cela correctement, nous pourrions tirer avantage de ces outils pour renforcer la défense plutôt que l’attaquer. »
De leur côté, les experts, comme Grinstead, adoptent une position plus nuancée. Selon lui, ces outils sont « utiles pour à la fois les attaquants et les défenseurs », mais il reste encore beaucoup d’inconnues quant à leur usage à grande échelle. L’introduction de Mythos pourrait ainsi reconfigurer la dynamique entre cybercriminels et experts en sécurité, favorisant une montée en puissance des méthodes défensives. La question centrale demeure : comment l’industrie de la cybersécurité pourra-t-elle s’adapter à cette nouvelle donne, où l’intelligence artificielle joue un rôle croissant dans la détection et la correction des vulnérabilités ?
