Comment Mozilla a utilisé Claude Mythos pour trouver 271 vulnérabilités dans Firefox

Mozilla utilisant Claude Mythos Preview a découvert et corrigé 271 vulnérabilités cachées dans Firefox — un nombre record trouvé par un unique projet d'IA. Cela démontre comment les modèles de langage modernes deviennent des outils pour trouver des défauts critiques de sécurité.

Comment Mozilla chassait les vulnérabilités

Mozilla a utilisé Claude Mythos Preview — une nouvelle version du modèle d'Anthropic — pour analyser le code source de Firefox. Au lieu de vérifier manuellement des millions de lignes de code, l'équipe a développé une approche où l'IA scanne systématiquement le navigateur à la recherche de signes de vulnérabilités potentielles. Le processus incluait plusieurs étapes. D'abord, les modèles d'IA, y compris Claude Mythos, ont analysé la base de code et identifié des patterns suspects. Ensuite, les experts en sécurité de Mozilla ont vérifié manuellement chaque candidat. Après confirmation, l'équipe a reproduit la vulnérabilité, développé un patch et coordonné sa sortie. En parallèle, d'autres modèles d'IA ont été utilisés pour la vérification croisée.

Pourquoi c'est un nombre record

271 vulnérabilités est un nombre énorme de défauts que les méthodes d'audit traditionnelles pourraient manquer pendant des années. Certaines affectaient les composants critiques du navigateur : gestion de la mémoire, opérations réseau, analyse des formats médias. Chacune aurait pu potentiellement compromettre la sécurité des utilisateurs. Le succès de Mozilla montre que les modèles d'IA peuvent trouver non seulement les erreurs évidentes, mais aussi les défauts logiques complexes qui nécessitent une compréhension du contexte de l'ensemble du programme. C'est particulièrement précieux pour des projets énormes comme Firefox, où l'audit manuel de millions de lignes de code prendrait des mois.

Méthode pour d'autres projets

Mozilla a publié des recommandations pour les développeurs qui souhaitent appliquer une méthodologie similaire lors de la recherche de vulnérabilités :

• Commencez par les composants critiques, pas par la base de code complète
• Utilisez plusieurs modèles d'IA pour la vérification croisée des résultats
• Vérifiez toujours manuellement chaque bug trouvé
• Coordonnez les sorties de patches avec la communauté de sécurité
• Documentez l'approche pour la reproductibilité

Conclusion clé : combiner le scanning de l'IA avec la vérification manuelle par les experts est maximalement efficace. L'IA trouve les candidats, les humains vérifient et corrigent. C'est exactement comment Mozilla a réussi à trouver plus de vulnérabilités en deux semaines que dans les années précédentes.

Qu'est-ce que cela signifie

Une ère commence où la sécurité devient plus automatisée et scalable. Pour les utilisateurs de Firefox, cela signifie un navigateur plus sûr. Pour les développeurs — une compréhension que les outils d'IA sont déjà prêts à aider dans les audits de sécurité, pas seulement dans la génération de code.