Le monde de la cybersécurité semble lui aussi entrer dans une phase de profond bouleversement avec l’IA. Et Anthropic aimerait faire de Mythos, son nouveau modèle spécialisé dans la détection de failles de sécurité, le symbole de ce tournant. Cette technologie est tellement puissante qu’elle pourrait devenir dangereuse entre de mauvaises mains, affirme l’entreprise. Simple marketing de la peur pour mieux vendre ses services aux grosses entreprises ou vrai changement de paradigme ?
Mozilla, l’un des premiers partenaires d’Anthropic, penche pour la seconde option. Le mois dernier, l’éditeur a indiqué que Firefox 150 embarquait des correctifs pour pas moins de 271 failles identifiées par Mythos. Un chiffre impressionnant pour un outil utilisé seulement depuis quelques semaines, mais qui n’a pas dissipé tous les doutes, notamment sur la gravité des vulnérabilités détectées. Mozilla était en effet resté très vague sur le sujet.
C’est pas du Mythos : l’IA d’Anthropic a trouvé 271 failles de sécurité dans Firefox
L’organisation a finalement levé un coin du voile dans un billet publié le 7 mai signé par trois ingénieurs. Ceux-ci expliquent d’abord avoir volontairement gardé le silence sur les failles identifiées afin de protéger les utilisateurs n’ayant pas encore installé la dernière version de Firefox, une précaution classique.
Mais face à « l’intérêt exceptionnel » suscité par le sujet, ils ont décidé de publier un petit échantillon des rapports liés aux correctifs récemment déployés. Plusieurs des vulnérabilités présentées sont des évasions de sandbox qui doivent être combinées à d’autres exploits pour compromettre l’ensemble de la chaîne de sécurité du navigateur.
Les ingénieurs indiquent que ces failles sont difficiles à détecter par fuzzing, une technique qui consiste à injecter des données aléatoires dans un programme pour provoquer des comportements inattendus. Mozilla affirme avoir développé de nouvelles méthodes pour améliorer cette détection, mais estime que l’analyse par IA couvre cette surface critique de manière bien plus complète. Résultat, en avril, Firefox a reçu 423 correctifs de sécurité, soit davantage que sur l’ensemble de l’année 2025.
« Ces outils sont tout simplement excellents, résume l’ingénieur Brian Grinstead auprès de TechCrunch. Nous le constatons dans nos analyses internes, dans les rapports de bogues externes et à travers toutes sortes de signaux dans l’industrie. »
Le contre-exemple cURL
Pourtant, tout le monde n’est pas aussi enthousiaste. Daniel Stenberg, le créateur de cURL, un outil aussi discret qu’omniprésent, se montre bien plus mesuré après avoir pu expérimenter lui-même Mythos.
cURL a fêté son 25e anniversaire et vous l’utilisez tous les jours sans le savoir
Précision importante : avant d’utiliser le nouveau modèle d’Anthropic, le projet cURL avait déjà été analysé avec plusieurs outils d’IA avancés. Ceux-ci ont permis d’intégrer entre 200 et 300 correctifs au cours des huit à dix derniers mois. Plusieurs vulnérabilités détectées par ces outils ont été validées et publiées sous forme de CVE.
