Firefox résout en un mois 20 ans de failles grâce à l'IA Mythos d'Anthropic

Une avancée majeure grâce à l'intelligence artificielle

Mozilla a récemment révélé comment l'intelligence artificielle a permis de corriger en un seul mois un volume de failles de sécurité équivalent à 14 mois de travail. En avril 2026, l'entreprise a résolu 423 vulnérabilités dans Firefox après avoir intégré Claude Mythos Preview, développé par Anthropic. Ce chiffre contraste avec les quelque 420 correctifs déployés sur les 14 mois précédents.

Cette performance exceptionnelle illustre l'impact des technologies d'IA de pointe sur la cybersécurité. Les équipes de Mozilla ont ainsi démontré que les défenseurs peuvent désormais devancer les attaquants grâce à des outils d'analyse automatisée avancés.

Des failles historiques révélées par l'IA

Parmi les vulnérabilités corrigées, certaines remontent à plus de deux décennies. Par exemple :

• Bug 2025977 : une faille de réentrance XSLT vieille de 20 ans, où des appels à key() pouvaient déclencher un réhachage de table de hachage, libérer la mémoire allouée et laisser un pointeur d'entrée en cours d'utilisation.
• Bug 2024437 : une vulnérabilité de 15 ans dans l'élément HTML legend.

Ces bugs, enfouis dans des cas limites obscurs ou des sous-systèmes anciens, avaient échappé aux tests traditionnels, au fuzzing et aux revues manuelles. Leur découverte met en lumière les risques persistants dans les bases de code matures, même après des années d'examen minutieux.

Une méthodologie innovante pour filtrer et prioriser les vulnérabilités

Mozilla a mis en place un système automatisé pour exploiter l'IA de manière efficace. Ce pipeline permet de :

• Cibler des zones spécifiques du code.
• Générer des cas de test reproductibles.
• Filtrer les faux positifs et dédupliquer les résultats.
• Évaluer la gravité des vulnérabilités.
• Intégrer les bugs confirmés dans le processus de correction.

Sur les 271 bugs corrigés dans la version Firefox 150, 180 étaient classés comme critiques, 80 comme importants et 11 comme mineurs. Ces chiffres soulignent l'efficacité de l'approche, même si Mozilla n'a pas encore observé d'exploitation réelle de ces vulnérabilités.

Un changement de paradigme dans la cybersécurité

Avant l'intégration de modèles avancés, les rapports générés par IA étaient souvent bruyants et peu fiables. Les mainteneurs devaient consacrer un temps précieux à valider chaque alerte, ce qui limitait l'utilité des outils automatisés.

Avec l'amélioration des modèles et la création d'un cadre de validation, Mozilla a transformé cette dynamique. L'IA fournit désormais des pistes précises, tandis que le système automatisé les affine et les transforme en rapports exploitables. Cette synergie entre technologie et expertise humaine a permis d'accélérer considérablement le processus de correction.

Exemple concret : une faille WebAssembly

Parmi les vulnérabilités révélées, une faille dans WebAssembly GC permettait de créer un fake-object primitive, offrant un potentiel de lecture ou d'écriture arbitraire. D'autres problèmes, comme des conditions de course dans le système IPC, ont également été identifiés et corrigés.

Conclusion : l'IA au service de la sécurité des navigateurs

Cette initiative de Mozilla marque un tournant dans la lutte contre les vulnérabilités logicielles. En combinant l'intelligence artificielle avec des processus de validation rigoureux, l'entreprise a démontré qu'il est possible de réduire drastiquement le temps de correction des failles, même dans des bases de code complexes et matures.

Cette approche pourrait inspirer d'autres projets open source et entreprises technologiques à adopter des outils similaires pour renforcer leur posture de sécurité.