Mozilla a rapporté que Claude Mythos d’Anthropic a identifié 271 vulnérabilités dans le navigateur Firefox lors de tests internes. Les vulnérabilités ont été corrigées par Mozilla dans la même semaine suivant l’annonce.
Cette découverte souligne le potentiel des systèmes d’IA avancés pour analyser des bases de code étendues et détecter les faiblesses qui nécessitent généralement un effort manuel important de la part des chercheurs humains. Mozilla a déclaré que, pour une cible renforcée, un seul des bugs identifiés aurait constitué une alerte majeure en 2025, suscitant des inquiétudes quant au paysage de la cybersécurité.
Anthropic limite l’accès à Claude Mythos aux partenaires sélectionnés via le projet Glasswing en raison des risques de cybersécurité. Mozilla a exprimé sa confiance dans les capacités du système, mais a noté que l’élimination complète des exploits logiciels reste un « objectif irréaliste » pour l’industrie.
L’IA avancée peut analyser le code source et trouver les vulnérabilités plus rapidement que les experts humains. Des tests antérieurs d’un autre modèle Anthropic ont identifié 22 bogues sensibles à la sécurité dans une version précédente de Firefox. Mozilla a souligné qu’aucune vulnérabilité trouvée par Mythos n’aurait pu être identifiée par un expert humain.
Mythos, lancé en mars, est le modèle le plus avancé d’Anthropic pour les tâches de raisonnement, de codage et de cybersécurité. Des tests internes ont indiqué que le système peut identifier des milliers de vulnérabilités jusque-là inconnues sur diverses plates-formes.
L’accès à Claude Mythos est réservé à certaines entreprises technologiques, notamment Amazon, Apple et Microsoft, dans le cadre du projet Glasswing. Cependant, les chercheurs préviennent que de telles capacités d’IA pourraient par inadvertance faciliter des cyberattaques automatisées en accélérant la découverte de vulnérabilités exploitables.
Les tests effectués par l’AI Security Institute du Royaume-Uni ont révélé que Mythos pouvait exécuter de manière autonome des cyberopérations complexes, y compris des simulations d’attaques de réseau d’entreprise, sans implication humaine. La National Security Agency aurait déployé Claude Mythos Preview sur des réseaux classifiés, soulignant son utilité pour identifier les vulnérabilités logicielles critiques.
Malgré les préoccupations éthiques antérieures concernant la technologie d’Anthropic, l’intérêt des agences de sécurité américaines indique une forte demande pour des outils d’IA capables d’améliorer les mesures de cybersécurité. Mozilla a noté que les résultats pourraient signaler un changement potentiel dans le paysage de la cybersécurité, suggérant que les défenseurs pourraient mettre fin à l’avantage traditionnel détenu par les attaquants.
Mozilla a conclu : “Nous sommes extrêmement fiers de la façon dont notre équipe a relevé ce défi, et d’autres le seront également. Les défenseurs ont enfin une chance de gagner de manière décisive.”
