Le modèle Claude d’Anthropic a trouvé 22 vulnérabilités dans Firefox en deux semaines, dont 14 sont critiques.

Brève sur les résultats de l’étude

Au cours de deux semaines, le modèle Claude Opus 4.6 d’Anthropic a identifié 22 vulnérabilités dans Mozilla Firefox – plus que pendant n’importe quel mois individuel de 2025. Au même moment, plus d’une centaine d’erreurs susceptibles de provoquer des plantages ont été détectées. Les chercheurs ont souligné que l’IA permet de découvrir des problèmes de sécurité « très rapidement ».

Comment s’est déroulé la recherche
* La première découverte a nécessité 20 minutes de travail du modèle.

* L’ensemble des vulnérabilités (22) :

* 14 d’entre elles ont été classées comme critiques (environ 1/5 du nombre total de ce type d’erreurs déjà corrigé par Mozilla en 2025).
* Le reste est moins grave.

Corrections et versions
La plupart des bugs ont été résolus dans Firefox 148, la version publiée en février. Certaines corrections ont dû être reportées à la prochaine mise à jour.

Pourquoi Firefox ?
L’équipe d’Anthropic a choisi le navigateur pour son code complexe et parce qu’il s’agit de l’un des projets open‑source les plus rigoureusement testés et sécurisés au monde.

Efficacité de l’IA dans l’attaque
Lorsqu’on lui a demandé de créer des exploits à partir des bugs trouvés, Claude n’a produit que deux exemples fonctionnels. Ils ont fonctionné sur la version de test du navigateur, mais auraient été bloqués par les mécanismes de protection intégrés de Firefox en production.

> « L’IA est plus efficace pour trouver des erreurs que pour les exploiter », a déclaré Logan Graham, chef de l’équipe Frontier Red Team d’Anthropic.

Ce que cela signifie pour la cybersécurité
Les experts soulignent que la rapidité de détection et la conversion automatique des vulnérabilités en code exploit modifient les approches de protection :

> « Les méthodes actuelles ne suivent pas le rythme auquel les systèmes IA trouvent les erreurs », a noté Gadi Evrons, PDG de Knostic.

Ainsi, l’utilisation de modèles d’IA avancés peut à la fois accélérer la détection des problèmes logiciels et nécessiter une révision des stratégies existantes de cybersécurité.