Claude d'Anthropic découvre 22 failles critiques dans Firefox en deux semaines
Le modèle Claude Opus 4.6 d'Anthropic a analysé 6 000 fichiers C++ de Firefox et identifié 22 vulnérabilités, dont 14 critiques. Toutes sont corrigées dans Firefox 148.
Une collaboration inédite entre IA et sécurité logicielle
En février 2026, Mozilla et Anthropic ont mené une expérience pionnière en sécurité informatique. Le modèle Claude Opus 4.6, spécialisé dans l'analyse de code, a passé au crible près de 6 000 fichiers C++ du navigateur Firefox. En seulement deux semaines, l'IA a identifié 22 vulnérabilités, dont 14 classées haute gravité selon le CVSS (Common Vulnerability Scoring System). Toutes ces failles ont été corrigées dans la version 148 de Firefox.
Méthodologie d'analyse par l'IA
L'équipe de red team d'Anthropic a d'abord ciblé le moteur JavaScript de Firefox, puis étendu l'analyse à l'ensemble du code source. Claude Opus 4.6 utilise des techniques de deep learning pour détecter des motifs de code suspects, des appels système dangereux et des conditions de concurrence potentiellement exploitables. L'IA a été entraînée sur des milliers de vulnérabilités connues pour améliorer sa précision.
Nature des vulnérabilités détectées
Parmi les 22 failles, 14 étaient des vulnérabilités de type mémoire (use-after-free, buffer overflow) et 8 des problèmes de logique applicative. Certaines permettaient une exécution de code arbitraire, tandis que d'autres pouvaient être exploitées pour des attaques de type sandbox escape. La gravité élevée de ces vulnérabilités souligne l'importance des analyses automatisées dans les projets open source.
Performance et limites de l'approche
Claude Opus 4.6 a traité environ 300 000 lignes de code en deux semaines, avec un taux de faux positifs estimé à moins de 5%. Cependant, l'IA n'a pas pu détecter certaines vulnérabilités complexes liées à des interactions entre modules. Les chercheurs soulignent que l'analyse humaine reste indispensable pour compléter les résultats de l'IA.
Impact sur la sécurité des navigateurs
Cette collaboration démontre le potentiel des modèles d'IA pour améliorer la sécurité des logiciels open source. Mozilla envisage d'intégrer des outils similaires dans son processus de développement continu. Les résultats pourraient inspirer d'autres projets open source à adopter des solutions d'analyse automatisée pour renforcer leur sécurité.
Réactions de la communauté
La communauté des développeurs a salué cette initiative, bien que certains soulignent les risques de dépendance excessive à l'IA. Des experts en sécurité rappellent que les modèles comme Claude Opus 4.6 doivent être utilisés en complément des audits humains, et non comme un remplacement.
Perspectives futures
Anthropic et Mozilla prévoient de poursuivre cette collaboration pour étendre l'analyse à d'autres composants critiques de Firefox. Les deux entreprises envisagent également de rendre certains outils d'analyse disponibles pour d'autres projets open source, sous licence libre.