Media Business
Visualisation de vulnérabilités détectées par une IA dans un navigateur web
Cybersécurité & Risques

Claude Mythos corrige 271 failles dans Firefox : l'IA renverse l'équilibre entre attaquants et défenseurs

En confiant son code source au modèle frontier d'Anthropic, Mozilla a identifié et patché 271 vulnérabilités dans Firefox 150, soit douze fois plus qu'avec le modèle précédent. Un résultat qui marque, selon la Fondation elle-même, un changement de paradigme historique en cybersécurité.

AKAOR Editorial · 22 Avril 2026 · 6 min de lecture

Résumé exécutif

Le 21 avril 2026, Mozilla publie un billet de blog signé par Bobby Holley, directeur technique de Firefox, dans lequel il décrit les résultats d'une collaboration avec Anthropic autour de Claude Mythos Preview, le modèle IA le plus avancé du laboratoire américain. En quelques semaines d'analyse statique du code source de Firefox, Mythos a détecté 271 vulnérabilités de sécurité, corrigées dans la version Firefox 150. A titre de comparaison, une session précédente menée avec Claude Opus 4.6 avait permis de corriger 22 failles dans Firefox 148. Le bond est spectaculaire, et la conclusion de Mozilla l'est tout autant : pour la première fois, les défenseurs ont une chance de gagner de manière décisive.

Les faits

  • Mozilla et Anthropic collaborent depuis février 2026 pour scanner le code source de Firefox avec des modèles IA frontier.
  • Claude Opus 4.6 avait permis d'identifier et de corriger 22 vulnérabilités lors d'une première session, intégrées à Firefox 148.
  • Claude Mythos Preview a ensuite analysé le même codebase et identifié 271 vulnérabilités supplémentaires, toutes corrigées dans Firefox 150.
  • Bobby Holley, CTO de Firefox, décrit le même niveau de capacité que les meilleurs chercheurs en sécurité humains, sans exception de catégorie ou de complexité de faille.
  • Anthropic ne prévoit pas de rendre Mythos accessible au public, en raison des risques d'exploitation malveillante. Le modèle est déployé via Project Glasswing, un programme sélectif réservé à de grandes organisations technologiques, de cybersécurité et financières.
  • Selon Bloomberg, des accès non autorisés à Mythos ont été signalés le jour même de l'annonce de ce programme restreint.

Analyse stratégique

Pendant des décennies, la cybersécurité a fonctionné sur un principe d'asymétrie favorable aux attaquants. La surface d'attaque d'un logiciel comme Firefox est vaste, hétérogène et difficile à couvrir exhaustivement avec des outils humains ou des techniques de fuzzing dynamique. Les attaquants n'ont besoin de trouver qu'une seule faille ; les défenseurs doivent idéalement les trouver toutes. Cette équation rendait l'objectif "zéro exploit" structurellement inatteignable.

Ce que Mozilla documente avec Mythos, c'est la disruption de cette équation. En raisonnant directement sur le code source comme le ferait un chercheur expert, mais à une vitesse et une échelle sans commune mesure, le modèle comble le fossé entre ce qu'un humain peut découvrir et ce qu'une machine peut analyser. L'avantage attaquant reposait précisément sur ce fossé. En le fermant du côté défensif, l'IA renverse structurellement la dynamique du jeu.

L'autre dimension stratégique est celle de la gouvernance de l'accès. Anthropic fait le choix de ne pas diffuser Mythos publiquement, conscient que le même modèle qui détecte des vulnérabilités peut en générer les exploits. Le lancement de Project Glasswing traduit une volonté de contrôler la mise en circulation de cette capacité, en priorisant les organisations en mesure de l'utiliser de manière responsable. Un équilibre fragile, comme le confirme la survenue rapide d'accès non autorisés.

Impact business / sectoriel

  • Pour les éditeurs de logiciels : l'analyse statique de code par IA devient une nouvelle norme de sécurité. Les organisations qui n'adopteront pas ces outils se retrouveront structurellement plus exposées que celles qui les utilisent déjà.
  • Pour le marché de la cybersécurité : les métiers centrés sur l'audit manuel de code et le pen testing traditionnel vont se transformer rapidement. La valeur se déplace vers la supervision, la triage et la remédiation, plutôt que vers la détection brute.
  • Pour les acteurs malveillants : l'accès non autorisé à Mythos signalé dès le premier jour rappelle que cette technologie est un outil à double tranchant. La course entre défenseurs et attaquants ne disparait pas, elle s'accélère et se déplace sur un nouveau terrain.
  • Pour les directions IT et RSSI : le cas Firefox impose de réévaluer les stratégies de patch management et d'audit de code. Là où une session humaine prend des semaines pour détecter une poignée de failles critiques, un modèle comme Mythos peut en révéler des centaines en quelques jours.

Ce qu'il faut retenir

Mozilla et Anthropic viennent de fournir la première preuve empirique, à grande échelle, que l'IA peut inverser l'avantage structurel dont disposaient les attaquants depuis des décennies en cybersécurité. 271 vulnérabilités corrigées dans un navigateur parmi les plus audités au monde, c'est un signal qui dépasse largement Firefox.

Les organisations qui intégreront ce type de capacité dans leurs processus de développement et d'audit seront les premières à pouvoir prétendre à une posture de sécurité réellement proactive. Celles qui attendront subiront un retard croissant face à des attaquants qui, eux, n'attendront pas.

Analyses liées
Google Cloud securite IA
Cybersécurité & Risques

Google Cloud restructure la cybersecurite IA

28 Avril 2026 · 8 min
Cybersecurite M&A
Cybersécurité & Risques

IA et cybersecurite en M&A: due diligence

27 Avril 2026 · 7 min
Conseil IA cybersecurite
Cybersécurité & Risques

Conseil de l'IA: note sur la cybersecurite

23 Avril 2026 · 7 min
← Retour à l'accueil