Vingt minutes. C’est le temps qu’il a fallu à Claude Opus 4.6, le modèle d’intelligence artificielle d’Anthropic, pour dénicher sa première faille de sécurité dans le code source de Firefox. Une vulnérabilité de type Use After Free, nichée dans le moteur JavaScript du navigateur, qui permettait potentiellement à un attaquant de réécrire des données en mémoire avec du contenu malveillant. En deux semaines de travail, l’IA a soumis 112 rapports de bugs à Mozilla, dont 22 ont donné lieu à des CVE officiels et 14 ont été classés comme failles de haute sévérité.
6 000 fichiers passés au peigne fin
L’opération a démarré fin 2025. Les chercheurs d’Anthropic ont d’abord testé leur modèle sur des failles déjà connues et corrigées de Firefox, pour vérifier s’il pouvait les retrouver dans d’anciennes versions du code. Les résultats les ont surpris : Opus 4.6 reproduisait un pourcentage élevé de ces CVE historiques, alors que chacun d’eux avait demandé un effort humain conséquent pour être identifié, explique Anthropic dans son rapport technique publié le 6 mars.
L’équipe a alors décidé de passer aux choses sérieuses : chercher des vulnérabilités inédites dans la version courante du navigateur. Le moteur JavaScript a servi de terrain d’essai initial, avant que l’analyse ne s’étende au reste de la base de code. Au total, Claude a scanné près de 6 000 fichiers C++.
Le choix de Firefox n’est pas anodin. Mozilla le rappelle dans son propre billet de blog : le navigateur est « l’un des projets open source les plus scrutés et les plus testés en matière de sécurité au monde ». Depuis plus de vingt ans, le code subit du fuzzing intensif, des analyses statiques et des audits réguliers menés par une communauté mondiale de développeurs. C’est précisément ce qui rend les résultats de Claude si marquants.
À lire aussi
Des erreurs invisibles pour le fuzzing
Parmi les 112 rapports soumis par l’IA, 90 concernaient des bugs non liés à la sécurité. Certains recoupaient des problèmes que le fuzzing aurait fini par détecter, comme des échecs d’assertion. Mais Claude a aussi mis le doigt sur des classes entières d’erreurs logiques que les techniques automatisées traditionnelles n’avaient jamais repérées, précise Mozilla.
Pour les ingénieurs de Mozilla, la vérification a été rapide. Chaque rapport d’Anthropic incluait un cas de test minimal et reproductible. « En quelques heures, nos ingénieurs ont commencé à intégrer des correctifs », écrit l’équipe Firefox. Les 22 failles de sécurité ont été corrigées dans Firefox 148, sorti en février 2026. Le reste des bugs est en cours de traitement dans les versions suivantes.
Les 14 vulnérabilités classées haute sévérité représentent à elles seules près d’un cinquième de toutes les failles critiques corrigées dans Firefox sur l’ensemble de l’année 2025, selon les données d’Anthropic. Un score atteint en deux semaines. En temps normal, le nombre de CVE rapportés chaque mois oscillait entre cinq et quinze, rapporte The Decoder.
4 000 dollars pour tenter un exploit
Trouver des failles, c’est une chose. Les exploiter en est une autre. L’équipe d’Anthropic a voulu mesurer jusqu’où Claude pouvait aller en lui demandant de transformer les vulnérabilités découvertes en véritables exploits fonctionnels. Le test consistait à prouver qu’un attaquant pouvait lire et écrire un fichier local sur la machine cible.
Résultat : après plusieurs centaines de tentatives et environ 4 000 dollars de crédits API consommés, Claude n’a réussi que dans deux cas, rapporte TechCrunch. Les exploits produits restaient rudimentaires, fonctionnels uniquement dans un environnement de test qui désactivait certaines protections du navigateur, dont la sandbox. Cette couche de défense, qui isole les processus les uns des autres, aurait suffi à bloquer ces attaques dans un navigateur configuré normalement.
L’écart entre la capacité de détection et la capacité d’exploitation rassure en partie les chercheurs. Repérer des bugs coûte un ordre de grandeur moins cher que de les transformer en armes. Mais le fait qu’une IA puisse produire, même ponctuellement, un exploit fonctionnel sur un navigateur grand public soulève des questions pour l’avenir de la cybersécurité offensive.
Mozilla adopte l’IA pour sa sécurité interne
Du côté de Mozilla, les conclusions sont claires. L’organisation a annoncé avoir déjà commencé à intégrer l’analyse de code assistée par IA dans ses processus internes de sécurité. « Nous considérons cela comme la preuve évidente que l’analyse à grande échelle par IA constitue un ajout puissant à la boîte à outils des ingénieurs en sécurité », écrit l’équipe Firefox dans son billet de blog.
Mozilla compare le moment actuel aux débuts du fuzzing, il y a une vingtaine d’années. À l’époque, cette technique avait révélé des catégories entières de bugs que personne ne cherchait. L’organisation prédit « un arriéré substantiel de bugs désormais découvrables dans les logiciels largement déployés ». Ce qui vient de se passer avec Firefox pourrait se reproduire sur des milliers de projets open source.
Anthropic, de son côté, affirme que Claude a déjà identifié plus de 500 failles zero-day dans d’autres logiciels open source bien testés, selon un rapport séparé publié le même jour. L’entreprise a récemment lancé un outil de cybersécurité dédié au sein de Claude Code, provoquant une chute des actions de plusieurs entreprises du secteur en Bourse lors de son annonce, rapporte The Decoder.
Le coût de la chasse aux bugs s’effondre
Le rapport technique d’Anthropic met en lumière un point qui risque de secouer toute l’industrie : le rapport coût/efficacité. Scanner 6 000 fichiers et produire 112 rapports de bugs n’a coûté qu’une fraction de ce que représenterait le même travail réalisé par des chercheurs humains. Un audit de sécurité complet sur un navigateur web peut mobiliser une équipe pendant des mois, pour un budget qui se chiffre en centaines de milliers de dollars.
Mozilla a salué la qualité de la collaboration avec Anthropic, qui a respecté les protocoles de divulgation responsable et ajusté ses rapports aux besoins des mainteneurs du projet. Ce modèle de partenariat pourrait servir de référence pour d’autres bases de code critiques comme Chromium ou le noyau Linux, confrontées aux mêmes défis de dette de sécurité accumulée sur des décennies.
La prochaine mise à jour de Firefox intégrera les correctifs pour les derniers bugs restants. Anthropic prévoit de publier des analyses techniques complémentaires dans les semaines à venir, tandis que Google et Microsoft investissent également dans l’audit de code par IA pour leurs propres navigateurs.
