Mozilla a publié le bilan de sa méthode pour corriger en masse les vulnérabilités du navigateur Firefox. Le dispositif combine le modèle Claude Mythos Preview d'Anthropic et une infrastructure technique développée en interne.
Sur l'ensemble du mois d'avril, la fondation a déployé des correctifs pour 423 failles de sécurité (contre 76 en mars et 31 sur la même période en 2025). Mozilla explique cette croissance par un modèle d'IA plus performant et un environnement d'exécution conçu pour filtrer les fausses alertes.
Un "harnais" sur mesure pour rendre les rapports de l'IA exploitables
Par le passé, les signalements de bugs générés par des outils d'IA pour les projets open source étaient bien trop souvent erronés et donc inutilisables la plupart du temps. Mozilla explique avoir contourné ce problème en développant ce qu'elle appelle un "harnais". Il s'agit d'un environnement d'exécution sur mesure permettant à Claude Mythos Preview d'analyser le code de Firefox dans des conditions proches de celles d'un ingénieur humain.
Concrètement, l'IA reçoit des fichiers susceptibles de contenir des anomalies, puis génère et exécute des cas de test pour valider ou écarter chaque hypothèse avant de la transmettre. Brian Grinstead, ingénieur chez Mozilla affirme qu'"il n'y a pratiquement aucun faux positif". Pour la fondation, il s'agit d'une progression majeure face aux précédentes expérimentations menées avec GPT-4 ou Claude Sonnet 3.5, dont le taux d'erreurs rendait toute mise à l'échelle impossible.
Les vulnérabilités identifiées sont assez variées. On retrouve des failles de type "use-after-free" pouvant permettre à un attaquant d'injecter du code malveillant dans une zone mémoire. L'IA a aussi découvert des problèmes d'évasion de "sandbox", par exemple au niveau de l'isolation des onglets du reste du système. Certaines de ces failles étaient présentes dans le code depuis 15 à 20 ans. Elles auraient nécessité plusieurs semaines à des chercheurs humains pour être détectées de manière classique, en soumettant Firefox à des données aléatoires pour provoquer des comportements imprévus.
Sur les 423 correctifs d'avril, 271 ont été attribués à Claude Mythos Preview, déployés dans Firefox 150 mais aussi dans les mises à jour 149.0.2, 150.0.1 et 150.0.2. 41 signalements provenaient de sources externes, et 111 autres ont été découverts en interne via une combinaison de fuzzing, d'inspection manuelle et d'autres modèles d'IA. Plus de 100 contributeurs ont participé aux corrections. Nous rapportions en mars que Claude Opus 4.6 avait déjà permis d'identifier plus de 100 bugs dans Firefox en deux semaines. Mozilla a donc renforcé son partenariat avec Anthropic.
Mozilla précise que l'IA ne fonctionne pas de manière autonome. L'équipe indique à Mythos les fichiers et les fonctions à analyser. La fondation prévoit d'intégrer cette analyse dans son système d'intégration continue pour scanner les nouvelles lignes de code dès leur dépôt. Elle reconnait également qu'il reste sans doute d'autres failles latentes à combler à l'avenir.
- 100 % développé en interne
- Fiable, efficace et stable
- Fonctionnalités d'optimisation de l'interface et de l'expérience utilisateur
