L'intelligence artificielle s'impose progressivement comme un nouvel allié dans la cybersécurité. Une expérience menée conjointement par Anthropic et Mozilla vient d'en apporter une démonstration spectaculaire : en seulement deux semaines, le modèle Claude Opus 4.6 a identifié 22 vulnérabilités dans le code de Firefox, dont 14 jugées de haute gravité. L'opération s'inscrivait dans un test mené par l'équipe de sécurité d'Anthropic afin d'évaluer la capacité de son modèle à analyser de vastes bases de code. L'IA a été chargée d'examiner près de 6 000 fichiers C++ composant le navigateur. Moins de vingt minutes après le lancement de l'analyse, elle signalait déjà une première faille de type Use After Free, une vulnérabilité mémoire susceptible d'être exploitée pour manipuler ou écraser des données dans un programme. Au total, l'IA a produit plus d'une centaine de rapports techniques. Parmi ces signalements, 22 ont été reconnus comme de véritables vulnérabilités et ont reçu un identifiant CVE officiel. Mozilla précise que ces failles, dont 14 critiques, représentent à elles seules près d'un cinquième de toutes les vulnérabilités majeures corrigées dans Firefox au cours de l'année 2025. Les ingénieurs du navigateur ont rapidement déployé les correctifs nécessaires. L'ensemble des problèmes détectés par Claude a été intégré dans les mises à jour de sécurité de Firefox 148, disponible depuis fin février. L'expérience illustre la capacité de l'IA à accélérer considérablement l'analyse de logiciels complexes, en générant des rapports détaillés accompagnés de preuves de concept et parfois même de correctifs proposés. Cette efficacité reste toutefois limitée à la détection des failles. Les chercheurs ont également tenté d'utiliser l'IA pour transformer ces bugs en véritables exploits. Malgré plusieurs centaines de tentatives et environ 4 000 dollars de crédits API utilisés pour les tests, seuls deux exploits fonctionnels ont été produits, et uniquement dans un environnement de laboratoire où certaines protections du navigateur avaient été désactivées. Ce résultat souligne un point crucial pour la cybersécurité actuelle : les systèmes d'intelligence artificielle semblent pour l'instant beaucoup plus performants pour identifier les vulnérabilités que pour les exploiter. Une asymétrie qui joue clairement en faveur des équipes de défense. Face à ces performances, Mozilla a déjà commencé à intégrer l'analyse assistée par IA dans ses processus internes de sécurité. L'évolution marque une transformation progressive du travail d'audit logiciel, où les outils automatisés pourraient devenir un élément central de la détection des failles dans les grands projets open source.
