Collaboration Anthropic–Mozilla pour renforcer la sécurité de Firefox

 (anthropic.com)
8 points par GN⁺ 2026-03-07 | Aucun commentaire pour le moment. | Partager sur WhatsApp
  • Claude Opus 4.6 a découvert 22 vulnérabilités dans Firefox dans le cadre d’une collaboration avec Mozilla, dont 14 classées à haut risque
  • Cela démontre qu’un modèle d’IA peut détecter rapidement des vulnérabilités zero-day dans des logiciels complexes, avec des correctifs intégrés à Firefox 148.0
  • Claude a analysé des zones de code incluant le moteur JavaScript sur des milliers de fichiers et soumis 112 rapports ; Mozilla a effectué les corrections sur cette base
  • Il a été confirmé que l’IA est très performante pour détecter des vulnérabilités, mais que sa capacité à rédiger de véritables exploits (code d’attaque) reste limitée
  • Anthropic présente un modèle de collaboration pour la recherche en sécurité fondée sur l’IA et appelle à un renforcement de la sécurité centré sur les défenseurs via une coopération avec l’écosystème open source

Aperçu de la collaboration avec Mozilla

  • Claude Opus 4.6 a découvert 22 vulnérabilités dans Firefox en deux semaines d’analyse, dont 14 classées à haut risque par Mozilla
    • Cela représente environ 20 % des vulnérabilités à haut risque corrigées dans Firefox en 2025
    • Les correctifs ont été intégrés à Firefox 148.0 et déployés auprès de centaines de millions d’utilisateurs
  • Mozilla a validé les signalements d’Anthropic en partageant ses critères et processus de bug report, mettant en place un système de vérification collaboratif
  • Cette collaboration est présentée comme un exemple de modèle de coopération entre chercheurs en sécurité fondée sur l’IA et mainteneurs

Processus de détection des vulnérabilités avec un modèle d’IA

  • Pour aller au-delà du benchmark CyberGym et mener un test plus réaliste, Anthropic a constitué un jeu de données CVE de Firefox
    • Firefox est un projet open source complexe et fortement sécurisé, ce qui en fait un bon terrain pour vérifier les capacités de détection d’une IA
  • Après avoir reproduit d’anciens CVE, Claude s’est attaqué à la détection de nouvelles vulnérabilités dans la version la plus récente
    • Il a trouvé en seulement 20 minutes une vulnérabilité mémoire de type Use After Free, puis l’a signalée à Mozilla après validation indépendante
  • Claude a ensuite analysé plus de 6 000 fichiers C++ et soumis 112 rapports uniques
    • La plupart des problèmes ont été corrigés dans Firefox 148, et certains seront résolus dans de futures versions

Expériences sur l’exploitation des vulnérabilités

  • Afin d’évaluer la limite supérieure des capacités de sécurité de Claude, une expérience a été menée pour déterminer s’il pouvait transformer les vulnérabilités découvertes en véritable code d’attaque
    • Des centaines de tests ont été réalisés, pour un coût d’API d’environ 4 000 dollars
    • Au final, seuls 2 exploits ont effectivement réussi, montrant que ses capacités de génération d’attaque restent faibles par rapport à ses capacités de détection
  • Les exploits réussis ne fonctionnaient que dans l’environnement de test, où les mécanismes de sécurité sandbox du navigateur avaient été supprimés
    • Le système de défense multicouche de Firefox peut atténuer ce type d’attaque
  • Anthropic avertit, à travers cette expérience, du potentiel de génération automatisée d’outils offensifs par l’IA

Bonnes pratiques pour la recherche en sécurité fondée sur l’IA

  • Via ses recherches sur un patching agent, Anthropic développe des méthodes permettant aux LLM d’effectuer la correction et la vérification de bugs
    • Un outil auxiliaire appelé Task verifier est utilisé pour valider en temps réel les résultats de l’IA
    • Des tests automatisés vérifient à la fois la suppression de la vulnérabilité et le maintien du bon fonctionnement du programme
  • Les rapports jugés fiables par Mozilla comportaient trois éléments clés
    • un cas de test minimal de reproduction
    • un Proof-of-Concept détaillé
    • un patch candidat
  • Anthropic recommande aux chercheurs qui soumettent des rapports de vulnérabilité fondés sur des LLM d’y joindre des preuves de vérifiabilité et de reproductibilité

Perspectives et nécessité de renforcer la sécurité

  • Claude Opus 4.6 a également découvert des vulnérabilités dans d’autres grands projets, dont le noyau Linux
  • À ce stade, l’IA est meilleure pour détecter et corriger que pour générer des exploits, ce qui avantage les défenseurs
  • Mais au vu de la rapidité des progrès des modèles, il est possible que l’écart avec les capacités offensives se réduise rapidement
  • Anthropic propose déjà aux chercheurs et mainteneurs des fonctions de détection et de patching via Claude Code Security
  • L’entreprise appelle les développeurs à profiter de cette fenêtre d’opportunité pour renforcer la sécurité, avec notamment
    • la coopération dans la recherche de vulnérabilités
    • le développement d’outils de tri des bug reports
    • l’extension des fonctions de proposition automatique de correctifs

À lire aussi

Aucun commentaire pour le moment.

Aucun commentaire pour le moment.