L'IA surpasse les hackers humains : Claude brise les défenses de Firefox avec 22 CVE en 14 jours

Résumé des actualités

Lors d'une démonstration historique de recherche en sécurité pilotée par l'IA, Claude Opus 4.6 d'Anthropic a identifié 22 vulnérabilités jusqu'alors inconnues dans le navigateur Firefox de Mozilla lors d'un engagement collaboratif de deux semaines en février 2026 (HE). Les découvertes — dont 14 ont été classées comme de haute gravité — représentent près d'un cinquième de toutes les vulnérabilités de haute gravité de Firefox corrigées tout au long de l'année 2025. Les résultats ont été divulgués publiquement le jeudi 6 mars 2026 (HE).

Contexte : Un test délibéré et rigoureux

L'équipe Frontier Red d'Anthropic a choisi Firefox comme terrain d'essai pour une raison précise : il est largement considéré comme l'une des bases de code open source les plus minutieusement auditées et sécurisées au monde, sur laquelle des centaines de millions d'utilisateurs s'appuient quotidiennement. L'équipe voulait un défi qui pousserait Claude au-delà des benchmarks synthétiques et dans des logiciels réels de qualité production.

L'expérience a commencé par demander à Claude de reproduire des CVE (Common Vulnerabilities and Exposures) connues précédemment dans d'anciennes versions de la base de code de Firefox. Le taux de réussite du modèle a été remarquablement élevé — bien que les chercheurs aient reconnu que certaines CVE historiques pouvaient apparaître dans les données d'entraînement de Claude. Pour éliminer cette incertitude, l'équipe a redirigé Claude pour qu'il recherche des bugs entièrement nouveaux, jamais signalés auparavant, dans la version actuelle de Firefox.

La chasse : Du moteur JavaScript à l'ensemble du navigateur

Claude Opus 4.6 a été déployé en commençant par le moteur JavaScript de Firefox — un point d'entrée logique étant donné sa surface d'attaque énorme. Le moteur traite régulièrement du code externe non fiable pendant que les utilisateurs naviguent sur le web, ce qui en fait l'une des cibles les plus précieuses pour les attaquants.

En seulement vingt minutes d'exploration autonome du code, Claude a identifié une nouvelle vulnérabilité Use-After-Free, une classe de faille de corruption de mémoire qui peut permettre aux attaquants de remplacer des données par des charges utiles malveillantes. S'appuyant sur ce succès initial, Claude a analysé près de 6 000 fichiers source C++, générant 112 rapports de bugs uniques soumis directement au traqueur de bogues Bugzilla de Mozilla.

Après avoir trié ces soumissions, les ingénieurs de sécurité de Mozilla ont confirmé 22 CVE — dont 14 classées comme de haute gravité. Ce seul sprint de deux semaines a produit plus de rapports de vulnérabilités que n'importe quel mois calendaire unique en 2025 provenant de toutes les sources humaines et automatisées combinées.

La réponse de Mozilla : Correction rapide à grande échelle

Mozilla a décrit la collaboration comme étant très différente des soumissions typiques d'assistance à la sécurité par IA, qui ont historiquement souffert de taux de faux positifs élevés et d'un bruit excessif. Les rapports d'Anthropic étaient accompagnés de cas de test minimaux et reproductibles qui ont permis aux ingénieurs de Mozilla de vérifier chaque problème en quelques heures.

Mozilla a activé ce qu'elle a qualifié de posture de « réponse aux incidents » pour gérer l'afflux de plus de 100 signalements de bogues. Plusieurs équipes d'ingénierie ont été mobilisées pour valider les découvertes, écrire des correctifs et coordonner les versions. La majorité des corrections ont été livrées dans Firefox 148.0, publié le 24 février 2026 (HE), les correctifs restants étant prévus pour la prochaine version du navigateur.

Au-delà des 22 CVE, la recherche d'Anthropic a mis au jour 90 bogues supplémentaires non liés à la sécurité — dont la plupart ont également été résolus. Notamment, plusieurs des découvertes de Claude représentaient des classes d'erreurs logiques distinctes que les techniques de fuzzing traditionnelles n'avaient pas précédemment mises en évidence.

Exploitation : Là où l'IA accuse encore un retard

Malgré le taux de découverte impressionnant, la recherche a révélé une asymétrie critique : Claude est nettement meilleur pour trouver des vulnérabilités que pour les exploiter. Anthropic a dépensé environ 4 000 $ en crédits API sur plusieurs centaines de tentatives pour construire des preuves de concept d'exploitation fonctionnelles. Seules deux exploitations ont réussi — et les deux nécessitaient un environnement de test avec le sandbox du navigateur désactivé, ce qui signifie que l'architecture de sécurité multicouche de Firefox aurait bloqué ces attaques dans des conditions réelles.

Tom Grinstead, responsable de la sécurité chez Mozilla, a noté que l'exploitation d'une seule vulnérabilité, même de haute gravité, est insuffisante pour compromettre Firefox en pratique. Les navigateurs modernes dépendent de la défense en profondeur : un attaquant devrait réussir à enchaîner plusieurs faiblesses pour monter une exploitation significative.

Pour l'instant, cette asymétrie favorise les défenseurs — l'IA peut trouver des bugs plus rapidement et à moindre coût qu'elle ne peut les transformer en armes.

Implications plus larges : Une nouvelle ère pour la sécurité défensive

La collaboration avec Firefox n'a pas été une expérience isolée. Anthropic a révélé que Claude Opus 4.6 a été utilisé pour identifier des vulnérabilités dans d'autres projets open source critiques, y compris le noyau Linux, avec plus de 500 vulnérabilités zero-day découvertes sur l'ensemble des projets ces derniers mois. Anthropic a également lancé Claude Code Security, actuellement en avant-première de recherche limitée, qui apporte des capacités de découverte et de correction de vulnérabilités assistées par IA directement aux équipes de sécurité et aux mainteneurs open source.

Pour la communauté de la cybersécurité, la leçon est claire : l'IA émerge comme un véritable multiplicateur de force pour la sécurité défensive. Bien que l'expertise humaine reste essentielle pour la vérification, la priorisation et la remédiation, les systèmes d'IA peuvent désormais analyser des millions de lignes de code complexe à des vitesses et à des échelles impossibles pour les équipes humaines seules.

Ce que les utilisateurs doivent faire maintenant

Pour les utilisateurs quotidiens de Firefox, l'action immédiate est simple : mettez à jour vers Firefox 148 ou une version ultérieure. Toutes les vulnérabilités de haute gravité identifiées lors de cet engagement ont été corrigées. Les utilisateurs qui n'ont pas encore mis à jour devraient le faire rapidement, car les versions affectées restent exposées aux failles signalées.