La collaboration entre les sociétés d'intelligence artificielle et les équipements de sécurité logicielle passe de la théorie à la pratique, et le pouls entre le bénéfice et le risque n'a jamais été aussi visible. Au cours des dernières semaines, Anthropic a rendu public le résultat d'un travail conjoint avec Mozilla: son modèle de langue, Claude Opus 4.6, a aidé à identifier des dizaines d'échecs dans le navigateur Firefox, beaucoup d'entre eux de haute gravité, qui ont déjà commencé à être corrigés dans la mise à jour Firefox 148.
Selon la note officielle d'Anthropic, l'examen automatisé et assisté par des humains a permis de détecter 22 nouvelles vulnérabilités, dont 14 ont été jugées très graves, sept aussi modérées et une aussi faibles. La découverte s'est produite en deux semaines seulement en janvier 2026 et s'inscrit dans le cadre d'un effort accru dans lequel l'équipe a combiné l'exploration automatique avec la vérification manuelle et un environnement sûr pour reproduire les erreurs signalées. La sortie est disponible sur la page Anthropique sur la collaboration avec Mozilla à votre site.
Le plus frappant n'est pas seulement le nombre, mais la vitesse et l'échelle du processus: Anthropique affirme que son système a scanné environ 6 000 fichiers en C + + et a soumis 112 rapports uniques à Mozilla. Parmi les problèmes identifiés figurent des exemples typiques d'ingénierie logicielle qui ont nécessité une attention prioritaire, comme les erreurs de fin d'utilisateur dans les composants JavaScript, une défaillance qui peut permettre la réutilisation de mémoire libérée dangereusement et causer un comportement imprévisible.
Un détail qui illustre l'efficacité de l'approche est que le modèle a localisé une de ces défaillances dans le moteur JavaScript après seulement vingt minutes d'exploration automatisée; puis, un chercheur humain a reproduit et validé le problème dans une machine virtuelle pour s'assurer que ce n'était pas un faux positif. Cette combinaison de détection automatique et de confirmation d'experts est précisément la recette pour intégrer les outils IA dans les processus de sécurité sans renoncer à la prudence humaine.
Mais tout n'est pas applaudi: Anthropique a également testé si son modèle a pu transformer ces échecs en exploits pratiques. Cette expérience a été dédiée à plusieurs centaines de tentatives et environ 4 000 $ en crédits API. Le résultat montre une distinction importante entre trouver et tirer parti d'une vulnérabilité: dans deux cas seulement, le système a réussi à développer une explosion fonctionnelle dans les conditions d'essai. Un de ces exploits correspond au CVE-2026-2796, un problème critique (avec un score CVSS très élevé) lié à la compilation JIT dans le composant JavaScript WebAssembly, et peut être trouvé dans la base de données de vulnérabilité NIST dans NVD.
Il est important de souligner comment le laboratoire d'essai a été mis en place: Anthropique admet que, pour faciliter l'expérimentation, certaines couches de sécurité - comme le bac à sable - ont été désactivées dans l'environnement où les exploits ont été essayés. Ce facteur réduit le sens de tout succès dans ces tests, parce que les vulnérabilités exploitables dans un environnement dégradé peuvent ne pas être dans la configuration standard d'un navigateur moderne; mais le fait qu'un modèle soit capable de générer du code d'exploitation dans des conditions contrôlées soulève des questions légitimes sur la facilité avec laquelle les outils automatisés font des progrès techniques dangereux.
En plus de chercher et, dans certains cas, d'exploiter des échecs, Anthropic a tenté une autre façon : nourrir le modèle avec des rapports de vulnérabilité et lui demander d'écrire des correctifs ou corrections plausibles. Ce travail s'inscrit dans la ligne de son annonce la plus récente sur Claude Code Security, une initiative d'utilisation d'agents automatisés qui proposent des arrangements et vérifient si les corrections résolvent le problème sans casser les fonctionnalités existantes. La société reconnaît, avec honnêteté technique, que tous les correctifs générés par les agents ne peuvent pas être intégrés comme dans une base de code de production, mais les systèmes de vérification augmentent la confiance que la solution atténue au moins le défaut spécifique.
Mozilla, pour sa part, a contextualisé les résultats comme une démonstration de la valeur ajoutée que ces techniques apportent. Dans leur entrée coordonnée, ils expliquent que l'analyse assistée par l'AI a détecté 90 incidents supplémentaires, dont beaucoup ont déjà été corrigés, allant d'affirmations erronées - problèmes qui apparaissent aussi souvent avec des techniques de flou - à des erreurs de logique que les flous conventionnels n'avaient pas capturées. Sur votre blog officiel Mozilla décrit comment la combinaison d'une ingénierie rigoureuse et de nouveaux outils d'analyse permet une amélioration continue de la sécurité.
Quelles leçons pratiques en découlent? Tout d'abord, l'IV est un outil puissant pour élargir la portée de l'analyse de code: ils détectent les modèles à grande vitesse et limitent les cas, mais ils ont souvent besoin de surveillance humaine pour valider, prioriser et corriger les résultats. Deuxièmement, l'identification d'une vulnérabilité et la construction d'une explosion utile sont des tâches de complexité différente; pour l'instant, selon les propres expériences d'Anthropic, la génération automatique d'exploits est plus coûteuse et moins fiable que la détection d'échecs. Troisièmement, la façon dont les environnements d'essai sont mis en place est importante : réduire les obstacles à la sécurité peut accélérer la recherche, mais elle donne aussi une image biaisée de l'exploitation réelle.
Dans le débat public et technique qui ouvre de telles initiatives, il y a place à l'optimisme et à la prudence. L'utilisation responsable des modèles de sécurité IA implique des accords de divulgation clairs, des environnements contrôlés, une vérification par des experts et une coordination étroite avec les responsables de logiciels concernés. Mozilla et Anthropic ont suivi ce chemin en travaillant de manière coordonnée et en facilitant les correctifs, et le processus s'est terminé avec la publication de corrections dans la dernière version du navigateur et avec des avis officiels sur les vulnérabilités, recueillis par les notes de sécurité de Mozilla sur votre avis de sécurité.
La leçon finale pour les utilisateurs et les responsables de la sécurité est claire : les outils IA élargissent le répertoire de la défense, mais ne remplacent pas le besoin de bonnes pratiques, d'examens humains et de mises à jour constantes. Garder le navigateur à jour reste la première ligne de défense, tandis que les équipes derrière les projets critiques explorent comment intégrer des modèles automatisés sans ouvrir de nouvelles fenêtres de risque.
Si vous souhaitez entrer dans les détails techniques et les rapports d'exploitation publiés par Anthropic, votre rapport sur l'expérience est disponible dans votre espace technique. Réseau anthropique, et les notes de publication de Firefox 148 sont sur la page officielle du navigateur.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...