Les navigateurs web sont parmi les logiciels les plus complexes et les plus surveillés au monde. Des centaines de millions d’utilisateurs s’en servent chaque jour pour visiter des sites dont le contenu n’est pas toujours digne de confiance. Autant dire que la chasse aux bugs y est permanente. Mozilla a récemment testé une nouvelle méthode : confier cette tâche à une intelligence artificielle.
Claude fouille dans le code de Firefox
En collaboration avec Anthropic, les chercheurs ont mis à contribution Claude Opus 4.6, un modèle d’IA conçu à l’origine pour comprendre et produire du texte… mais qui s’avère aussi très doué pour analyser du code. Le résultat a surpris les équipes. En deux semaines, l’IA a signalé 22 vulnérabilités dans Firefox, dont 14 jugées de gravité élevée. Cela représente « presque un cinquième de toutes les failles critiques corrigées dans Firefox en 2025 », expliquent les chercheurs.
Pour tester le modèle dans des conditions réalistes, ils lui ont demandé d’explorer le code du navigateur et de rechercher des comportements suspects. L’IA a commencé par examiner le moteur JavaScript, un composant essentiel du navigateur puisqu’il exécute du code provenant directement des pages web. Très vite, elle a trouvé quelque chose. Après une vingtaine de minutes d’analyse, Claude a signalé une vulnérabilité de type « Use After Free », un problème de gestion de mémoire susceptible de permettre à un attaquant d’injecter du code malveillant.
Les chercheurs ont ensuite vérifié la découverte dans un environnement de test indépendant avant de transmettre l’information à Mozilla. Pendant ce temps-là, l’IA continuait déjà à creuser ailleurs dans le code. Au total, Claude a examiné près de 6.000 fichiers C++ et produit 112 rapports de bugs. Plusieurs des failles identifiées ont déjà été corrigées dans Firefox 148, et d’autres doivent l’être dans les prochaines mises à jour.
Découvrir une faille est une chose. L’exploiter en est une autre. Pour mesurer les capacités de Claude dans ce domaine, les chercheurs ont tenté une expérience supplémentaire. Ils ont demandé au modèle de créer des exploits, c’est-à-dire des programmes capables de tirer parti des vulnérabilités découvertes pour mener une attaque. Les résultats sont nettement moins spectaculaires…
Après plusieurs centaines de tentatives, l’IA n’a réussi à produire un exploit fonctionnel que dans deux cas. Et encore : ces attaques étaient assez rudimentaires et ne fonctionnaient que dans un environnement de test volontairement simplifié. En clair, Claude est pour l’instant bien meilleur pour trouver des problèmes que pour les transformer en attaques. Une bonne nouvelle pour les défenseurs !
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
