La cybersécurité est un domaine où chaque vulnérabilité découverte avant un acteur malveillant représente une victoire. C'est dans cet esprit qu'Anthropic a mené, en partenariat avec Mozilla, une expérience inédite, lâcher Claude Opus sur le code source de Firefox pour voir ce qu'il était capable de débusquer. Le résultat est aussi impressionnant qu'il est instructif.
En l'espace de deux semaines seulement, l'équipe a identifié pas moins de 22 failles de sécurité distinctes dans le navigateur. Parmi elles, 14 ont été classifiées comme étant de haute sévérité, soit le genre de bugs qui, s'ils venaient à être exploités, pourraient avoir des conséquences sérieuses pour des millions d'utilisateurs à travers le monde. La grande majorité de ces vulnérabilités ont depuis été corrigées dans Firefox 148, la version publiée en février dernier, même si quelques correctifs attendront encore la prochaine mise à jour.
Pourquoi Firefox ?
Le choix de Firefox comme terrain d'expérimentation n'a pas été choisi par hasard. Anthropic explique avoir ciblé ce logiciel précisément parce qu'il représente un double défi. C'est à la fois une base de code d'une grande complexité et l'un des projets open source les mieux testés et les plus sécurisés au monde. En d'autres termes, si Claude devait prouver sa valeur dans ce domaine, c'était en s'attaquant à un adversaire coriace. La démarche a débuté par une exploration du moteur JavaScript, avant de s'étendre progressivement à d'autres parties du code. Une approche méthodique qui s'est avérée payante, puisque les vulnérabilités découvertes traversent plusieurs couches du navigateur.
Trouver des failles, oui. Les exploiter, c'est une autre histoire.
L'un des enseignements les plus intéressants de cette expérience concerne le fossé qui sépare la détection d'une vulnérabilité de son exploitation concrète. Si Claude Opus s'est montré particulièrement efficace pour repérer des failles, il a été beaucoup moins performant au moment de construire des preuves de concept permettant de les exploiter réellement. L'équipe a consacré 4 000 dollars de crédits API à cette tentative (une somme non négligeable) et n'est parvenue à produire des exploits fonctionnels que dans deux cas sur vingt-deux. Ce résultat nuance l'image d'une IA omnipotente capable de devenir du jour au lendemain un outil offensif redoutable entre de mauvaises mains. La frontière entre « trouver » et « exploiter » reste, pour l'instant, bien réelle.
Un signal fort pour la sécurité de l'open source
Au-delà des chiffres, cette collaboration entre Anthropic et Mozilla envoie un message clair à l'ensemble de l'écosystème du logiciel libre. L'IA peut devenir un allié précieux pour renforcer la sécurité de projets open source, y compris les plus matures et les mieux maintenus. Traditionnellement, l'audit de sécurité de grandes bases de code nécessite des équipes de chercheurs expérimentés, du temps et des budgets conséquents. La capacité de Claude à parcourir et analyser des millions de lignes de code en quelques jours ouvre des perspectives nouvelles pour les projets qui manquent de ressources humaines dédiées à la sécurité.
Cela dit, la médaille a son revers. L'essor de l'IA dans le développement logiciel s'accompagne également d'une recrudescence de pull requests automatisées de mauvaise qualité, parfois erronées, parfois trompeuses. L'outillage intelligent ne remplace pas le jugement humain, il l'augmente, pour le meilleur comme pour le pire. Ce partenariat Mozilla-Anthropic restera sans doute comme une démonstration convaincante de ce que l'IA peut apporter à la sécurité informatique, à condition d'être utilisée avec rigueur et dans un cadre de confiance établi.
Commentaires