Introduction
Récemment, dans le cadre d'un partenariat de sécurité avec Mozilla, Anthropic a découvert 22 vulnérabilités distinctes dans Firefox, dont 14 classées comme « haute gravité ». La plupart de ces failles de sécurité ont été corrigées dans la version 148 de Firefox, publiée en février, bien que certaines corrections devront attendre la prochaine version.
Contexte Technique
L'équipe d'Anthropic a utilisé Claude Opus 4.6 pendant deux semaines pour analyser le code de Firefox, en commençant par le moteur JavaScript avant de s'étendre à d'autres parties de la base de code. Le choix de Firefox s'est justifié par sa complexité et son statut de l'un des projets open-source les plus sécurisés et les mieux testés au monde.
Analyse et Implications
Claude Opus s'est révélé particulièrement efficace pour détecter les vulnérabilités, mais a rencontré des difficultés pour rédiger des logiciels d'exploitation. L'équipe a ainsi dépensé 4 000 dollars en crédits d'API pour tenter de créer des preuves de concept d'exploitation, mais n'a réussi que dans deux cas. Cela souligne le potentiel des outils d'IA pour les projets open-source, même si ceux-ci peuvent générer un grand nombre de demandes de fusion inutiles.
Perspective
Il est important de surveiller l'évolution de l'utilisation des outils d'IA dans la sécurité des logiciels, en particulier pour les projets open-source complexes comme Firefox. Les limites actuelles des outils comme Claude Opus, notamment leur capacité à créer des exploits, seront probablement améliorées à mesure que la technologie évolue, offrant ainsi de nouvelles opportunités pour renforcer la sécurité des logiciels.
