Résultat de l'expérience
La société Anthropic, en collaboration avec Mozilla, a lancé un test au cours duquel le modèle Claude Opus 4.6 a analysé le code du navigateur Firefox. En deux semaines, l'IA a découvert 22 vulnérabilités, dont 14 classées comme critiques. Une partie des problèmes identifiés a déjà été corrigée dans la mise à jour Firefox 148 (février).
Détails clés
Le modèle a commencé à analyser le code et, en moins de 20 minutes, a trouvé une des erreurs de type use-after-free dans un composant lié à l'exécution de JavaScript. Au cours de l'analyse, Claude a passé en revue environ 6000 fichiers en C++ et envoyé plus de 100 rapports à l'équipe de Mozilla.
Anthropic a également testé la possibilité de créer des exploits — du code spécifique pour exploiter les vulnérabilités trouvées. Malgré des centaines de tests et environ 4 000 $ de dépenses pour l'API, des exploits opérationnels n'ont pu être obtenus que dans deux cas.
"Les résultats montrent que l'IA peut devenir un puissant outil complémentaire pour la surveillance continue de la sécurité des logiciels complexes, mais qu'elle nécessite des règles d'utilisation claires et un contrôle"
— chercheurs d'Anthropic
"La plupart des problèmes identifiés ont déjà été corrigés dans la mise à jour Firefox 148"
— représentant de Mozilla
Risques et limites
L'expérience a mis en évidence deux points clés. Premièrement, l'IA est capable d'accélérer considérablement la recherche de vulnérabilités et de réduire les ressources nécessaires aux revues de code. Deuxièmement, cette capacité technique peut être ambivalente : la même IA qui aide à corriger des bugs peut potentiellement contribuer à créer des exploits. Dans ce contexte, il importe non seulement d'obtenir des résultats techniques, mais aussi de définir des politiques d'accès, des audits et un contrôle de l'utilisation des modèles.
Une dimension géopolitique s'ajoute au champ réglementaire : le modèle Claude a été inscrit sur la « liste noire » du Pentagone, et des rapports indiquent que certaines entreprises chinoises auraient entraîné leurs propres modèles à partir de Claude sans le consentement d'Anthropic. Cela souligne les problèmes de propriété intellectuelle et les risques liés à la diffusion non contrôlée de ces technologies.
Ce que cela signifie pour l'Ukraine
Premièrement, pour les développeurs ukrainiens et les services publics, c'est un signal : investir dans des outils basés sur l'IA pour la recherche de vulnérabilités est judicieux et efficace. Deuxièmement, il faut prendre en compte l'augmentation prévisible de la disponibilité de tels outils entre les mains des adversaires : l'automatisation de la recherche de bugs peut accélérer les cyberattaques contre les infrastructures critiques. Enfin, c'est un argument en faveur d'une coopération internationale en matière de cybersécurité et de règles claires pour le transfert et l'utilisation des modèles.
Conclusion
L'expérience Anthropic et Mozilla est un exemple de la façon dont l'intelligence artificielle peut transformer les pratiques de sécurité des logiciels : détecter les problèmes plus rapidement, tout en créant de nouveaux défis en matière de contrôle et d'éthique. Pour l'Ukraine, c'est une occasion de renforcer la protection de l'infrastructure numérique et, en même temps, un rappel de la nécessité d'une politique qui distingue l'utile du dangereux.
