Aller au contenu

Claude Opus + Mozilla — 22 vulnérabilités Firefox découvertes en 2 semaines dont 14 critiques

Resume

Partenariat Anthropic/Mozilla : Claude Opus 4.6 a découvert 22 vulnérabilités dans Firefox en deux semaines, dont 14 critiques. Représente presque un cinquième de toutes les vulnérabilités haute sévérité de Firefox corrigées en 2025. Méthodologie : reproduction de vulnérabilités connues sur anciennes versions (validation des capacités), puis audit du moteur JavaScript actuel (~6000 fichiers C++). Première vulnérabilité détectée en 20 minutes (Use After Free). 112 rapports soumis, corrections intégrées dans Firefox 148.0.

Analyse critique

Ce qui est remarquable :

Le chiffre "14 critiques en 2 semaines" sur une codebase mature comme Firefox est significatif. Firefox a des centaines d'ingénieurs sécurité et des programmes de bug bounty actifs depuis des années. Que Claude trouve 14 critiques en 2 semaines signifie que soit Firefox avait des zones non-couvertes par les audits humains, soit les agents IA explorent l'espace des vulnérabilités d'une façon différente des humains.

La méthode "validation d'abord sur vulns connues, puis scan du code actuel" est la bonne architecture pour ce type d'audit. Elle évite les faux positifs en calibrant l'agent sur du ground truth.

Ce qui change la donne pour la sécurité défensive :

Ce n'est pas un hack offensif — c'est un audit défensif accéléré. Le gain est dans la vitesse (2 semaines vs plusieurs mois pour un audit humain équivalent) et dans la couverture (6000 fichiers C++, scale difficile à atteindre manuellement).

Ce qui est prudent de noter :

Les mêmes capacités qui permettent à Claude de trouver ces vulnérabilités permettent à des acteurs malveillants d'utiliser des modèles IA pour les détecter en premier. L'avantage défensif n'existe que si les défenseurs adoptent ces outils avant les attaquants.

Pertinence ProbatioVault

Impact modéré — signal ia-safety important.

Ce qui résonne directement :

Notre stack utilise HSM PKCS#11, crypto ECDSA, argon2id, et plusieurs couches de sécurité que nous avons construites story par story (PD-35 à PD-42). Un audit Claude sur notre propre code cryptographique suivrait exactement cette méthode : reproduire sur des erreurs connues de notre REX (double-hash PD-282, trustedRoots PD-282, catch-absorb PD-85), puis scanner le code actuel.

Expérimentation à planifier :

Audit IA de la couche crypto ProbatioVault : fournir à Claude Opus le contexte (PKCS#11 patterns, erreurs REX connues) et laisser scanner les 6 modules crypto (PD-35 key-wrapping, PD-36 HSM client, PD-37 HSM signature, PD-38 SHA3, PD-39 TSA, PD-40 HSM rotation). Coût : quelques heures, yield potentiel élevé.

À inscrire dans la roadmap sécurité Q2 2026 (après livraison des stories blockchain en cours).