Claude d'Anthropic découvre 22 vulnérabilités dans Firefox en deux semaines — dont 14 de haute sévérité

Anthropic a annoncé une collaboration majeure avec Mozilla dans laquelle son modèle Claude Opus 4.6 a découvert de manière autonome 22 vulnérabilités de sécurité dans le navigateur Firefox en seulement deux semaines. Parmi celles-ci, Mozilla en a classé 14 comme étant de haute sévérité — représentant près d'un cinquième de toutes les vulnérabilités critiques de Firefox corrigées tout au long de l'année 2025.

Ces résultats marquent une étape décisive dans la cybersécurité assistée par l'intelligence artificielle.

Les origines du projet

La collaboration est née des tests internes d'Anthropic. Fin 2025, l'entreprise a constaté que Claude Opus 4.5 était proche de résoudre l'ensemble des tâches de CyberGym, un benchmark évaluant la capacité des LLM à reproduire des vulnérabilités connues. Anthropic souhaitait un test plus difficile et plus réaliste — et a choisi Firefox en raison de la complexité de son code source et de son statut de projet open source parmi les plus testés et sécurisés au monde.

L'équipe a d'abord demandé à Claude de reproduire des CVE précédemment identifiés dans d'anciennes versions de Firefox. Devant son taux de réussite élevé, Anthropic est passé au véritable défi : découvrir des vulnérabilités inédites dans la version actuelle du navigateur.

Vingt minutes pour le premier zero-day

Après seulement vingt minutes d'exploration, Claude Opus 4.6 a signalé une vulnérabilité de type Use After Free dans le moteur JavaScript de Firefox — un bug de corruption mémoire pouvant permettre à des attaquants d'écraser des données avec du contenu malveillant. Les chercheurs d'Anthropic ont validé la découverte de manière indépendante, puis l'ont soumise avec un correctif rédigé par Claude au système de suivi Bugzilla de Mozilla.

Pendant que l'équipe validait et soumettait ce premier rapport, Claude avait déjà identifié cinquante autres cas de crash uniques.

112 rapports soumis en masse

Mozilla a encouragé Anthropic à soumettre ses découvertes en bloc. Au terme de l'opération, Claude avait analysé près de 6 000 fichiers C++ et produit 112 rapports de vulnérabilité uniques. La plupart des problèmes ont été corrigés dans Firefox 148.0, livré à des centaines de millions d'utilisateurs.

Claude peut-il exploiter ce qu'il trouve ?

Anthropic a également testé si Claude pouvait aller au-delà de la détection pour passer à l'exploitation active — c'est-à-dire développer des outils qu'un pirate utiliserait pour exécuter du code malveillant.

Après environ 4 000 dollars de crédits API dépensés sur plusieurs centaines de tests, Claude n'a réussi à produire un exploit fonctionnel que dans deux cas, et uniquement dans un environnement de test dont certaines protections avaient été volontairement désactivées. La conclusion : Claude est nettement meilleur pour détecter les vulnérabilités que pour les exploiter.

Ce que cela signifie pour l'industrie

Cette collaboration établit un modèle de coopération entre entreprises d'IA et mainteneurs de projets open source en matière de sécurité. Les chercheurs de Mozilla ont d'ailleurs commencé à expérimenter Claude en interne pour leurs propres besoins de sécurité.

Ces résultats s'inscrivent dans une tendance plus large documentée par Anthropic : Claude a découvert plus de 500 vulnérabilités zero-day dans des logiciels open source bien testés. Le message est clair pour toutes les équipes de développement : l'audit de sécurité par IA n'est plus théorique. Il détecte de vraies failles critiques dans du code en production — et rapidement.

🚀 Vous souhaitez renforcer la sécurité de votre code ? L'équipe QA de Noqta combine outils automatisés et expertise humaine pour détecter ce que les autres manquent.

Et après ?

Anthropic prévoit d'étendre ce type de collaboration sécuritaire à d'autres grands projets open source. La volonté de Mozilla d'accepter des rapports générés par IA et de partager ses processus de triage crée un précédent que d'autres mainteneurs pourraient suivre.

À mesure que les modèles d'IA deviennent plus performants dans l'identification — et potentiellement l'exploitation — des failles de sécurité, la course entre défense et attaque s'accélère. La collaboration Firefox suggère que, pour l'instant, la défense garde l'avantage.

💡 Vous développez un logiciel qui doit être blindé ? Contactez Noqta pour des audits de code augmentés par l'IA et un renforcement sécuritaire de vos projets.