Il y a quelques semaines à peine, l'annonce du nouveau modèle d'IA d'Anthropic semblait être celle d'une nouvelle expérience menée par un petit groupe de partenaires technologiques, mais la question a pris une tout autre ampleur. Mozilla a révélé qu'un outil appelé Mythos Preview avait permis de détecter pas moins de 271 failles de sécurité potentielles dans la dernière version du navigateur Firefox. Pendant des années, la détection de vulnérabilités similaires a nécessité le travail fastidieux d'experts analysant le code ligne par ligne. Cette fois-ci, une grande partie du travail a été effectuée par un modèle d'intelligence artificielle qui, selon les ingénieurs de Mozilla, a atteint des performances comparables à celles des meilleurs spécialistes en détection de menaces. Mozilla a reconnu que des tests antérieurs avec d'autres modèles de langage avaient donné des résultats bien plus modestes. Le modèle Anthropic précédent n'aurait détecté que 22 problèmes dans l'ancienne version du navigateur. Après le lancement de Mythos, le nombre de bogues découverts a été multiplié par plus de dix. Bobby Holley, directeur technique de Firefox, s'est dit surpris par l'ampleur des résultats. Il a déclaré que le système était capable de repérer des vulnérabilités qui auraient nécessité des mois de recherche manuelle pour les équipes. En théorie, cela signifie un délai plus court pour les développeurs de navigateurs entre l'écriture du code et la détection d'une menace potentielle. En pratique, l'IA peut générer un grand nombre de rapports de bogues , mais Mythos pourrait bien être différent. Ceci est particulièrement important pour les projets open source, où de vastes dépôts sont souvent gérés par de petites équipes de développeurs. Dans ce contexte, la détection automatisée des vulnérabilités peut devenir un outil qui allège considérablement la charge de travail des équipes de sécurité.

Le plus surprenant n'est pas tant l'utilisation de l'IA en elle-même, mais la rapidité de ses progrès. Il y a quelques mois encore, des modèles similaires peinaient à analyser des projets de programmation complexes. Aujourd'hui, le système peut examiner de vastes portions de code et identifier les zones susceptibles d'entraîner des violations graves. Mozilla affirme n'avoir observé aucune catégorie d'erreurs que le modèle ne puisse reconnaître. Cela soulève des questions quant à l'avenir de l'ensemble du secteur de la cybersécurité. Si les outils basés sur l'IA continuent d'évoluer à un rythme aussi soutenu, les entreprises pourraient bientôt passer d'une protection défensive à une protection beaucoup plus proactive de leurs systèmes. Anthropic n'envisage pas de rendre Mythos accessible au public pour le moment. L'entreprise craint que cet outil ne soit utilisé par des cybercriminels non seulement pour protéger les systèmes, mais aussi pour identifier leurs vulnérabilités. C’est pourquoi le modèle a été distribué uniquement à certains partenaires du programme Glasswing. Parmi les testeurs figuraient des entreprises technologiques, des institutions financières et des équipes chargées de la sécurité des infrastructures numériques. Ces craintes ne sont pas infondées. Un outil capable de détecter les failles plus rapidement qu'un humain pourrait s'avérer tout aussi précieux pour les défenseurs que pour les pirates informatiques. Chez Mozilla, la question du moment où les défenseurs prennent l'avantage sur les attaquants suscite une inquiétude croissante. Jusqu'à présent, les développeurs de logiciels réagissaient généralement après avoir découvert une vulnérabilité. Un modèle comme Mythos pourrait inverser cette tendance, leur permettant de détecter les menaces avant les cybercriminels.