Combien de failles Claude a-t-il trouvées dans Firefox ?

112 bugs au total, dont 22 vulnérabilités avec un identifiant CVE. 14 d'entre elles sont classées haute sévérité.

Comment Claude a-t-il fait mieux que le fuzzing ?

Claude a identifié des classes entières d'erreurs (comme les Use After Free) que le fuzzing conventionnel avait manquées malgré des décennies d'utilisation sur le code de Firefox.

Les failles ont-elles été corrigées ?

Oui. Toutes les vulnérabilités critiques ont été patchées dans Firefox 148, déployé auprès de centaines de millions d'utilisateurs.

Claude peut-il aussi exploiter les failles ?

Difficilement. Après 4 000 $ de tests, Claude n'a réussi à créer des exploits fonctionnels que dans 2 cas, et uniquement dans des environnements avec des protections réduites.

Claude Opus 4.6 trouve 22 failles dans Firefox en 2 semaines

6 mars 2026 2 min de lecture Paul Forcadel

L'IA qui chasse les bugs mieux que le fuzzing

Anthropic et Mozilla ont annoncé le 6 mars 2026 les résultats d'un partenariat de sécurité : en deux semaines de tests en février, Claude Opus 4.6 a analysé près de 6 000 fichiers C++ du code source de Firefox et soumis 112 rapports de bugs uniques à Mozilla.

Parmi eux, 22 vulnérabilités ont reçu un identifiant CVE (Common Vulnerabilities and Exposures), dont 14 classées haute sévérité — ce qui représente près d'un cinquième de toutes les vulnérabilités haute sévérité corrigées dans Firefox en 2025.

Des failles invisibles au fuzzing

Le fait marquant : Claude a identifié des classes entières d'erreurs que le fuzzing conventionnel — la technique standard de test de sécurité — avait manquées malgré des décennies d'utilisation. Les vulnérabilités incluent des erreurs de type Use After Free (utilisation de mémoire déjà libérée), particulièrement dangereuses car exploitables pour exécuter du code arbitraire.

Pour chaque bug, Claude a fourni des cas de test reproductibles, accélérant le travail de triage de Mozilla. L'équipe a commencé par le moteur JavaScript, puis a étendu l'analyse au reste du navigateur.

Tentatives d'exploitation

Anthropic a aussi testé la capacité de Claude à développer des exploits. Après plusieurs centaines de runs et environ 4 000 $ de coûts API, le modèle a réussi à produire des exploits fonctionnels dans 2 cas seulement — et uniquement dans des environnements avec des protections de sécurité réduites. Résultat : l'IA est efficace pour trouver les failles, mais pas encore pour les exploiter en conditions réelles.

Firefox 148 patché

Toutes les vulnérabilités critiques ont été corrigées dans Firefox 148, déployé auprès de centaines de millions d'utilisateurs. Les bugs restants seront patchés dans les prochaines versions.

Mozilla adopte Claude en interne

Suite à cette collaboration, Mozilla a commencé à expérimenter Claude pour son propre workflow de sécurité interne. Anthropic, de son côté, a choisi Firefox comme terrain de test car c'est l'un des projets open source les plus scrutés au monde — si Claude peut y trouver des failles, il peut en trouver partout.