Source: Anthropic — Contexte: Anthropic détaille une collaboration avec Mozilla où son modèle Claude Opus 4.6 a servi à découvrir et aider à corriger des vulnérabilités dans Firefox, avec publication de correctifs dans Firefox 148.0.
-
🔍 Découvertes clés: Claude Opus 4.6 a identifié 22 vulnérabilités en deux semaines, dont 14 de haute gravité (près d’un cinquième des vulnérabilités haute gravité remédiées en 2025). Mozilla a expédié des correctifs à des centaines de millions d’utilisateurs dans Firefox 148.0, le reste arrivant dans des versions ultérieures. En février 2026, ces signalements dépassent tout mois individuel de 2025.
-
🧪 Méthodologie: Après avoir reproduit des CVEs historiques dans d’anciennes versions de Firefox, l’équipe a demandé à Claude d’identifier des vulnérabilités inédites dans la version actuelle, d’abord dans le moteur JavaScript. Claude a trouvé en ~20 minutes un Use-After-Free validé indépendamment, puis a généré de nombreux cas de crash. Suite aux échanges avec Mozilla, Anthropic a soumis 112 rapports uniques (après avoir analysé ~6 000 fichiers C++), avec tests minimaux et propositions de correctifs.
-
🧯 Exploitation: Pour évaluer la capacité offensive, Anthropic a tenté d’exploiter les vulnérabilités soumises. Malgré plusieurs centaines d’essais (~4 000 $ d’API), Claude n’a réussi qu’à deux reprises à produire des exploits primitifs capables de lire/écrire un fichier local, et uniquement dans un environnement de test affaibli (sans sandbox). Conclusion: le modèle est nettement meilleur pour trouver et corriger que pour exploiter, et la défense en profondeur de Firefox atténuerait ces exploits.
-
🛠️ Bonnes pratiques & processus: Anthropic met en avant des “task verifiers” pour valider automatiquement qu’un patch supprime bien la vulnérabilité sans régression, et recommande d’accompagner les signalements de cas de test minimaux, preuves de concept détaillées et patchs candidats. L’entreprise publie aussi ses principes de divulgation coordonnée (CVD) et note que Mozilla expérimente désormais l’usage de Claude en interne pour la sécurité.
-
🔭 Perspectives: Anthropic qualifie les modèles de pointe de chercheurs en vulnérabilités de classe mondiale (avec des découvertes aussi dans le noyau Linux) et lance en aperçu Claude Code Security. Le modèle excelle aujourd’hui en découverte/patch plus qu’en exploitation, mais ce fossé pourrait se réduire, justifiant une vigilance accrue. L’article est une publication de recherche visant à partager résultats, méthodes et cadre de collaboration.
IOCs et TTPs:
- IOCs: Aucun indicateur de compromission communiqué.
- TTPs:
- Identification de Use-After-Free dans le moteur JavaScript de Firefox
- Génération de cas de test provoquant des crashs et soumission via Bugzilla
- Rédaction de PoC et de patchs candidats validés par des vérifications automatiques
- Tentatives d’exploitation en environnement de test sans sandbox
🧠 TTPs et IOCs détectés
TTP
[‘Identification de Use-After-Free dans le moteur JavaScript de Firefox’, ‘Génération de cas de test provoquant des crashs et soumission via Bugzilla’, ‘Rédaction de PoC et de patchs candidats validés par des vérifications automatiques’, ‘Tentatives d’exploitation en environnement de test sans sandbox’]
🔗 Source originale : https://www.anthropic.com/news/mozilla-firefox-security