Au milieu des discussions continues sur le potentiel transformateur de l'IA en cybersécurité, **Mozilla** a annoncé mardi que **Firefox** 150 inclut des mesures d'atténuation pour 271 vulnérabilités. Ces failles ont été identifiées en utilisant un accès anticipé à **Mythos Preview** d'**Anthropic**, démontrant la puissance de la détection de vulnérabilités pilotée par l'IA. L'équipe de **Firefox** reconnaît l'effort considérable requis pour gérer le flux de bugs découverts par l'IA, soulignant sa nécessité pour la sécurité des utilisateurs étant donné l'inévitable militarisation de ces capacités par des acteurs malveillants. ### L'impact de l'IA sur la chasse aux vulnérabilités **Anthropic** et **OpenAI** ont tous deux récemment dévoilé des modèles d'IA dotés de capacités avancées en cybersécurité. Ces modèles promettent un changement de paradigme dans la manière dont les vulnérabilités et les mauvaises configurations sont identifiées dans les systèmes logiciels. En raison de l'impact potentiel, l'accès à ces modèles a été limité, des groupes de travail de l'industrie ayant été formés pour évaluer leurs implications. L'expérience de **Mozilla** démontre l'impact profond des outils d'IA comme **Mythos Preview** sur la découverte de vulnérabilités. Selon Bobby Holley, directeur de la technologie de **Firefox**, "Nous pensons que les outils ont radicalement changé les choses, car nous disposons maintenant de techniques automatisées qui peuvent couvrir, d'après ce que nous pouvons dire, l'ensemble des bugs induisant des vulnérabilités." Traditionnellement, **Firefox** et d'autres organisations se sont appuyés sur une combinaison de techniques automatisées, telles que le fuzzing de logiciels, et la chasse manuelle aux vulnérabilités par des chercheurs internes et externes. Désormais, l'IA change la donne. ### Un "camp d'entraînement" pour la sécurité logicielle Holley suggère que les capacités émergentes de l'IA obligeront tous les logiciels à subir une évaluation de sécurité rigoureuse, découvrant et corrigeant les vulnérabilités latentes. Des entreprises comme **Anthropic** et **OpenAI** encouragent apparemment les acteurs majeurs à entreprendre cette refonte avant une disponibilité plus large. "Chaque logiciel va devoir faire cette transition, car chaque logiciel a beaucoup de bugs enfouis sous la surface qui sont maintenant découvrables", déclare Holley. "C'est un moment transitoire qui est difficile et qui demande une concentration coordonnée et beaucoup de courage pour le traverser." **Mozilla** a obtenu l'accès à **Mythos Preview** grâce à une collaboration directe avec **Anthropic**, et ne fait pas formellement partie de son consortium plus large, **Project Glasswing**. ### Implications pour l'Open Source Compte tenu de leur utilisation généralisée et de leurs ressources de maintenance souvent limitées, les projets open source sont particulièrement vulnérables à la chasse aux bugs pilotée par l'IA. L'impact pourrait être particulièrement significatif pour les "abandonware", qui ne sont plus activement maintenus. Sensibiliser à l'urgence et aux exigences en matière de ressources pour sécuriser les logiciels à l'ère de l'IA est essentiel pour les projets open source, déclare Holley. "J'ai parlé à des responsables de l'ingénierie dans de très grandes entreprises qui disent qu'ils vont retirer des milliers d'ingénieurs de tout pour travailler sur cela pendant les six prochains mois", dit-il. "Ce sera donc un grand défi pour l'industrie, et la préoccupation concerne les petits projets et l'open source. Il est difficile pour ces mainteneurs d'avoir non seulement les moyens et l'accès pour utiliser ces outils, mais aussi pour en faire quelque chose." ### L'économie de la sécurité de l'Open Source Dans un récent article d'opinion du New York Times, le CTO de **Mozilla**, Raffi Krikorian, a soutenu que l'arrivée des capacités de cybersécurité de l'IA risque d'exacerber les inégalités existantes en matière de sécurité logicielle. "L'économie sous-jacente n'a pas changé", a écrit Krikorian. "L'infrastructure logicielle la plus précieuse au monde continue d'être maintenue par des personnes travaillant gratuitement, tandis que les entreprises qui en tirent des fortunes n'ont jamais eu à payer pour son entretien. Maintenant, une nouvelle capacité puissante est arrivée - et comme nous l'avons vu à plusieurs reprises dans la technologie, il y a un risque que les organisations disposant de ressources la reçoivent en premier et apprennent à se protéger, tandis que d'autres restent vulnérables." Holley de **Firefox** souligne la collaboration au sein de la communauté open source pour partager les connaissances et les outils. "En fin de compte, les choses open source sont un problème humain", dit Holley. "Il n'y a qu'une certaine mesure dans laquelle on peut évoluer avec la technologie - il faut que toute l'industrie et tout le monde se réunissent."