Mozilla affirme que les 271 vulnérabilités détectées par Mythos n'ont 'quasiment aucun faux positif'

Mozilla, la fondation à but non lucratif qui édite le navigateur Firefox, a élargi sa chaîne d'ingénierie de la sécurité avec un nouvel outil dopé à l'IA. Baptisé Mythos, ce système analyse des millions de lignes de C++ et de Rust pour faire émerger des failles de sécurité mémoire et de validation des entrées. L'organisation affirme que la quasi-totalité des 271 vulnérabilités signalées ont été confirmées comme de vrais bogues après vérification humaine.

Mozilla rappelle que les analyseurs statiques classiques ont longtemps mobilisé inutilement les ingénieurs avec leurs taux élevés de faux positifs. Mythos combine un grand modèle de langage avec une analyse de flux de données et de l'exécution symbolique pour hiérarchiser les rapports correspondant à un vecteur d'attaque réellement exploitable. La fondation indique qu'une part notable des correctifs concerne des failles critiques ou de gravité élevée, fermées avant qu'elles ne soient découvertes par des chercheurs externes via les programmes de prime au bogue.

Firefox figure parmi les premiers grands projets libres à se dire 'totalement convaincus' par la découverte de bogues assistée par IA. Big Sleep, de Google, et Copilot Security, de Microsoft, suivent une logique similaire, sans avoir publié leurs taux de faux positifs dans des termes comparables. Mozilla précise qu'il publiera la méthodologie et la taxonomie de Mythos pour les chercheurs externes dans les prochaines semaines.