271 bugs, zéro pipeau : l’IA de Mozilla écrase les fausses alertes

UN SCEPTICISME TENACE

La méfiance était à son comble quand le patron technique de Mozilla a déclaré que la détection de bogues assistée par IA signait la fin des failles zéro-day – ces vulnérabilités inconnues que les pirates exploitent avant que quiconque ne les découvre. Beaucoup y ont vu une énième opération de buzz : quelques résultats impressionnants soigneusement choisis, sans le contexte qui pourrait nuancer le tableau.

Mais Mozilla a décidé de jouer cartes sur table. Cette semaine, l'entreprise a ouvert les portes de son laboratoire et expliqué comment elle a utilisé Mythos, un modèle d'IA développé par Anthropic, pour traquer les bugs dans le code de Firefox.

DEUX INGRÉDIENTS POUR UN SUCCÈS

Selon les ingénieurs du navigateur, cette percée tant attendue repose sur deux piliers. D'abord, l'amélioration des modèles d'IA eux-mêmes, devenus plus fiables. Ensuite, et c'est peut-être le plus décisif, la création d'un harnais sur mesure – un bout de code qui enveloppe l'IA pour la guider pas à pas dans l'analyse du code source de Firefox.

QUAND L'IA RACONTAIT N'IMPORTE QUOI

Les tentatives précédentes de chasse aux bugs avec l'IA s'étaient soldées par ce que les ingénieurs appellent poliment de la « bouillie ». On demandait à un modèle d'analyser un bout de programme, et il produisait des rapports de bogues qui semblaient plausibles… jusqu'à ce qu'un humain vérifie. Dans une grande majorité des cas, l'IA avait halluciné – elle inventait des détails qui n'existaient pas. Résultat : les développeurs perdaient un temps fou à trier le vrai du faux.

LE HARNAIS QUI TIENT L'IA PAR LA MAIN

L'approche avec Mythos a tout changé, explique Brian Grinstead, ingénieur émérite chez Mozilla. La différence tient à ce fameux harnais agent, une sorte de tuteur logiciel qui dit à l'IA quoi faire, lui donne des Outils (lire et écrire des fichiers, lancer des tests) et la fait tourner en boucle jusqu'à ce qu'elle accomplisse sa mission. « C'est le code qui pilote le grand modèle de langage, précise-t-il. Il lui dit : trouve un bug dans ce fichier. Et il lui file les mêmes outils que nos développeurs humains, y compris la version spéciale de Firefox utilisée pour les tests. »

Le harnais est configuré pour reconnaître un signal de succès sans ambiguïté : quand l'IA fabrique un test qui fait planter Firefox dans sa version « débogueur », c'est gagné. « On pointe l'agent vers un fichier source et on lui dit : on sait qu'il y a un problème là-dedans, trouve-le. Il bricole des cas de test, et nos systèmes de fuzzing – qui balancent plein d'entrées bizarres pour faire crasher un logiciel – les font tourner. Si l'IA pense avoir trouvé un truc, elle envoie son cas de test à un outil qui répond oui ou non. »

UN DEUXIÈME IA POUR VÉRIFIER

Mais ce n'est pas tout. Une fois le bug potentiel détecté, un second LLM (un autre grand modèle de langage) passe derrière pour noter la qualité du rapport. Une bonne note donne aux développeurs la même confiance que s'ils avaient découvert le bug à l'ancienne.

DES RAPPORTS ENFIN FIABLES

Pour preuve, Mozilla a révélé les fiches complètes de 12 des 271 vulnérabilités découvertes, directement sur son outil Bugzilla. Chaque fiche contient le cas de test (le code HTML ou autre qui déclenche le crash) et répond aux mêmes critères d'exigence que pour n'importe quel bug de sécurité dans Firefox. Un chercheur qui a jeté un œil rapide à ces rapports les a jugés « assez impressionnants ».

Contrairement aux bouillies du passé, les détails fournis par l'analyse guidée de Mythos, confirmés par le second LLM, offrent une fiabilité inédite. « C'est ce qui nous permet d'opérer à l'échelle où nous opérons aujourd'hui, souligne l'ingénieur. L'ingénieur peut dire : oui, ce code a bien ce problème, le corriger, et savoir clairement quand c'est réparé avant d'ajouter le test dans l'arbre du code pour ne pas régresser. »

POURQUOI PAS DE CVE ?

Les critiques ont d'abord pointé du doigt l'absence de numéros CVE – ces identifiants officiels pour les failles de sécurité – pour les 271 bogues. Mais en interne, Mozilla ne demande jamais de CVE pour ses découvertes : elles sont regroupées dans un correctif unique. Normalement, les rapports Bugzilla qui détaillent ces « regroupements » restent cachés plusieurs mois après la correction, le temps que les utilisateurs mettent à jour leur navigateur. Maintenant que 12 d'entre eux sont publics, certains diront sans doute qu'ils ont été soigneusement choisis pour cacher les moins bons résultats.

LE VRAI VISAGE DE LA CONTROVERSE

Il est sain de rester critique. Le battage médiatique autour de l'IA gonfle les valorisations déjà vertigineuses des entreprises du secteur. Et à force d'entendre Mozilla couvrir Mythos d'éloges, on peut se demander ce que l'organisation en retire. Loin de clore le débat, ces explications risquent de le relancer.

Mais pour Brian Grinstead, les détails parlent d'eux-mêmes, et la motivation de Mozilla est limpide : « Les gens sont un peu échaudés par les boulettes de l'année passée, alors on a voulu montrer notre travail, ouvrir quelques bugs, et en parler plus en détail pour faire avancer la discussion. Il n'y a aucune arrière-pensée marketing ici. Notre équipe a complètement adopté cette approche. On essaie juste de faire passer le message sur cette technique, sans promouvoir un modèle ou une boîte en particulier. »