Claude d'Anthropic a découvert plus de 500 failles zero-day dans des logiciels majeurs comme FreeBSD, Firefox et Vim, et a écrit un exploit noyau fonctionnel en quatre heures. Un tournant historique qui redéfinit les règles de la cybersécurité.
Pas encore de commentaire. Lancez la discussion !
Un chercheur en sécurité vient de démontrer que l'intelligence artificielle peut désormais découvrir et exploiter des vulnérabilités critiques dans des logiciels utilisés par des millions de personnes, le tout en quelques heures seulement. Nicholas Carlini, épaulé par le modèle Claude d'Anthropic, a identifié une faille dans le noyau FreeBSD et produit un exploit fonctionnel donnant un accès root à distance — en à peine quatre heures de calcul. La vulnérabilité, référencée CVE-2026-4747, se situait dans le module d'authentification RPCSEC_GSS du système d'exploitation. Jusqu'ici, écrire un exploit de ce niveau de sophistication pour un noyau était considéré comme hors de portée des machines.
Mais cette prouesse n'était que la partie visible de l'iceberg. Dans le cadre de l'initiative MAD Bugs, coordonnée par Anthropic, Claude Opus 4.6 a passé au crible plusieurs bases de code majeures du monde open source — Vim, GNU Emacs, FreeBSD et Firefox — et y a découvert plus de 500 vulnérabilités de haute sévérité. Parmi elles, une faille d'exécution de code à distance dans Vim notée 9.2 sur 10 en criticité (CVE-2026-34714), une autre dans Firefox rapidement corrigée par Mozilla (CVE-2026-2796), et une vulnérabilité critique dans GNU Emacs que ses mainteneurs ont pour l'instant refusé de corriger. En quelques jours, une seule IA a produit plus de rapports de sécurité exploitables que la plupart des équipes humaines en un an.
Ce qui rend cette avancée aussi fascinante qu'inquiétante, c'est qu'elle démontre que la découverte de vulnérabilités est désormais automatisable à un coût et une vitesse qui transforment radicalement le modèle de menace pour tous les projets logiciels. Les fenêtres de correction se compressent dangereusement : là où les équipes de sécurité disposaient autrefois de semaines pour réagir, l'IA réduit ce délai à quelques heures. Les pipelines humains de revue et de patch deviennent le maillon faible de la chaîne, incapables de suivre le rythme d'une machine qui ne dort jamais et qui peut scanner des millions de lignes de code en continu.
Les chercheurs en sécurité comparent déjà cette rupture à l'émergence des injections SQL au début des années 2000 : une fois qu'une surface d'attaque est documentée, l'automatisation des exploits suit dans les mois qui viennent. Or, rien n'empêche techniquement un acteur malveillant de reproduire ces mêmes techniques sans les garde-fous de la divulgation responsable. Les mainteneurs de projets open source, souvent bénévoles, se retrouvent face à un volume de vulnérabilités impossible à absorber. La question n'est plus de savoir si l'IA va transformer la cybersécurité, mais si l'industrie sera prête à encaisser le choc. Entre les mains des chercheurs, cette technologie est un bouclier extraordinaire. Entre de mauvaises mains, elle pourrait devenir l'arme la plus redoutable jamais conçue contre l'infrastructure numérique mondiale.
