Mozilla a annoncé la nouvelle avec la pompe d'un gagnant du loto : son précieux navigateur Firefox aurait été passé au crible par une intelligence artificielle — Mythos, le bébé d'Anthropic — et celle-ci aurait déniché « une mine de bugs de haute sévérité ». Traduction : pendant que les développeurs humains sirotaient leur café en open space, une boîte noire privée a nettoyé les écuries d'Augias. Bravo. Mais laissez-nous ricaner un peu.
Les faits : une raclée statistique
Selon les chercheurs de Mozilla, Mythos a identifié plusieurs dizaines de vulnérabilités critiques — exactement le genre de portes dérobées qui font saliver les hackers et pleurer les RSSI. Le communiqué officiel vante « une approche révolutionnaire » et « une précision inégalée ». Sauf que derrière la langue de bois, la réalité est plus gênante : ces bugs dormaient tranquilles dans le code depuis des cycles de release entiers. Les audits humains, les tests de fuzzing maison, tout ça n'a servi à rien. Il a fallu une IA privée pour faire le ménage. Ironique, pour une organisation qui se targue de défendre l'open source depuis vingt ans.
L'open source à l'épreuve du privé
Mozilla, le chevalier blanc du Web, confie donc sa sécurité à une startup californienne qui garde ses modèles sous le capot. Aucune transparence sur les données utilisées pour entraîner Mythos — peut-être des logs de navigation Firefox ? Personne n'en sait rien. Pendant ce temps, les développeurs open source se démènent avec des outils communautaires. Mais non : pour les failles graves, on appelle la cavalerie d'Anthropic, avec ses milliards de dollars de fonds et ses promesses de « safety ». Comme si la sécurité ne méritait d'être prise au sérieux que quand elle rapporte des brevets.
Qui se goinfre ?
Anthropic engrange un coup de com' énorme : « notre IA est tellement balèze qu'elle trouve ce que des centaines de codeurs humains ont loupé ». Mozilla, lui, peut pavoiser devant les investisseurs. Les vrais perdants ? Les utilisateurs, qui ont trimballé ces failles pendant des mois sans le savoir. Et les développeurs, humiliés en place publique. Mais ne vous inquiétez pas : tout le monde va serrer des mains, publier un paper, et la roue continuera de tourner. Pendant ce temps, les bugs de demain attendent sagement d'être découverts par Mythos 2.0, probablement payant.
IA : solution miracle ou cache-misère ?
On ne va pas cracher dans la soupe : une IA qui trouve des trous dans le code, c'est utile. Mais le vrai scandale, c'est que Mozilla n'ait pas investi bien plus tôt dans des méthodes automatisées — ou pire, qu'il ait laissé son code pourrir au point qu'une IA extérieure doive le sauver. C'est comme appeler SOS Médecins parce que vous avez ignoré une appendicite pendant six mois. Mythos est un pansement, pas un vaccin. Et tant que Mozilla continuera à confier sa sécurité à des boîtes privées qui ne partageront jamais leurs modèles, l'open source sera une coquille vide.
Alors oui, bravo à Mythos. Mais la prochaine fois, rappelez-nous pourquoi vous avez besoin d'une IA pour faire le boulot que vos équipes auraient dû faire depuis longtemps. La hype passera, les bugs resteront.