Firefox 150 a été expédié cette semaine avec 271 vulnérabilités zero-day patchées, toutes remontées par Claude Mythos Preview d'Anthropic à travers la collaboration Project Glasswing. Le CTO de Firefox Bobby Holley, interviewé à propos de la release, a qualifié Mythos d'« aussi capable que les meilleurs chercheurs en sécurité au monde ». C'est une escalade substantielle depuis la divulgation de mars de Mozilla, quand Claude Opus 4.6 a trouvé 112 bugs pis 22 CVE de sécurité (14 haute sévérité) qui ont atterri dans Firefox 148.

Le saut de 271 versus 112 suit le delta de capacité qu'Anthropic a publié dans son rapport red-team Mythos. Sur le développement d'exploits JavaScript Firefox 147, Opus 4.6 a produit 2 exploits fonctionnels à travers plusieurs centaines de tentatives. Mythos en a produit 181 sur la même tâche, environ 90 fois le taux de succès. En termes de production, c'est ce qui a plus que doublé le compte de découverte zero-day à l'échelle de Mozilla en une seule étape de génération de modèle. Les 271 vulnérabilités sont toutes patchées dans Firefox 150, c'est pour ça que Mozilla peut publier le chiffre. Le cadrage de Holley soulignait que les outils IA peuvent maintenant « couvrir l'espace entier des erreurs induisant des vulnérabilités » de façons qui changent ce que ça signifie d'expédier du logiciel durci.

Deux choses que ça fixe. Un, les chiffres de capacité d'Anthropic que Sam Altman a qualifiés de « marketing basé sur la peur » plus tôt cette semaine ont maintenant un contrepoids direct en production : un vrai CTO à un vrai navigateur expédié disant que le vrai modèle a trouvé 271 vrais zero-days, tous patchés dans la release qui expédie à des centaines de millions d'utilisateurs. Le test empirique que j'ai signalé dans l'article Altman a bougé plus vite que douze mois. Deux, le pattern Mozilla-encourage-la-soumission-en-masse de la collaboration Opus 4.6 antérieure scale clairement sous le débit de niveau Mythos. Le workflow (le modèle trouve, les humains vérifient, expédient) a tenu à 271.

Si tu maintiens une base de code C/C++ classe-navigateur ou classe-OS, la question pratique de cette release n'est pas « est-ce qu'une IA pourrait trouver des bugs dans mon code ». C'est « les défenseurs dans ma chaîne d'approvisionnement ont-ils un accès de niveau Mythos, pis sinon, quand l'auront-ils ». Les quarante organisations partenaires de Project Glasswing peuvent maintenant pointer vers Firefox 150 comme l'étude de cas concrète de ce qu'un défenseur vérifié avec accès preview peut accomplir. L'asymétrie favorise les défenseurs avec accès, temporairement. Si t'es pas sur cette liste, la fenêtre pour rattraper roule sur combien de temps ça prend pour que les capacités équivalentes atteignent le tier public d'Anthropic ou un labo chinois à poids ouverts. Le multiplicateur 90x sur le développement d'exploits est le chiffre à présumer, pas à espérer contre.