La première vague de CVE : la découverte assistée par IA redessine le volume des divulgations
L'analyse VulnCheck du 14 mai 2026 montre une hausse YTD de +563 % sur Chrome, +476 % sur GitHub, +180 % sur VMware, +170 % sur Apache. Le basculement systémique derrière les manchettes Apple, Mozilla et ActiveMQ est désormais lisible dans les chiffres.
De quoi s’agit-il ?
Le 14 mai 2026, Patrick Garrity (VulnCheck) a publié The First CVE Wave: Signs That AI-Assisted Vulnerability Discovery Is Reshaping Disclosure Volumes. L’article ne porte pas sur une vulnérabilité particulière. Il examine les vingt principaux CVE Numbering Authorities (CNA) sur cinq ans et montre que, depuis le début 2026, les volumes de divulgation publique explosent chez les grands éditeurs et les projets open source, dans un schéma qui colle au calendrier public des modèles de découverte de vulnérabilités de frontière.
Les chiffres, YTD à la mi-mai 2026 :
- Chrome : +563,2 %
- VMware : +180,9 %
- Apache : +170,3 %
- Mozilla : +156,9 %
- HPE : +132,3 %
- F5 : +113,8 %
- Émissions GitHub CVE (sur de nombreux projets open source) : +476,07 %
Deux Patch Tuesdays après l’annonce du Projet Glasswing et de Claude Mythos Preview par Anthropic le 7 avril 2026, le signal que les défenseurs attendaient apparaît dans le flux public des CVE. C’est la méta-histoire derrière les cas individuels déjà couverts ici — dont le bulletin Apple du 11 mai créditant Claude sur deux CVE macOS — et cela change la manière de dimensionner les SLA de patching.
Comment ça fonctionne
Il n’y a pas d’attaque inédite ici. Le « comment » porte sur le pipeline qui produit ces divulgations, pas sur un payload. Chez tous les éditeurs examinés par VulnCheck, la forme est constante :
Base de code (cible)
│
▼
Modèle de frontière avec lecture de code + raisonnement
(Anthropic Mythos / Claude Opus 4.7 / GPT-5.5-Cyber / Gemini)
│
▼
Pattern-recall sur la surface
(classes de bugs connues : UAF, integer overflow, SSRF,
path traversal, désérialisation, contournement d'auth…)
│
▼
Liste de candidats → triage humain
(le chercheur écarte les faux positifs, valide les vrais)
│
▼
Repro fonctionnel / brouillon d'avis
│
▼
Divulgation vendor → CVE émis → flux publicTrois participants ont publiquement décrit ce workflow en mai 2026.
Mozilla est le plus transparent. L’équipe Firefox a confirmé le 13 mai que depuis février, elle travaillait « 24/7 avec des modèles de frontière pour trouver et corriger les vulnérabilités latentes du navigateur », et qu’une version précoce de Claude Mythos Preview avait été appliquée à Firefox dans le cadre de la collaboration Glasswing. Les +156,9 % YTD sur les CVE Mozilla viennent de ce programme, pas d’une vague d’attaquants externes.
Apache est dans le même programme. Anthropic a versé 1,5 M$ à l’Apache Software Foundation pour absorber la charge de divulgation. Le premier exemple largement noté est CVE-2026-34197, un RCE ActiveMQ via la console Jolokia, crédité à Naveen Sunkavally en collaboration avec Claude. Dans ses propres mots : « This was 80% Claude with 20% gift-wrapping by a human. » Le CVE a depuis été ajouté à CISA KEV (Known Exploited Vulnerabilities).
Microsoft a confirmé le 12 mai 2026 que les découvertes IA « peuvent passer à l’échelle », et a relié le volume du Patch Tuesday du 13 mai — ainsi qu’un retour sur cinq ans de cas CLFS chez MSRC — à son propre système multi-modèle agentique.
Le contre-point honnête vient de Daniel Stenberg, mainteneur de Curl, qui a examiné les soumissions Mythos le 11 mai et rapporte que, sur cinq remontées « confirmées », une seule a survécu à la revue de son équipe sécurité. Curl est l’une des bases de code les plus fuzzées au monde, ce qui fixe un haut niveau d’exigence ; le résultat est une calibration utile sur la part de signal vs. de bruit dans la vague.
Pourquoi c’est important
Trois implications concrètes, aucune n’est spéculative.
Les SLA de patching dimensionnés à l’ancien rythme sont désormais faux. Un SLA entreprise typique — 30 jours pour les CVE critiques sur les actifs exposés Internet — a été négocié sur une base de quelques centaines de CVE par trimestre par éditeur. Si Chrome seul émet 6× plus de CVE YTD, le budget d’attention par bug s’effondre. Soit le SLA se contracte, soit la file d’attente grossit. Le cadrage VulnCheck lui-même : « Les défenseurs doivent se préparer à des volumes plus élevés tout en continuant à utiliser la threat intelligence pour prioriser les menaces actives. »
Le signal est asymétrique entre éditeurs. Les partenaires Glasswing (Apple, Mozilla, Microsoft, Google, Apache, AWS, Broadcom, Cisco, CrowdStrike, NVIDIA, JPMorgan, Linux Foundation, Palo Alto Networks, et d’autres — voir la liste VulnCheck des CVE attribués à Anthropic) traitent aujourd’hui les bugs IA via une divulgation coordonnée. Les éditeurs non partenaires ne sont pas encore sur la même courbe. L’écart se refermera — le Google Threat Intelligence Group a déjà documenté l’exploitation de vulnérabilités assistée par IA côté adversaire — mais à l’instant, le volume se concentre là où le patching est aussi le plus rapide.
La charge de faux positifs est un coût réel. Le ratio 1/5 de Stenberg sur Curl est le chiffre public le plus net à ce stade. Pour un mainteneur sans PSIRT dédié, un afflux de rapports générés par IA — souvent confiants, bien rédigés et faux — est en soi un problème de pertinence : il consomme l’attention humaine qui devrait examiner les vrais signalements. L’équipe sécurité GitHub a décrit la même dynamique : aucun rapporteur unique au-delà de ~3 % du volume, aucun projet au-delà de ~7 % — un basculement systémique, pas un acteur bruyant isolé.
Défenses
Le playbook défensif porte sur le volume, la priorisation et le signal — pas sur un bug en particulier.
-
Re-calibrez les SLA de patching contre le nouveau rythme. Pour les moteurs de navigateurs (Chrome, Firefox, Safari) et les piles serveur à fort volume (Apache, VMware, F5), partez du principe que le taux de CVE crédibles double ou triple sur les deux prochains trimestres. Les actifs exposés Internet dans ces piles doivent viser un SLA de 7-14 jours sur les CVE critical/high ; les cycles différés doivent prévoir un chemin hors-cycle explicite pour les bugs listés CISA KEV.
-
Branchez CISA KEV dans votre pipeline de priorisation si ce n’est déjà fait. CVE-2026-34197 (ActiveMQ) est passé de la divulgation à KEV en quelques jours. KEV reste le signal public le plus propre pour « ceci compte maintenant », et devient particulièrement utile quand les compteurs CVE bruts s’envolent.
-
Tracez les CVE attribués à Glasswing comme une cohorte distincte. VulnCheck publie une liste mise à jour des CVE attribués à Anthropic. Étiqueter ces CVE dans votre propre ingestion permet de corréler quelles classes de bugs sont remontées par l’IA vs. par la recherche classique, et donne une vue plus claire des cas où votre pile d’analyse statique se fait dépasser en rappel.
-
Ne coupez pas vos canaux HackerOne / bug bounty — filtrez-les. Le réflexe côté mainteneur est de limiter les rapports. La meilleure pratique, selon GitHub et Curl, est un filtrage structuré : exiger un repro fonctionnel, des champs d’avis machine-lisibles, et un champ explicite « outils IA utilisés ». Le signal s’améliore avec le temps ; la phase la plus dégradée a été janvier-février 2026.
-
Appliquez le même workflow à votre propre code. Le schéma utilisé publiquement par Apache, Mozilla et Microsoft — modèle de frontière qui surface des candidats, humain qui trie, humain qui écrit la divulgation — est reproductible sur du code interne avec des modèles publiquement disponibles. Vous n’avez pas besoin d’un accès classe Mythos pour les classes de bugs qui dominent la vague actuelle (UAF, integer overflows, SSRF, path traversal, désérialisation). Faites-le avant un autre.
-
Threat-modélisez la courbe attaquante parallèle. La note Google GTIG de mai 2026 montre clairement que les adversaires pointent eux aussi des modèles de frontière sur du code. La vague défensive de divulgations est la moitié contrôlée de la distribution. La moitié non contrôlée est le coût du retard de patching.
État
| Élément | Référence | Date | Notes |
|---|---|---|---|
| Analyse VulnCheck First CVE Wave | VulnCheck | 2026-05-14 | Top-20 CNA, baseline 5 ans, comparaison YTD 2026 |
| Annonce Project Glasswing | Anthropic | 2026-04-07 | Accès restreint à Claude Mythos Preview pour ~50 partenaires |
| Divulgation sécurité IA Mozilla | Blog Mozilla | 2026-05-13 | Confirme l’usage de Mythos sur Firefox depuis février |
| Microsoft « Defense at AI Speed » | Microsoft Security Blog | 2026-05-12 | Système agentique multi-modèle, rétro CLFS |
| Revue Curl de Mythos | daniel.haxx.se | 2026-05-11 | 1 sur 5 soumissions Mythos retenue comme vrai CVE |
| CVE-2026-34197 ActiveMQ | Horizon3.ai / Apache | 2026-05 | « 80 % Claude, 20 % humain », désormais sur CISA KEV |
La première vague de CVE n’est pas une nouvelle classe d’attaque. C’est un basculement de volume en production — divulgation publique, patches vendor inclus, à un rythme supérieur à celui auquel les équipes défensives ont été dimensionnées. Le travail consiste à lire la vague pour ce qu’elle est, recalibrer en conséquence, et éviter l’erreur symétrique : ni rejeter le volume comme du bruit, ni traiter chaque nouveau CVE comme exploité immédiatement.
Sources
- → https://www.vulncheck.com/blog/ai-assisted-vulnerability-discovery
- → https://blog.mozilla.org/en/privacy-security/ai-security-zero-day-vulnerabilities/
- → https://www.microsoft.com/en-us/security/blog/2026/05/12/defense-at-ai-speed-microsofts-new-multi-model-agentic-security-system-tops-leading-industry-benchmark/
- → https://daniel.haxx.se/blog/2026/05/11/mythos-finds-a-curl-vulnerability/
- → https://horizon3.ai/attack-research/disclosures/cve-2026-34197-activemq-rce-jolokia/
- → https://www.anthropic.com/project/glasswing