Connexion
Sécurité : OpenAI veut « patcher la planète »
Patch the world, make it a better place
OpenAI étend le front de guerre sur la cybersécurité avec une extension de son programme Daybreak. L’entreprise a fait plusieurs annonces, dont le lancement d’une version finale pour son modèle dédié GPT-5.5-Cyber et l’initiative Patch the Planet destinée au monde de l’open source.
En mai, OpenAI lançait Daybreak, une plateforme de cybersécurité conçue pour rassembler tous les produits et services de l’entreprise dans ce domaine. On y trouvait notamment trois modèles combinés à Codex Security : le GPT-5.5 classique, le même avec l’option Trusted Access for Cyber (TAC) et GPT-5.5-Cyber, alors en préversion. Plus on grimpe dans les modèles, plus l’outil se veut puissant, et plus les vérifications sont importantes.
Ce 22 juin, OpenAI a annoncé une importante extension de sa plateforme et veut clairement doubler Anthropic sur le devant de la scène.
Un GPT-5.5-Cyber mis à jour
On commence avec une nouvelle version du modèle GPT-5.5-Cyber, qu’OpenAI décrit bien sûr comme plus puissante. Il est présenté par l’entreprise comme le plus puissant et le plus permissif « pour des travaux avancés et autorisés en cybersécurité ».
« C’est notre modèle le plus solide à ce jour pour trouver et aider à corriger les vulnérabilités logicielles, tout en conservant l’intelligence polyvalente de GPT-5.5 et sa capacité à travailler sur des tâches longues et complexes », affirme OpenAI.
L’analyse se veut notamment plus profonde sur les grandes bases de code. Selon OpenAI, GPT-5.5-Cyber peut identifier les composants importants pour la sécurité, trouver le code vulnérable, identifier et valider les problèmes probables dans des environnements contrôlés, développer et tester des correctifs, ou encore préparer des preuves pour des examens humains.
Pour l’entreprise, il n’est plus question de seulement détecter les problèmes, mais d’aider les développeurs à « traverser toute la boucle de remédiation ». En clair, faciliter l’intégralité du processus allant de la détection à la correction.
OpenAI aligne évidemment des scores issus de benchmarks. Sur CyberGym (qui mesure la capacité d’un agent à reproduire des vulnérabilités connues dans des environnements logiciels), GPT-5.5-Cyber a obtenu 85,6 %, contre 81,8 % pour GPT-5.5 classique, mais surtout contre 83,6 % pour Mythos 5. OpenAI n’évoque pas le grand concurrent dans son communiqué, mais le score apparaît quand même dans un tableau. Sur deux autres benchmarks, ExploitGym et SEC Bench Pro, GPT-5.5-Cyber obtient respectivement 39,5 % et 69,8 %, contre 29,95 % et 63,1 % pour GPT-5.5. Pas question de modèles concurrents cette fois.
La société indique dialoguer avec le gouvernement américain sur son approche cyber. Elle déclare travailler en collaboration avec le Center for AI Standards and Innovation (CAISI) sur les tests préalables au déploiement de GPT-5.5 et 5.5-Cyber, avec le Bureau du Directeur national de la cybersécurité (ONCD) et avec l’Office de la politique scientifique et technologique (OSTP) sur la mise en œuvre du décret présidentiel du 2 juin sur l’IA.
OpenAI ajoute que la combinaison GPT-5.5 avec Trusted Access for Cyber et Codex Security constitue un « bon point de départ ». Le duo a aidé à identifier et à valider des failles dans diverses bases de code, dont Firefox, V8, Safari, OpenBSD, FreeBSD et les implémentations HTTP/2.
Quant à GPT-5.5-Cyber, il est destiné « aux défenseurs vérifiés dont le travail autorisé nécessite nos capacités cyber les plus avancées et un comportement plus permissif, associé à une vérification, un suivi, des contrôles et une révision plus stricts ». En d’autres termes, le même type d’acceptation sur dossier que pour Mythos chez Anthropic.
Patch the Planet : l’offensive sur l’open source
Autre initiative d’OpenAI, particulièrement intéressante celle-là : Patch the Planet. Créée avec Trail of Bits et en partenariat avec plusieurs structures comme HackerOne, elle vise à financer des chercheurs en sécurité reconnus et à les équiper avec Codec Security pour travailler directement avec les mainteneurs de code open source.
OpenAI cite une étude de la Linux Foundation et d’Harvard selon laquelle 94 % des projets open source les plus utilisés ont moins de dix personnes responsables de plus de 90 % du code ajouté sur une année. « Les logiciels open source alimentent des produits, des services publics, des outils pour développeurs et des infrastructures critiques à travers les secteurs. Une vulnérabilité dans une bibliothèque réseau largement utilisée peut affecter des milliers de systèmes en aval », déclare OpenAI.
Le processus suit un cheminement spécifique : une consultation entre les chercheurs et les mainteneurs, la définition par ces derniers des priorités et préférences, puis la prise en charge par les chercheurs du travail. Ce dernier comprend la validation et la déduplication des vulnérabilités et correctifs avant qu’ils atteignent les mainteneurs, réduisant d’autant leur charge.
« Les projets participants reçoivent ChatGPT Pro, un accès conditionnel à Codex Security, ainsi que des crédits API pour le développement principal, l’automatisation des mainteneurs et les flux de travail de publication », ajoute OpenAI. Pour plusieurs projets, le « sprint initial » (5 jours) aurait montré des centaines de problèmes. Des dizaines de correctifs auraient été fusionnés avec d’autres en cours. Trail of Bits a également publié un communiqué sur le sujet.
Reste à voir maintenant si l’initiative tiendra ses promesses et si les conditions d’accès ou encore les crédits seront modifiés par la suite. OpenAI frappe en tout cas là où de gros problèmes ont été révélés ces dernières années, notamment le manque de financement, de mainteneurs et la gestion de la sécurité. On se souvient aussi que l’IA a un impact négatif sur les mainteneurs, le nombre de signalements augmentant drastiquement, comme s’en était plainte l’équipe de FFmpeg.
La cybersécurité pour presque tous
OpenAI annonce également des collaborations « étroites » avec des gouvernements et institutions du monde entier, avec l’objectif de renforcer leur niveau de cybersécurité. Courant mai, la France a ainsi obtenu un partenariat pour GPT-5.5 avec Trusted Access for Cyber, de même que l’Australie, le Canada, l’Allemagne, le Japon, la République de Corée et des institutions européennes comme l’ENISA, l’agence de cybersécurité de l’Union.
La question de la souveraineté n’est pas abordée par OpenAI. Mi-mai, cette facette a été directement mise en avant par Mistral, via son CEO Arthur Mensch, qui accusait notamment Anthropic – sans le nommer – de verser dans le « marketing de la peur ». Le message de l’entreprise française était clair : « Vous ne pouvez pas avoir les bases de données et le code de l’armée française scannés par Mythos. Ça crée une dépendance tellement irrémédiable qu’il faut absolument trouver des solutions ». Et Mistral a assuré qu’elle en aurait bientôt à proposer.
Mistral prépare son IA chasseuse de failles, Microsoft déploie déjà son armée d’agents
Cette question se pose d’autant plus que les ambitions d’OpenAI sont claires. Parmi les annonces du 22 juin, la société indique ainsi qu’elle va travailler directement avec des « opérateurs éligibles d’infrastructures critiques, y compris les réseaux gouvernementaux ». OpenAI veut être en mesure de proposer des « garanties adaptées » et devenir ainsi un acteur incontournable de la cybersécurité. Incontournable probablement au point que l’industrie logicielle ne pourra bientôt plus se passer de l’IA pour la recherche et la correction de failles de sécurité.
