L'IA Daybreak accélère la correction des failles logicielles

Résumé

OpenAI étend Daybreak avec un plugin Codex Security mis à jour, le modèle GPT‑5.5‑Cyber, un programme partenaires et l’initiative open source Patch the Planet.

Les faits

OpenAI annonce l’extension de Daybreak afin de « démocratiser la correction des logiciels vulnérables à la vitesse des machines ». L’entreprise explique avoir déjà appliqué ses modèles pour « découvrir et générer des correctifs pour des vulnérabilités critiques dans des navigateurs majeurs, des infrastructures réseau et des systèmes d’exploitation comme FreeBSD et le noyau Linux ». Pour industrialiser cette approche, OpenAI met en avant quatre volets. D’abord, une mise à jour du plugin Codex Security, qui intègre les enseignements tirés des usages internes et clients pour « accélérer le processus de découverte et de correction des vulnérabilités dans les systèmes existants » tout en « empêchant automatiquement que de nouvelles vulnérabilités atteignent la production ». Ensuite, le lancement de la version complète de GPT‑5.5‑Cyber dans le cadre d’une diffusion limitée à des « défenseurs de confiance » ; ce modèle établit de nouvelles performances de référence sur le benchmark CyberGym, avec « 85,6 % contre 81,8 % pour GPT‑5.5 ». OpenAI formalise aussi un Daybreak Cyber Partner Program, présenté comme un moyen de permettre à des partenaires de cybersécurité de diffuser plus largement ces capacités en intégrant ses modèles les plus puissants dans leurs produits et services. En parallèle, l’initiative Patch the Planet, fondée avec Trail of Bits en collaboration avec HackerOne, des chercheurs et des mainteneurs, vise à aider des projets open source largement utilisés à passer « des découvertes aux correctifs ». OpenAI précise que « plus de 30 projets open source se sont engagés à participer », citant notamment cURL, Go, Python, Sigstore et pyca/cryptography. Depuis son lancement en aperçu de recherche en mars, Codex Security cloud a déjà « scanné plus de 30 millions de commits sur plus de 30 000 bases de code ». Selon OpenAI, « des examinateurs humains ont marqué manuellement plus de 70 000 résultats comme corrigés » et « plus de 500 000 résultats ont été automatiquement considérés comme corrigés », illustrant l’échelle à laquelle la correction de failles doit désormais s’opérer. Le plugin Codex Security est présenté comme un outil qui « met l’équivalent d’un ingénieur sécurité à côté de chaque développeur » en s’intégrant directement à Codex pour comprendre le code, identifier des vulnérabilités plausibles, déterminer si le code est atteignable, rassembler des preuves de validation, élaborer un correctif ciblé et vérifier le résultat, tout en laissant « les humains décider des résultats à examiner, des changements à appliquer et des informations à partager ». La nouvelle version du plugin permet de lancer des « workflows de sécurité défensive clés en main ». Les développeurs peuvent exécuter des scans approfondis ou examiner des changements récents, générer des rapports avec le niveau de gravité, les emplacements du code affecté, les preuves de validation et les recommandations de remédiation, retracer les chemins d’attaque, construire des modèles de menace, valider les résultats et générer des correctifs spécifiques à la base de code. Le plugin peut aussi trier et valider des résultats provenant de scanners, d’avis de sécurité, de programmes de bug bounty ou de systèmes de tickets, puis automatiser la génération de correctifs à grande échelle pour résorber rapidement un stock de vulnérabilités, avec export possible vers des systèmes de gestion des vulnérabilités existants via des fichiers SARIF, des requêtes CodeQL et d’autres intégrations.

Pourquoi c’est important

OpenAI estime que « l’IA a changé la physique de la cybersécurité » : les modèles de pointe accélèrent fortement la découverte de vulnérabilités au point de déplacer le goulet d’étranglement, passé de la détection au « patch ». Les rapports de vulnérabilités « ne protègent personne en eux-mêmes » ; la valeur provient de la validation, de la compréhension de l’impact, du développement et des tests de correctifs, de la coordination de la divulgation et de l’aide au déploiement. Daybreak vise précisément à automatiser et industrialiser ces étapes pour transformer les capacités des modèles en « réduction réelle du risque dans le monde réel ». OpenAI défend par ailleurs une stratégie de diffusion contrôlée mais large de ces capacités défensives, en affirmant que « les capacités défensives de pointe ne doivent pas être concentrées entre les mains de quelques-uns ». Avec Daybreak, l’entreprise agrège ses modèles, son programme Trusted Access for Cyber, les workflows Codex Security et un écosystème de partenaires pour aider des « défenseurs approuvés » à valider les vulnérabilités, hiérarchiser les risques, générer et tester des correctifs, puis produire des preuves au sein des outils existants de sécurité et de développement. L’objectif affiché est « de fournir aux organisations les outils dont elles ont besoin pour rester sécurisées alors que le paysage des cybermenaces continue de s’accélérer ».

Questions fréquentes

Qu’est-ce que Daybreak chez OpenAI ?

Daybreak regroupe les capacités de pointe des modèles d’OpenAI et de ses partenaires pour aider des défenseurs approuvés à trouver, valider et corriger des vulnérabilités à grande échelle.

Que propose le plugin Codex Security mis à jour ?

Le plugin Codex Security met l’équivalent d’un ingénieur sécurité à côté de chaque développeur pour identifier, valider et corriger des vulnérabilités, puis vérifier les résultats.

Qu’est-ce que GPT‑5.5‑Cyber ?

GPT‑5.5‑Cyber est un modèle spécialisé de cybersécurité, diffusé en édition complète à des défenseurs de confiance, qui atteint 85,6 % de performance sur le benchmark CyberGym.

À quoi sert l’initiative Patch the Planet ?

Patch the Planet vise à aider des projets open source largement utilisés à passer des découvertes de failles aux correctifs, avec plus de 30 projets déjà engagés.

Quelle est l’ampleur de l’usage de Codex Security cloud ?

Depuis mars, Codex Security cloud a scanné plus de 30 millions de commits sur plus de 30 000 bases de code, avec plus de 70 000 résultats corrigés manuellement.

Source

Auteur

Rédaction spécialisée dans la veille et l'analyse de l'actualité de l'intelligence artificielle, des puces IA, des robots, des agents IA et de la recherche.