OpenAI a annoncé lundi une série de mesures consacrées à la cybersécurité, comprenant une version améliorée de son modèle spécialisé GPT-5.5-Cyper, un accès élargi pour des institutions gouvernementales et internationales à ses modèles les plus récents, ainsi que la mise à disposition de son scanner Codex Security sous forme d'extension d'application.
L'entreprise a également dévoilé le programme « Patch the Planet », fondé avec la société de recherche en sécurité Trail of Bits, en collaboration avec les gestionnaires de vulnérabilités HackerOne et Calif. Cette initiative vise à offrir des services de conseil en sécurité gratuits aux mainteneurs de logiciels open source, afin de les aider à détecter et corriger les failles, mais aussi à renforcer leur base de code et à intégrer des outils de sécurité basés sur l'IA dans leur processus de développement.
Soutenir les mainteneurs débordés
Les développeurs open source, souvent des bénévoles qui maintiennent des logiciels largement utilisés avec des ressources limitées, peinent déjà à suivre les signalements de bogues. L'essor récent de la chasse automatisée aux vulnérabilités par l'IA a aggravé cette situation, selon OpenAI, en générant des rapports de qualité médiocre qui s'accumulent et détournent l'attention des failles réellement critiques.
« Les mainteneurs font leur travail par amour de l'open source et se retrouvent aujourd'hui à devoir examiner des rapports de vulnérabilité médiocres », a déclaré Fouad Matin, responsable technique cyber chez OpenAI. « Avec Patch the Planet, nous avons cherché à rendre le processus aussi efficient que possible du point de vue des tokens, pour réduire la charge de travail des mainteneurs : évaluation des bases de code, validation des signalements potentiels, création de correctifs et leur intégration. Nous voulons compenser les coûts, qu'il s'agisse de tokens ou de main-d'œuvre, pour corriger autant de logiciels dans le monde que possible. »
Des résultats déjà tangibles
Plus d'une trentaine de projets open source participent déjà à Patch the Planet, et d'autres sont en attente. Pour lancer le projet, Trail of Bits a organisé une première session de travail de cinq jours au cours de laquelle 25 ingénieurs, soit environ un cinquième de ses effectifs, ont collaboré simultanément avec divers mainteneurs.
Selon OpenAI et Trail of Bits, l'initiative a déjà permis de découvrir des centaines de bogues et de produire des dizaines de correctifs au cours de sa première semaine. Dan Guido, PDG et cofondateur de Trail of Bits, a précisé que, grâce au financement d'OpenAI et à un accès illimité aux modèles, son entreprise prévoit de maintenir cet engagement intense sur le long terme.
« Il est très rare que nous ayons l'occasion de travailler sur des problèmes de sécurité open source à grande échelle », a commenté Dan Guido. « Et Patch the Planet n'est pas une solution unique. Nous discutons avec tous les mainteneurs de chaque projet pour déterminer leurs priorités, qu'il s'agisse d'améliorer l'infrastructure de test ou de créer des fuzzeurs personnalisés. »
Un effort à l'échelle d'Internet
L'initiative a été conçue comme « un effort à l'échelle d'Internet pour aider les logiciels open source à prendre de l'avance sur les outils de chasse aux bogues basés sur l'IA », selon Dan Guido, tout en permettant à la communauté open source de percevoir les avantages, et pas seulement les inconvénients, des outils de codage par intelligence artificielle.
Par ailleurs, Fouad Matin a indiqué que pour son scanner Codex Security, qui était en prévisualisation de recherche depuis le début de l'année, OpenAI subventionne l'utilisation tant pour le code open source que privé « à hauteur de 20 billions de tokens ».
Cette offensive d'OpenAI intervient dans un contexte de concurrence accrue avec Anthropic, notamment autour de la capacité des modèles d'IA à réaliser des tâches de cybersécurité avancées.
