AIO APEX
Artificial Intelligence

OpenAI lance Patch the Planet pour corriger la sécurité open source à grande échelle, et publie GPT-5.5-Cyber en version complète.

OpenAI / SiliconAngle
Partager:
OpenAI lance Patch the Planet pour corriger la sécurité open source à grande échelle, et publie GPT-5.5-Cyber en version complète.

OpenAI a étendu lundi son initiative de cybersécurité Daybreak avec deux annonces majeures : le lancement de Patch the Planet, un programme visant à détecter et corriger systématiquement les vulnérabilités dans des projets open-source largement utilisés, et la publication intégrale de GPT-5.5-Cyber – auparavant réservé à un groupe restreint de défenseurs agréés. Ensemble, ces annonces positionnent OpenAI comme un acteur significatif de la sécurité logicielle proactive, et pas seulement du développement de l'IA, comme l'a rapporté SiliconAngle.

Patch the Planet a été conçu en partenariat avec Trail of Bits, l'un des cabinets les plus respectés du secteur de la sécurité, ainsi qu'avec HackerOne et Calif.io. Le modèle est simple : GPT-5.5-Cyber scanne les bases de code open-source à la recherche de vulnérabilités à une vitesse qu'aucune équipe humaine ne pourrait égaler, et chaque découverte est examinée par un ingénieur sécurité de Trail of Bits avant d'être partagée avec un mainteneur de projet. Cette étape de vérification humaine est intentionnelle – elle évite que les faux positifs générés par l'IA ne submergent les mainteneurs de bruit alors qu'ils manquent déjà de ressources.

Plus de 30 projets se sont engagés à participer dès le lancement, notamment cURL, le projet Go, la bibliothèque centrale de Python, Sigstore et pyca/cryptography – des projets qui sous-tendent d'énormes portions de la chaîne d'approvisionnement logicielle mondiale. Un sprint initial de cinq jours sur 19 de ces projets a mis au jour des centaines de problèmes potentiels et produit des dizaines de correctifs fusionnés. Une découverte était particulièrement frappante : une faille use-after-free vieille de 23 ans dans le noyau d'OpenBSD, un système d'exploitation utilisé dans des infrastructures réseau critiques, passée inaperçue depuis 2003. Le sprint a également identifié des problèmes dans le moteur V8 de Chrome, WebKit de Safari et Firefox.

Le timing reflète un problème réel et croissant. OpenAI a cité une étude montrant que 94 % des projets open-source largement utilisés comptent moins de dix développeurs, responsables de plus de 90 % du code. Ces petites équipes sont responsables de la maintenance de logiciels qui tournent dans les navigateurs, les serveurs cloud, les routeurs et les systèmes d'exploitation utilisés par des milliards de personnes – et elles sont régulièrement débordées. La découverte de vulnérabilités, accélérée par les outils d'IA, dépasse désormais la capacité des mainteneurs à examiner et corriger ce qui est trouvé. Patch the Planet tente de combler cet écart en associant la découverte assistée par IA à une expertise en sécurité financée du côté de la livraison.

Côté modèle, GPT-5.5-Cyber obtient un score de 85,6 % sur le benchmark CyberGym, contre 81,8 % pour le GPT-5.5 généraliste, ce qui en fait le modèle le plus performant d'OpenAI sur les tâches de sécurité. La version complète le fait passer d'un aperçu limité pour défenseurs de confiance à une disponibilité élargie pour les professionnels de la sécurité agréés, aux côtés d'un nouveau Daybreak Cyber Partner Program qui permet aux éditeurs de sécurité d'intégrer le modèle dans des produits commerciaux. Sept entreprises ont rejoint le programme au lancement – Cisco, CrowdStrike, IBM et quatre autres – intégrant les capacités de GPT-5.5-Cyber directement dans les outils de sécurité d'entreprise, plutôt que d'obliger les clients à l'utiliser via l'interface propre d'OpenAI.

Le programme Daybreak d'OpenAI s'est désormais étendu bien au-delà de son périmètre initial. Ce qui avait commencé comme un effort ciblé pour prévenir le détournement de l'IA à des fins de cyberattaques est devenu une capacité de sécurité offensive (GPT-5.5-Cyber pour trouver des vulnérabilités), une infrastructure de correction open-source (Patch the Planet) et une couche de partenariat commercial (le Daybreak Cyber Partner Program). Cette expansion du périmètre est notable car elle place OpenAI sur un terrain précédemment occupé par des entreprises de sécurité dédiées – utilisant l'IA non seulement pour rendre les produits plus intelligents, mais aussi pour améliorer activement la sécurité d'infrastructures qu'elle ne possède ni n'exploite.

Pour les mainteneurs open-source, la question pratique est de savoir si le programme apporte une réelle valeur ajoutée ou crée une charge supplémentaire. OpenAI et Trail of Bits ont été explicites : l'exigence de vérification humaine est non négociable – aucune découverte n'est transmise à un mainteneur sans qu'un ingénieur sécurité ne l'ait d'abord vérifiée. Les premiers résultats du sprint, avec des dizaines de correctifs déjà fusionnés, suggèrent que le pipeline est fonctionnel. La question est de savoir s'il passera à l'échelle des 30 projets et plus sans dégrader la qualité des découvertes – c'est le test qui compte.

Openaicybersecurityopen-sourcegpt-5-5-cyberdaybreakpatch-the-planettrail-of-bits

Originally reported by OpenAI / SiliconAngle. Read the original article for additional details.

View original source
Partager: