OpenAI mobilise son IA pour détecter et corriger les failles des logiciels open source

OpenAI vient de se saisir de ce sujet d’importance en lançant son tout nouveau programme intitulé Patch the Planet. Rattaché à son initiative cyber Daybreak, il consiste à faire tourner certains de ses modèles spécialisés (Codex Security, GPT 5.5 Cyber notamment) sur des quantités considérables de code pour identifier les petites failles que les bonnes volontés de l’open source n’ont pas pu identifier. OpenAI prend soin de ne pas laisser son IA en totale autonomie, elle a fait le choix de s’associer avec plusieurs acteurs de renoms dans le domaine dont Trail of Bits, référence de la sécurité offensive, HackerOne et CALFIL pour le triage.

Une IA sous supervision humaine pour éviter les faux positifs 

Cet attelage change radicalement les choses puisque chaque alerte générée par la machine va tout d’abord avoir une supervision humaine pour différentes étapes (reproduction de la preuve, élimination des doublons, vérification au regard des modèles de menace propre au projet). A ce stade, ce seront uniquement les signalement les plus robustes qui remonteront jusqu’aux mainteneurs qui continuent de piloter les déploiements effectifs. Cette manière de faire évite aux bénévoles d’être littéralement submergés par des rapports automatisés et le plus souvent creux.

Une faille datant de… 23 ans identifiée

cURL, Python, Go, Sigstore, aiohttp, pyca/cryptography, etc. Voici la première fournée des projets étudiés et qui sont des briques de base de nombreuses applications que nous utilisons quotidiennement. C’est en se penchant sur le sujet que l’on se rend compte de la dépendance quasi invisible que nous avons auprès de l’ensemble de ces outils issus de l’open source. Personne ne s’en soucie vraiment jusqu’au jour où il y a un grain de sable dans l’engrenage.

Des vulnérabilités parfois présentes depuis plus de vingt ans

Quand on prête attention aux résultats, ceux-ci peuvent donner le tournis. Les résultats, eux, donnent franchement le vertige. Par exemple, dans OpenBSD, les résultats ont fait apparaître un user-after-free niché dans le code depuis… 23 ans&nbsp! Cette faille permettait d’offrir des droits root à n’importe qui. Du côté du noyau Linux, après avoir analysé 30 millions de lignes de code, huit preuves de concept de fuite d’informations ont été mises au jour. Pas mieux chez Firefox  qui a dû corriger en urgence une faille WebAssembly deux jours seulement avant le Pwn2Own Berlin.

Jusqu’à présent, tout ceci est teinté de belles et louables intentions mais que peut-il se passer si, à défaut de repérer les trous dans la raquette, ces outils sont utilisés pour les créer délibérément&nbsp? L’actualité récente le montre avec un épisode d’espionnage mené par une IA semi-autonome et les débats entamés depuis plusieurs semaines autour de Mythos chez Anthropic ne font que nourrir cette même inquiétude. Chez OpenAI, on modifie l’argument pour le prendre à son avantage. A défaut de craindre l’outil, faisons en un bouclier. C’est une belle mission sur le papier. Est-elle sincère&nbsp? Est-elle réaliste&nbsp? Le temps et le volume de corrections apportées nous donneront sans doute de premiers éléments de réponse.

A l’heure actuelle, le projet demeure sur quelques dizaines de projets identifiés comme stratégiques. Son éventuelle extension dans tout l’écosystème open source demandera bien d’autres moyens et d’autres preuves de volonté sincère.

SOURCE