Le 22 juin 2026, OpenAI a élargi son programme cybersécurité Daybreak et a dévoilé une nouvelle initiative pour sécuriser les projets open source les plus populaires : Patch the Planet.

Lancé à la mi-mai 2026, Daybreak est la réponse d’OpenAI au projet Glasswing d’Anthropic. Dans les deux cas, le constat est le même : les modèles d’IA repèrent les vulnérabilités plus vite que les équipes ne parviennent à les corriger. La conséquence, c’est que les développeurs croulent sous les rapports.

OpenAI veut donc s’attaquer à la phase de remédiation : valider une faille, mesurer son impact, développer puis tester un correctif, coordonner la divulgation et déployer le patch. C’est sur cette partie de la chaîne que se penchent les nouvelles versions des outils d’OpenAI.

Codex Security : 30 millions de commits scannés en trois mois

Codex Security, disponible en préversion depuis mars 2026, s’intègre directement dans Codex pour placer, selon la formule d’OpenAI, l’équivalent d’un ingénieur sécurité à côté de chaque développeur. L’outil n’est pas là pour seulement créer des alertes. Il est là pour comprendre le code, identifier les vulnérabilités, vérifier si le code affecté est réellement atteignable par un chemin d’attaque, rassembler des preuves de validation, produire un correctif ciblé puis en vérifier le résultat. Il couvrirait la chaine complète.

Les chiffres mis en avant par OpenAI depuis le lancement en mars :

• Plus de 30 millions de commits analysés sur plus de 30 000 bases de code,
• Plus de 70 000 findings marqués comme corrigés par des relecteurs humains,
• Plus de 500 000 findings déterminés comme corrigés automatiquement.

La mise à jour du plugin ajoute des workflows pertinents pour faciliter la remédiation, avec notamment des scans approfondis, la génération de rapports avec niveau de sévérité et la génération de correctifs spécifiques à la base de code. Ce qui est intéressant, c’est qu’il peut aussi vous aider à trier et à valider des vulnérabilités identifiées avec d’autres outils, ou même des rapports de bug bounty.

Malgré toutes ces tâches automatisées et sur lesquelles Codex Security peut agir, OpenAI en profite pour rappeler que l’humain garde la main pour décider.

GPT-5.5-Cyber : 85,6 % sur CyberGym

Au-delà de Codex Security, OpenAI a annoncé la version complète de GPT-5.5-Cyber. Ce modèle est présenté comme le plus performant d’OpenAI pour trouver et aider à corriger les vulnérabilités logicielles, tout en conservant les performances globales de GPT-5.5.

Sur les benchmarks avancés par l’éditeur, le gain est net face à :

• CyberGym (reproduction de vulnérabilités connues) : 85,6 % contre 81,8 %, soit le meilleur score mesuré par OpenAI jusqu’ici.
• ExploitGym (transformation d’une faille connue en exploit fonctionnel) : 39,5 % contre 25,95 %.
• SEC-bench Pro (découverte de failles et génération de proof-of-concept sur cibles complexes) : 69,8 % contre 63,1 %.

D’après les tests effectués en interne par OpenAI (à prendre avec des pincettes), GPT-5.5-Cyber serait plus performant que Claude Mythos 5 d’Anthropic. Si c’est réellement le cas, c’est vraiment du lourd.

Pour le moment, l’accès reste verrouillé. GPT-5.5-Cyber est distribué via le programme Trusted Access for Cyber, réservé aux défenseurs vérifiés dont les missions exigent les capacités les plus avancées. Mais bon, même si OpenAI publiait ce modèle auprès du grand public, on peut imaginer que la Maison Blanche ferait encore des siennes !

De son côté, OpenAI recommande de s’en tenir à GPT-5.5 couplé à Codex Security. Cette combinaison a déjà aidé à identifier et valider des vulnérabilités dans des systèmes et logiciels populaires, dont Firefox, le moteur JavaScript V8, Safari, OpenBSD, FreeBSD et des implémentations HTTP/2.

Dans tous les cas, OpenAI travaille déjà avec la France, contrairement à Anthropic : “Au cours du mois dernier, nous avons déjà mis en place des partenariats « Trusted Access for Cyber » avec l’Australie, le Canada, la France, l’Allemagne, le Japon, la République de Corée et des institutions de l’Union européenne telles que l’ENISA.”, peut-on lire dans le communiqué d’OpenAI.

Patch the Planet pour venir au secours de l’open source

Troisième volet sur lequel OpenAI s’est exprimé : Patch the Planet. Cette initiative finance des chercheurs experts et les équipes de Codex Security pour travailler avec les mainteneurs de projets open source très utilisés.

“Les logiciels libres sont au cœur de nombreux produits, services publics, outils de développement et infrastructures critiques, tous secteurs confondus. Une vulnérabilité dans une bibliothèque réseau largement utilisée peut affecter des milliers de systèmes en aval.”, peut-on lire. OpenAI veut donc aider à la sécurisation des projets open source les plus populaires et les plus critiques pour l’écosystème IT.

Plus de 30 projets open source se seraient engagés à participer, parmi lesquels cURL, Go, Python, Sigstore et pyca/cryptography. Trail of Bits, qui est à l’origine de la création de cette fondation aux côtés d’OpenAI, indique avoir mobilisé ses ingénieurs sur 19 projets. Sur le site de Trail of bits, vous pouvez d’ailleurs demander à rejoindre le programme Patch the Planet dans le cas où vous maintenez un projet open source.