OpenAI mobilise l’IA pour corriger les failles open source
OpenAI lance Patch the Planet, une initiative qui vise à aider les mainteneurs open source à identifier, valider et corriger des vulnérabilités avec l’appui de modèles IA et d’experts humains.
OpenAI annonce Patch the Planet, une initiative rattachée à Daybreak, le programme-cadre de l’éditeur consacré à la cybersécurité. Patch the Planet a pour objectif déclaré d’aider les mainteneurs à renforcer la sécurité de logiciels open source critiques. Le programme associe recherche en sécurité assistée par IA et expertise humaine pour identifier des vulnérabilités, développer des correctifs, réaliser des tests et coordonner leur divulgation.
OpenAI fait observer que l’IA accélère la découverte de vulnérabilités, mais peut aussi accroître la charge pesant sur les mainteneurs. Patch the Planet vise à réduire cette pression en faisant examiner les découvertes par des ingénieurs sécurité avant leur transmission aux projets concernés.
Pour sa première phase, le programme s’appuie sur l’organisation de recherche en sécurité de Trail of Bits. Ses ingénieurs travaillent directement avec les mainteneurs pour analyser et valider des vulnérabilités, développer et tester des correctifs, puis coordonner leur divulgation. OpenAI indique également collaborer avec HackerOne et CALIF pour le triage, la divulgation coordonnée et des travaux ciblés de recherche de vulnérabilités.
Les premiers projets participants incluent cURL, NATS Server, pyca/cryptography, Sigstore, aiohttp, le projet Go, freenginx, Python et python.org.
Des signalements vérifiés avant transmission
Pour soutenir ces travaux, les chercheurs disposent des modèles avancés d’OpenAI ainsi que de Codex Security pour assister l’analyse, les tests et le développement de correctifs. Les projets participants reçoivent également un accès à ChatGPT Pro, un accès conditionnel à Codex Security et des crédits API destinés au développement open source, à l’automatisation des mainteneurs et aux workflows de publication.
Avant leur transmission aux projets concernés, les signalements font l’objet de vérifications par les ingénieurs de Trail of Bits. Ceux-ci reproduisent les preuves, vérifient les découvertes au regard de la documentation et des modèles de menace propres à chaque projet, éliminent les doublons, réévaluent la sévérité des vulnérabilités et priorisent les problèmes confirmés. Les mainteneurs conservent le contrôle des correctifs déployés et des modalités de divulgation.
Premiers résultats
OpenAI met déjà en avant plusieurs résultats obtenus dans le cadre de Daybreak. Trail of Bits affirme avoir mobilisé des ingénieurs sécurité à plein temps avec Codex et GPT-5.5-Cyber sur 19 projets open source. Selon l’entreprise, cette première phase a permis d’identifier des centaines de problèmes de sécurité et de fusionner plusieurs dizaines de correctifs, tandis que d’autres découvertes restent soumises à des procédures de divulgation coordonnée.
Parmi les exemples cités, GPT-5.5-Cyber aurait identifié dans le noyau Linux des composants liés à la sécurité au sein de plus de 30 millions de lignes de code, puis généré huit preuves de concept de fuites d’informations de pointeurs ainsi que 24 exploits d’élévation locale de privilèges. Dans OpenBSD, les modèles ont identifié un use-after-free vieux de 23 ans dans l’implémentation des sémaphores System V du noyau.
Des travaux ont également été menés sur FreeBSD, dnsmasq, HTTP/2, Chrome, Safari et Firefox. OpenAI affirme notamment avoir identifié et signalé cinq vulnérabilités exploitables dans le moteur JavaScript V8 de Chrome. L’entreprise indique également avoir trouvé et signalé plus de dix vulnérabilités exploitables dans WebKit après environ une semaine de travail ciblé.
L’actualité IT en Suisse et à l’international, avec un focus sur la Suisse romande, directement dans votre boîte mail > Inscrivez-vous à la newsletter d’ICTjournal, envoyée du lundi au vendredi!
