OpenAI Daybreak : l'IA qui répare les failles avant les pirates ?

L’intelligence artificielle vient de bouleverser les règles du jeu en cybersécurité. Les modèles les plus avancés accélèrent désormais la découverte de vulnérabilités dans les logiciels, les systèmes d’exploitation et les infrastructures réseau. Mais le vrai défi n’est plus de repérer ces failles : c’est de les corriger à temps. Et c’est précisément là que Daybreak entre en jeu.

LA FIN D’UNE ÈRE : DE LA DÉCOUVERTE À LA CORRECTION AUTOMATIQUE

Pendant des années, identifier une faille critique dans un navigateur, un système d’exploitation ou un logiciel réseau exigeait des experts, des semaines de travail et une connaissance approfondie des systèmes complexes. Aujourd’hui, les modèles d’IA peuvent analyser des bases de code entières, comprendre les chemins d’attaque, valider des hypothèses et révéler des problèmes de sécurité passés inaperçus. Pourtant, même avec ces capacités, le véritable danger persiste : une faille repérée n’est utile que si elle est corrigée avant qu’un pirate ne l’exploite.

DES Outils POUR TOUS : L’IA NE DOIT PAS ÊTRE RÉSERVÉE À QUELQUES-UNS

Les logiciels touchent tous les aspects de la vie moderne : infrastructures critiques, applications professionnelles, réseaux gouvernementaux. Si l’IA accélère la découverte de vulnérabilités, les défenseurs du monde entier doivent avoir accès à ces outils pour protéger leurs systèmes avant que les attaquants ne repèrent et n’exploitent ces failles. Concentrer ces capacités entre les mains de quelques-uns créerait un déséquilibre dangereux.

Daybreak rassemble les capacités de cybersécurité de pointe d’OpenAI : les modèles, Trusted Access for Cyber, les flux de travail Codex Security et des partenaires de l’écosystème. L’objectif ? Permettre aux défenseurs agréés de valider les vulnérabilités, prioriser les risques, générer et tester des correctifs, et produire des preuves, le tout dans le cadre de leurs flux de travail existants en matière de sécurité et de développement.

CODEx SECURITY : UN INGÉNIEUR EN CYBERSÉCURITÉ À CÔTÉ DE CHAQUE DÉVELOPPEUR

Depuis son lancement en version de recherche en mars, Codex Security a déjà analysé plus de 30 millions de commits sur plus de 30 000 bases de code. Les réviseurs humains ont marqué manuellement plus de 70 000 vulnérabilités comme corrigées, et plus de 500 000 autres ont été automatiquement considérées comme résolues. C’est à cette échelle que la correction des vulnérabilités doit désormais s’opérer.

Codex Security repose sur une idée simple : intégrer directement dans Codex l’équivalent d’un ingénieur en cybersécurité aux côtés de chaque développeur. Au lieu de simplement générer des alertes, le plugin comprend le code de l’équipe, son modèle de menace (ou le génère s’il n’existe pas), identifie les vulnérabilités plausibles, détermine si le code affecté est accessible, rassemble des preuves pour fournir des étapes de validation, développe un correctif ciblé et vérifie le résultat. Les humains restent maîtres de la décision : quelles vulnérabilités investiguer, quels changements appliquer et quelles informations partager.

Aujourd’hui, OpenAI publie une mise à jour du plugin Codex Security qui active des flux de travail défensifs prêts à l’emploi. Les développeurs peuvent lancer des analyses approfondies, examiner les changements récents, générer des rapports avec la gravité, les emplacements du code concernés, les preuves de validation et des conseils de remédiation. Ils peuvent aussi tracer les chemins d’attaque, construire des modèles de menace, valider les vulnérabilités et générer des correctifs spécifiques à leur base de code pour révision.

Le plugin permet de configurer une analyse pour couvrir une base de code entière, une partie spécifique ou un changement ou commit précis. Il peut également trier et valider les vulnérabilités existantes issues de scanners, de rapports de bug bounty ou de systèmes de tickets, puis automatiser la génération de correctifs à grande échelle pour résorber rapidement un arriéré de failles. Une fois l’analyse terminée, Codex Security peut exporter les résultats vers un système de gestion des vulnérabilités existant ou s’intégrer à des outils via des fichiers SARIF, des requêtes CodeQL, et bien plus encore. Le plugin rend ces capacités beaucoup plus accessibles pour soutenir les pipelines automatisés avec Codex CLI ou s’intégrer aux flux de travail des développeurs dans l’application Codex.

GPT-5.5-CYBER : LE MODÈLE QUI RÉPARE CE QU’IL TROUVE

OpenAI publie également une mise à jour de GPT-5.5-Cyber, un modèle conçu pour être à la fois plus permissif et plus performant dans les tâches avancées et autorisées de cybersécurité. La première version de GPT-5.5-Cyber visait principalement à réduire les refus inutiles dans les flux de travail spécialisés. Cette nouvelle version va plus loin : c’est le modèle le plus puissant à ce jour pour trouver et aider à corriger les vulnérabilités logicielles, tout en conservant l’intelligence polyvalente de GPT-5.5 et sa capacité à gérer des tâches longues et complexes.

Le modèle peut effectuer des analyses plus approfondies sur de grandes bases de code : identifier les composants pertinents pour la sécurité, tracer si le code vulnérable est accessible, valider les problèmes probables dans des environnements contrôlés, développer et tester des correctifs, et préparer des preuves pour une révision humaine. L’objectif est d’aider les défenseurs à parcourir l’ensemble du cycle de remédiation, et pas seulement à produire plus de vulnérabilités repérées.

Sur CyberGym, qui mesure si un agent peut reproduire des vulnérabilités connues dans des environnements logiciels, la version mise à jour de GPT-5.5-Cyber a atteint un score de 85,6 % dans les évaluations à modèle unique, contre 81,8 % pour GPT-5.5. Il s’agit du meilleur score jamais enregistré par un modèle unique sur cette plateforme.

GPT-5.5-Cyber a également surpassé GPT-5.5 sur deux benchmarks réels exigeants : 39,5 % contre 25,95 % sur ExploitGym, qui teste si les agents peuvent transformer des vulnérabilités connues en exploits fonctionnels permettant l’exécution de code non autorisée. Sur SEC-bench Pro, qui évalue la découverte de vulnérabilités à long terme et la génération de preuves de concept sur des cibles logicielles complexes, GPT-5.5-Cyber a atteint 69,8 %, contre 63,1 % pour GPT-5.5.

Les benchmarks ne racontent qu’une partie de l’histoire. Ce qui compte en pratique, c’est de savoir si un modèle peut trouver de vraies vulnérabilités, distinguer les problèmes exploitables du bruit, et aider les défenseurs à appliquer des correctifs en toute sécurité. OpenAI continue d’évaluer les performances du modèle sur des dépôts complexes et des flux de travail réels de remédiation au fur et à mesure que les divulgations coordonnées aboutissent.

UNE COLLABORATION AVEC LES GOUVERNEMENTS POUR RENFORCER LA CYBERSÉCURITÉ

OpenAI maintient un dialogue continu avec le gouvernement américain concernant son approche en matière de cybersécurité, y compris les annonces d’aujourd’hui et les préparatifs pour les prochaines versions de ses modèles. Cela inclut la collaboration continue avec le Center for AI Standards and Innovation (CAISI) sur les tests pré-déploiement pour GPT-5.5 et GPT-5.5-Cyber, ainsi que le travail avec l’Office of the National Cyber Director (ONCD) et l’Office of Science and Technology Policy (OSTP) sur la mise en œuvre du récent Executive Order et des normes industrielles associées.

Pour la plupart des défenseurs, GPT-5.5 avec Trusted Access for Cyber et Codex Security reste le point de départ idéal. GPT-5.5-Cyber est destiné aux défenseurs vérifiés dont le travail autorisé nécessite les capacités de cybersécurité les plus avancées, un comportement plus permissif, ainsi que des vérifications renforcées, une surveillance, des contrôles ciblés et des revues. Dans les premiers travaux de Daybreak, GPT-5.5 et Codex Security ont aidé les défenseurs à identifier et valider des vulnérabilités dans des systèmes largement utilisés, notamment Firefox, V8, Safari, OpenBSD, FreeBSD et les implémentations de HTTP/2.

LE PROGRAMME OPENAI DAYBREAK CYBER PARTNER : RENDRE LES OUTILS ACCESSIBLES À TOUS

Dans le cadre de cette expansion, OpenAI lance le programme OpenAI Daybreak Cyber Partner avec des fournisseurs leaders de logiciels et services de sécurité. Grâce à ce programme, les partenaires participants peuvent utiliser GPT-5.5 avec Trusted Access for Cyber — le modèle principal pour la plupart des flux de travail défensifs en cybersécurité — dans les produits et services de sécurité qu’ils proposent à leurs clients. Cela permet à leurs clients de bénéficier des capacités défensives du modèle et de rendre leurs logiciels plus résilients, tout en gardant l’accès direct au modèle entre les mains des partenaires participants.

OpenAI collaborera également avec les partenaires du programme pour renforcer les garde-fous, la surveillance et les normes de prévention des abus nécessaires pour déployer ces capacités de manière responsable dans l’écosystème de la sécurité. Le déploiement commence avec un premier ensemble de partenaires et devrait s’étendre à davantage d’organisations dans les mois à venir.

PATCH THE PLANET : AIDER LES MAINTENANTEURS À PASSER DES VULNÉRABILITÉS AUX CORRECTIFS

Patch the Planet est une initiative conçue pour aider les mainteneurs à passer des vulnérabilités repérées aux correctifs appliqués. Fondée avec Trail of Bits, en collaboration avec HackerOne et Calif, cette initiative finance des chercheurs en sécurité experts et les équipe avec Codex Security et les modèles avancés d’OpenAI pour travailler directement avec les mainteneurs de logiciels open source.

Les logiciels open source alimentent des produits, des services publics, des outils de développement et des infrastructures critiques dans tous les secteurs. Une vulnérabilité dans une bibliothèque réseau largement utilisée peut affecter des milliers de systèmes en aval. Pourtant, beaucoup de ces projets sont portés par de petites équipes, souvent composées de moins de dix développeurs responsables de plus de 90 % du code ajouté en un an, selon une étude de la Linux Foundation et de Harvard. Avec l’IA capable de trouver et de corriger plus de vulnérabilités plus rapidement, la charge de travail des mainteneurs augmente : ils doivent trier des milliers de rapports, dont beaucoup sont de fausses alertes. Les mainteneurs ne devraient pas se retrouver avec plus de rapports sans capacité supplémentaire pour les corriger.

C’est pourquoi Patch the Planet repose sur un examen humain expert en sécurité. Chaque engagement commence par une consultation entre les chercheurs en sécurité d’OpenAI et les mainteneurs qu’ils aident. Ces derniers définissent leurs priorités, préférences et processus de divulgation établis. Les chercheurs en sécurité de Patch the Planet gèrent ensuite le travail de bout en bout : ils valident et dédupliquent les vulnérabilités et les correctifs avant qu’ils n’atteignent les mainteneurs, réduisant ainsi considérablement la charge de travail de ces derniers et accélérant la remédiation.

Les projets participants reçoivent ChatGPT Pro, un accès conditionnel à Codex Security et des crédits API pour le développement principal, l’automatisation des mainteneurs et les flux de travail de publication. Un premier sprint de cinq jours mené sur plusieurs projets a permis de repérer des centaines de problèmes à examiner, de fusionner des dizaines de correctifs (avec d’autres en cours), et de construire des flux de travail réutilisables de fuzzing, d’analyse de variantes, de tests différentiels et de tests basés sur des spécifications. Plus d’informations sont disponibles sur le blog de Trail of Bits.

RENFORCER LA CYBERSÉCURITÉ DES INFRASTRUCTURES CRITIQUES

OpenAI collabore également étroitement avec des gouvernements et des institutions du monde entier pour renforcer leurs capacités défensives en cybersécurité et protéger les infrastructures critiques. L’entreprise travaille en étroite collaboration avec le gouvernement américain et les agences fédérales pertinentes pour préparer l’arrivée de modèles d’IA de plus en plus capables en matière de cybersécurité. Au cours du dernier mois, OpenAI a déjà établi des partenariats Trusted Access for Cyber avec l’Australie, le Canada, la France, l’Allemagne, le Japon, la République de Corée et des institutions de l’UE comme ENISA. L’entreprise entretient également un partenariat de confiance croissant avec le gouvernement britannique dans les domaines de la cybersécurité, des tests et de l’évaluation, ainsi que dans d’autres domaines d’intérêt mutuel.

OpenAI prévoit de travailler directement avec les opérateurs éligibles d’infrastructures critiques, y compris les réseaux gouvernementaux, pour développer des garde-fous adaptés aux systèmes qu’ils exploitent. L’objectif de ces travaux est de rendre l’IA avancée plus utile aux défenseurs, tout en rendant plus difficile pour les acteurs malveillants de causer des dommages réels dans le monde.

L’entreprise collaborera également avec des clients entreprises et des partenaires de confiance pour intégrer un contexte plus large et des identifiants concernant les systèmes spécifiques qu’ils exploitent ou protègent. Cela permettra de renforcer les garde-fous en matière de cybersécurité et la capacité à prévenir les activités cyber nocives impliquant des services critiques.

UNE APPROCHE GLOBALE POUR UNE CYBERSÉCURITÉ PLUS SÛRE

Daybreak rassemble modèles, Codex Security, Patch the Planet, chercheurs experts, mainteneurs, partenaires de sécurité, opérateurs d’infrastructures critiques et contrôles d’accès de confiance pour aider les défenseurs humains à relever le défi. Les organisations des secteurs public et privé peuvent travailler avec OpenAI Daybreak pour identifier, valider et remédier aux vulnérabilités dans les logiciels qu’elles développent et sur lesquels elles s’appuient. Les développeurs et mainteneurs peuvent exécuter Codex Security sur leur propre code, examiner les résultats et aider à appliquer les correctifs. Les partenaires et praticiens de la sécurité peuvent utiliser les modèles de pointe d’OpenAI pour renforcer leurs outils défensifs et apporter rapidement ces capacités à un plus grand nombre d’organisations.