OpenAI présente Aardvark, un agent IA de sécurité autonome qui détecte et résout les vulnérabilités du code, conçu pour aider les développeurs à prévenir les problèmes de sécurité

OpenAI a récemment présenté Aardvark, un agent IA de sécurité autonome qui détecte et résout les vulnérabilités du code. Les tests de performance montrent qu'Aardvark reconnaît 92 % des vulnérabilités connues et introduites de manière synthétique dans les référentiels de test. OpenAI a déjà découvert et signalé des dizaines de vulnérabilités dans des projets open source, dont dix ont reçu des numéros CVE.

Une étude de 2023, basée sur les résultats de plus de 1 700 audits de bases de code commerciales et propriétaires impliquées dans des opérations de fusion et d'acquisition, révèle que 84 % d'entre elles contiennent au moins une vulnérabilité open source connue. Selon le rapport, depuis 2019, les vulnérabilités à haut risque dans le secteur du commerce de détail et du commerce électronique ont bondi de 557 %. Le secteur de l'Internet des objets, dont 89 % du code total est open source, a connu une augmentation de 130 % des vulnérabilités à haut risque sur la même période. De même, les secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique ont connu une augmentation de 232 % des vulnérabilités à haut risque.

Face aux besoins de la cybersécurité, OpenAI a récemment présenté Aardvark, un agent IA de sécurité autonome qui détecte et résout les vulnérabilités du code. OpenAI est une entreprise américaine d'intelligence artificielle (IA) qui s'est donnée pour mission de développer et de promouvoir une intelligence artificielle générale « sûre et bénéfique à toute l'humanité ». L'entreprise est connue pour ses grands modèles de langage tels que GPT-5, la série de modèles de génération d'images DALL-E et le modèle de génération de vidéos Sora. Son lancement de ChatGPT en novembre 2022 a déclenché un intérêt mondial pour les agents conversationnels et l'IA générative.

Aardvark est désormais disponible en version bêta privée et est conçu pour aider les développeurs à prévenir les problèmes de sécurité. Les tests de performance montrent qu'Aardvark reconnaît 92 % des vulnérabilités connues et introduites de manière synthétique dans les référentiels de test. OpenAI a déjà découvert et signalé des dizaines de vulnérabilités dans des projets open source, dont dix ont reçu des numéros CVE.

OpenAI affirme qu'Aardvark détecte également les failles logiques, les corrections incomplètes et les problèmes de confidentialité. « Nos tests montrent qu'environ 1,2 % des commits introduisent des bogues, c'est-à-dire de petits changements qui peuvent avoir des conséquences disproportionnées », explique l'entreprise. L'outil fonctionne avec des plateformes telles que GitHub et les workflows existants. Cela devrait permettre aux développeurs de rester productifs tout en améliorant la sécurité.


Les vulnérabilités logicielles restent un problème grave. Des dizaines de milliers de nouvelles vulnérabilités sont découvertes chaque année, et les développeurs s'efforcent constamment de garder une longueur d'avance sur les pirates. Aardvark relève ce défi en tirant parti de la technologie GPT-5 et du raisonnement. L'outil analyse en permanence les référentiels de code afin d'identifier les problèmes avant qu'ils ne soient exploités. Selon OpenAI, contrairement aux outils d'analyse traditionnels, Aardvark adopte une approche plus humaine. Il analyse le code comme le ferait un chercheur en sécurité : en lisant le code, en effectuant des tests et en déployant des outils.

L'agent de sécurité passe par plusieurs phases. Tout d'abord, il crée un modèle de menace basé sur l'ensemble du référentiel. Il vérifie ensuite les nouveaux commits par rapport à ce modèle. À chaque nouveau projet connecté, Aardvark analyse la base de code existante. OpenAI explique dans son annonce que le système explique les vulnérabilités étape par étape à l'aide d'annotations. Après avoir identifié une vulnérabilité potentielle, Aardvark tente de l'exploiter dans un environnement sandbox. Cela permet de minimiser les faux positifs. Enfin, Aardvark génère un correctif grâce à l'intégration avec OpenAI Codex. Les développeurs disposent ainsi d'une solution prête à l'emploi.

OpenAI a également ajusté sa politique de divulgation. Au lieu de délais rigides, l'entreprise a opté pour une approche collaborative. « Nous prévoyons que des outils tels qu'Aardvark permettront de découvrir un nombre croissant de bogues et souhaitons collaborer de manière durable afin d'assurer une résilience à long terme », explique l'entreprise. La version bêta privée est désormais accessible à certains partenaires sélectionnés. OpenAI souhaite avant tout valider les performances d'Aardvark dans différents environnements.

Comment fonctionne Aardvark ?

Aardvark analyse en permanence les référentiels de code source afin d'identifier les vulnérabilités, d'évaluer leur exploitabilité, de hiérarchiser leur gravité et de proposer des correctifs ciblés.

Aardvark fonctionne en surveillant les commits et les modifications apportées aux bases de code, en identifiant les vulnérabilités, en déterminant comment elles pourraient être exploitées et en proposant des correctifs. Aardvark ne s'appuie pas sur les techniques traditionnelles d'analyse de programmes telles que le fuzzing ou l'analyse de la composition logicielle. Il utilise plutôt le raisonnement et l'utilisation d'outils basés sur le LLM pour comprendre le comportement du code et identifier les vulnérabilités. Aardvark recherche les bogues comme le ferait un chercheur en sécurité humain : en lisant le code, en l'analysant, en écrivant et en exécutant des tests, en utilisant des outils, etc.


Aardvark s'appuie sur un pipeline en plusieurs étapes pour identifier, expliquer et corriger les vulnérabilités :

• Analyse : il commence par analyser l'intégralité du référentiel afin de produire un modèle de menace reflétant sa compréhension des objectifs et de la conception de sécurité du projet.
• Analyse des commits : il recherche les vulnérabilités en inspectant les modifications au niveau des commits par rapport à l'ensemble du référentiel et au modèle de menace à mesure que du nouveau code est validé. Lorsqu'un référentiel est connecté pour la première fois, Aardvark analyse son historique afin d'identifier les problèmes existants. Aardvark explique les vulnérabilités qu'il trouve étape par étape, en annotant le code pour révision humaine.
• Validation : une fois qu'Aardvark a identifié une vulnérabilité potentielle, il tente de la déclencher dans un environnement isolé et sandboxé afin de confirmer son exploitabilité. Aardvark décrit les mesures prises pour garantir que les informations fournies aux utilisateurs sont précises, de haute qualité et présentent un faible taux de faux positifs.
• Correction : Aardvark s'intègre à OpenAI Codex pour aider à corriger les vulnérabilités qu'il détecte. Il joint à chaque découverte un correctif généré par Codex et analysé par Aardvark afin qu'il puisse être examiné par un humain et appliqué efficacement en un seul clic.

Aardvark travaille en collaboration avec des ingénieurs et s'intègre à GitHub, Codex et aux workflows existants afin de fournir des informations claires et exploitables sans ralentir le développement. Bien qu'Aardvark ait été conçu pour la sécurité, les tests ont montré qu'il pouvait également détecter des bogues tels que des failles logiques, des corrections incomplètes et des problèmes de...