OpenAI a récemment présenté Aardvark, un agent IA de sécurité autonome qui détecte et résout les vulnérabilités du code. Les tests de performance montrent qu'Aardvark reconnaît 92 % des vulnérabilités connues et introduites de manière synthétique dans les référentiels de test. OpenAI a déjà découvert et signalé des dizaines de vulnérabilités dans des projets open source, dont dix ont reçu des numéros CVE.Une étude de 2023, basée sur les résultats de plus de 1 700 audits de bases de code commerciales et propriétaires impliquées dans des opérations de fusion et d'acquisition, révèle que 84 % d'entre elles contiennent au moins une vulnérabilité open source connue. Selon le rapport, depuis 2019, les vulnérabilités à haut risque dans le secteur du commerce de détail et du commerce électronique ont bondi de 557 %. Le secteur de l'Internet des objets, dont 89 % du code total est open source, a connu une augmentation de 130 % des vulnérabilités à haut risque sur la même période. De même, les secteurs de l'aérospatiale, de l'aviation, de l'automobile, du transport et de la logistique ont connu une augmentation de 232 % des vulnérabilités à haut risque.
Face aux besoins de la cybersécurité, OpenAI a récemment présenté Aardvark, un agent IA de sécurité autonome qui détecte et résout les vulnérabilités du code. OpenAI est une entreprise américaine d'intelligence artificielle (IA) qui s'est donnée pour mission de développer et de promouvoir une intelligence artificielle générale « sûre et bénéfique à toute l'humanité ». L'entreprise est connue pour ses grands modèles de langage tels que GPT-5, la série de modèles de génération d'images DALL-E et le modèle de génération de vidéos Sora. Son lancement de ChatGPT en novembre 2022 a déclenché un intérêt mondial pour les agents conversationnels et l'IA générative.
Aardvark est désormais disponible en version bêta privée et est conçu pour aider les développeurs à prévenir les problèmes de sécurité. Les tests de performance montrent qu'Aardvark reconnaît 92 % des vulnérabilités connues et introduites de manière synthétique dans les référentiels de test. OpenAI a déjà découvert et signalé des dizaines de vulnérabilités dans des projets open source, dont dix ont reçu des numéros CVE.
OpenAI affirme qu'Aardvark détecte également les failles logiques, les corrections incomplètes et les problèmes de confidentialité. « Nos tests montrent qu'environ 1,2 % des commits introduisent des bogues, c'est-à-dire de petits changements qui peuvent avoir des conséquences disproportionnées », explique l'entreprise. L'outil fonctionne avec des plateformes telles que GitHub et les workflows existants. Cela devrait permettre aux développeurs de rester productifs tout en améliorant la sécurité.
Les vulnérabilités logicielles restent un problème grave. Des dizaines de milliers de nouvelles vulnérabilités sont découvertes chaque année, et les développeurs s'efforcent constamment de garder une longueur d'avance sur les pirates. Aardvark relève ce défi en tirant parti de la technologie GPT-5 et du raisonnement. L'outil analyse en permanence les référentiels de code afin d'identifier les problèmes avant qu'ils ne soient exploités. Selon OpenAI, contrairement aux outils d'analyse traditionnels, Aardvark adopte une approche plus humaine. Il analyse le code comme le ferait un chercheur en sécurité : en lisant le code, en effectuant des tests et en déployant des outils.
L'agent de sécurité passe par plusieurs phases. Tout d'abord, il crée un modèle de menace basé sur l'ensemble du référentiel. Il vérifie ensuite les nouveaux commits par rapport à ce modèle. À chaque nouveau projet connecté, Aardvark analyse la base de code existante. OpenAI explique dans son annonce que le système explique les vulnérabilités étape par étape à l'aide d'annotations. Après avoir identifié une vulnérabilité potentielle, Aardvark tente de l'exploiter dans un environnement sandbox. Cela permet de minimiser les faux positifs. Enfin, Aardvark génère un correctif grâce à l'intégration avec OpenAI Codex. Les développeurs disposent ainsi d'une solution prête à l'emploi.
OpenAI a également ajusté sa...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.