IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

OpenAI étend Daybreak avec Codex Security et GPT-5.5-Cyber, qui surpasse Mythos 5 d'Anthropic grâce à une automatisation complète de la détection des vulnérabilités et de l'application des correctifs

Le , par Alex

287PARTAGES

4  0 
OpenAI étend Daybreak avec Codex Security et GPT-5.5-Cyber, qui surpasse Mythos 5 d’Anthropic grâce à une automatisation complète de la détection des vulnérabilités et de l’application des correctifs

OpenAI a dévoilé la version complète de son modèle d’IA dédié à la cybersécurité, le GPT-5.5-Cyber. Ce modèle s’inscrit dans le cadre du programme de cyberdéfense de l’entreprise, « Daybreak », et s’adresse explicitement non pas au grand public, mais à des professionnels de la sécurité certifiés. C’est la comparaison avec son concurrent direct qui fait sensation. Au classement CyberGym, le nouveau modèle d’OpenAI arrive en tête avec 85,6 %, devant Mythos 5 d’Anthropic, qui affiche 83,8 %. En outre, OpenAI annonce une mise à jour du plugin Codex Security pour accélérer le processus de découverte et de correction des vulnérabilités dans les systèmes existants ainsi que d’empêcher automatiquement les nouvelles vulnérabilités d’atteindre la production.

OpenAI est un organisme américain de recherche en intelligence artificielle (IA) dont le siège social est situé à San Francisco. Il est constitué d’OpenAI Group PBC, une société d’intérêt public à but lucratif (PBC), contrôlée en partie par OpenAI Foundation, une organisation à but non lucratif. OpenAI a développé la famille de grands modèles de langage « Generative Pre-trained Transformer » (GPT), la série DALL-E de modèles de conversion texte-image et la série Sora de modèles de conversion texte-vidéo, qui ont influencé la recherche dans le secteur et les applications commerciales. Le lancement de ChatGPT en novembre 2022 est considéré comme ayant catalysé l’essor de l’IA et suscité un intérêt généralisé pour l’IA générative.

En mai 2026, OpenAI a lancé Daybreak, une plateforme de cybersécurité qui utilise les modèles d'intelligence artificielle (IA) GPT-5.5 et l'agent Codex Security pour détecter et corriger les vulnérabilités logicielles avant qu'elles ne soient exploitées. La plateforme vise à intégrer la sécurité dès la conception d'un logiciel, à accélérer l'analyse et à proposer des mesures correctives prêtes pour l'audit, ce qui place OpenAI en concurrence directe avec le projet Glasswing d'Anthropic. De grandes entreprises, telles que Cisco, Cloudflare, Oracle et CrowdStrike, utilisent déjà Daybreak, même si l'accès à la plateforme reste limité.

Récemment, OpenAI a dévoilé la version complète de son modèle d’IA dédié à la cybersécurité, le GPT-5.5-Cyber. Ce modèle s’inscrit dans le cadre du programme de cyberdéfense de l’entreprise, « Daybreak », et s’adresse explicitement non pas au grand public, mais à des professionnels de la sécurité certifiés. Alors que les modèles phares concurrents d’Anthropic, Mythos 5 et Fable 5, sont actuellement hors ligne sur ordre du gouvernement américain, le nouveau modèle d’OpenAI continue de fonctionner sous des contrôles d’accès coordonnés avec le gouvernement. Les experts ont déjà souligné que GPT-5.5 pourrait être plus performant – et donc, du point de vue de la cybersécurité, également plus dangereux – que Claude Mythos.

GPT-5.5-Cyber est destiné à aider les équipes de sécurité à détecter et à corriger plus rapidement les vulnérabilités logicielles. Selon OpenAI, le goulot d’étranglement en matière de cyberdéfense est en train de se déplacer : le principal problème n’est plus de trouver les vulnérabilités, mais bien de les corriger. Le modèle est conçu pour analyser de vastes bases de code, déterminer si le code vulnérable est accessible, valider les vulnérabilités dans des environnements contrôlés, ainsi que développer et tester des correctifs – les humains restant le dernier maillon de contrôle.

Sur CyberGym, un benchmark développé à l’université de Berkeley qui teste la capacité des agents IA à reproduire des vulnérabilités connues dans des environnements logiciels, le nouveau modèle atteint 85,6 % selon OpenAI. À titre de comparaison, l’entreprise cite un score de 81,8 % pour le modèle standard GPT-5.5 – de son propre aveu, le score CyberGym le plus élevé qu’OpenAI ait mesuré à ce jour pour un modèle unique. Sur deux autres benchmarks, l’entreprise fait état de progrès : 39,5 % (contre 25,95 % pour le GPT-5.5) sur ExploitGym, qui teste la capacité des agents à transformer des vulnérabilités connues en exploits fonctionnels, et 69,8 % (contre 63,1 %) sur SEC-bench Pro.

C’est la comparaison avec son concurrent direct qui fait sensation. Au classement CyberGym, le nouveau modèle d’OpenAI arrive en tête avec 85,6 %, devant Mythos 5 d’Anthropic, qui affiche 83,8 %. Le modèle d’Anthropic le plus largement disponible, Claude Opus 4.7, atteint 73,1 %. Un écart de moins de deux points de pourcentage ne serait guère remarquable en soi.

Le contexte est toutefois le suivant : Mythos 5 et Fable 5 ont été mis hors service le 12 juin à la suite d’une directive d’urgence en matière de contrôle des exportations émise par l’administration Trump, justifiée par des raisons de sécurité nationale. Selon certaines informations, le déclencheur aurait été un « jailbreak », une technique permettant de contourner les restrictions de sécurité intégrées à un modèle. Comme Anthropic ne disposait d’aucun moyen fiable de vérifier à grande échelle la nationalité de ses utilisateurs, l’entreprise a désactivé les deux modèles dans le monde entier pour tous les utilisateurs. Au 23 juin, Fable 5 et Mythos 5 restaient hors ligne, sans date officielle de remise en service communiquée par Anthropic ou le ministère américain du Commerce.

OpenAI adopte une approche d’accès tout aussi restrictive pour le lancement de son produit, mais l’a coordonnée au préalable avec le gouvernement américain. GPT-5.5-Cyber n’est accessible qu’aux professionnels de la sécurité ayant fait l’objet d’une vérification préalable ; avant le lancement, OpenAI indique avoir mené des tests avec des agences fédérales, notamment le Centre pour les normes et l’innovation en matière d’IA (CAISI) et le Bureau du directeur national de la cybersécurité (ONCD). Pour la plupart des défenseurs, cependant, GPT-5.5, associé à « Trusted Access for Cyber » et à l’outil Codex Security, constitue le point de départ approprié ; la variante Cyber s’adresse à ceux dont les missions autorisées nécessitent les capacités les plus avancées et un comportement du modèle « plus permissif ».


Voici l'annonce d'OpenAI :

Daybreak: Outils pour sécuriser toutes les organisations dans le monde

Nous élargissons Daybreak ⁠ pour aider à démocratiser le patching de logiciels vulnérables à la vitesse de la machine. Par exemple, nous avons appliqué nos modèles pour découvrir et générer des correctifs pour les vulnérabilités critiques ⁠ dans les principaux navigateurs, l’infrastructure réseau et les systèmes d’exploitation tels que FreeBSD et le noyau Linux. Pour mettre à l'échelle l'impact de ces capacités:

- Codex Security: Nous lançons une mise à jour du plugin Codex Security ⁠, qui implémente ce que nous avons appris de l’utilisation interne et client de nos modèles dans une solution pour accélérer le processus de découverte et de correction des vulnérabilités dans les systèmes existants ainsi que d’empêcher automatiquement les nouvelles vulnérabilités d’atteindre la production.

- GPT‐5.5‐Cyber: Après un premier aperçu permissif, nous lançons la version complète de GPT‐5.5‐Cyber grâce à notre version limitée continue aux défenseurs de confiance. Ce modèle établit de nouvelles performances de pointe sur CyberGym, atteignant 85,6% contre 81,8% pour GPT‐5,5.

- Daybreak Cyber Partner Program ⁠ : Permettre aux partenaires de sécurité d’étendre les avantages à un plus grand nombre d’organisations grâce à nos modèles les plus compétents avec un accès fiable à leurs produits et services.

- « Patch the Planet » ⁠: une initiative fondée avec Trail of Bits en collaboration avec HackerOne, Calif, des chercheurs et des responsables de maintenance pour aider les projets open source largement utilisés à passer des résultats aux correctifs.

Plus de 30 projets open source se sont engagés à participer, avec des participants initiaux, y compris cURL, Go, Python, Sigstore et pyca/cryptographie.

Avec Patch the Planet, nous travaillons avec des chercheurs, des mainteneurs, des entreprises et des partenaires pour mettre à la disposition des défenseurs un accès, une gouvernance et une surveillance humaine puissants aux défenseurs. Écoutez Clint et Dan à ce sujet ici⁠(ouvre dans une nouvelle fenêtre).

La cyberdéfense à un point d’inflexion

L’IA a changé la physique de la cybersécurité. Les modèles d'IA Frontière accélèrent de plus en plus la découverte de vulnérabilité. Le goulot d'étranglement a historiquement été de trouver des vulnérabilités, mais maintenant les défenseurs sont submergés par le nombre de vulnérabilités trouvées. Au lieu de cela, le goulot d'étranglement corrige maintenant les vulnérabilités.

Pendant des années, trouver de graves vulnérabilités nécessitait une expertise rare, du temps et une connaissance approfondie des systèmes complexes. Maintenant, les modèles peuvent naviguer dans de grandes bases de code, raisonner à travers des chemins d'attaque, valider des hypothèses et des problèmes de sécurité de surface qui pourraient autrement rester cachés. Les défenseurs ont absolument besoin d'accéder à ces capacités, et ont également besoin d'outils pour réparer ce que nous pouvons maintenant trouver, avant que les attaquants ne le fassent.

Les rapports de vulnérabilité, seuls, ne protègent personne. La valeur vient de la validation du problème, de la compréhension de son impact, du développement et de la mise à l'essai d'un correctif, de la coordination de la divulgation et de l'aide aux équipes de déployer le correctif. Nous investissons aux côtés de nos partenaires pour améliorer ces dernières étapes, afin de turbocompresser les défenseurs et de convertir la capacité du modèle en réduction des risques réels.

Les capacités défensives des frontières ne doivent pas être concentrées entre les mains de quelques-uns. Le logiciel touche tous les aspects de la vie, de l'infrastructure critique aux applications commerciales et aux réseaux gouvernementaux. Alors que l’IA change le rythme de la découverte de la vulnérabilité, les défenseurs du monde entier ont besoin d’un accès démocratisé à ces modèles pour trouver, réparer et protéger leur infrastructure avant que les attaquants puissent identifier et abuser de ces failles.

Daybreak rassemble les modèles de cyber-capacités de pointe OpenAI, l’accès fiable pour les cyber, les flux de travail Codex Security et les partenaires écosystémiques pour aider les défenseurs approuvés à valider les vulnérabilités, à prioriser les risques, à générer et à tester des correctifs et à produire des preuves dans les flux de travail de sécurité et de développement existants. Notre objectif est de fournir aux organisations les outils dont elles ont besoin pour rester en sécurité, alors même que le paysage de la cybermenace continue de s’accélérer.

Des résultats aux correctifs avec Codex Security

Depuis le lancement du cloud Codex Security en avant-première de recherche en mars, il a analysé plus de 30 millions de commits sur plus de 30.000 bases de code; les évaluateurs humains ont marqué manuellement plus de 70.000 résultats comme corrigés, et plus de 500.000 résultats ont été automatiquement déterminés à être corrigés.

C'est l'échelle à laquelle le patching doit maintenant se produire.


Nous avons construit Codex Security autour d'une prémisse simple: mettre l'équivalent d'un ingénieur de sécurité à côté de chaque développeur de logiciel en intégrant directement dans Codex. Plutôt que de simplement générer des alertes, Codex Security comprendra le code de votre équipe et son modèle de menace (ou en générera une si elle n’existe pas), identifiera les vulnérabilités plausibles, déterminera si le code affecté est accessible, recueillera des preuves pour fournir des étapes de validation, développera un correctif ciblé et vérifiera le résultat. Les humains gardent le contrôle des résultats à étudier, des changements à appliquer et des informations à partager.

Aujourd’hui, nous publions une mise à jour du plugin Codex Security ⁠ qui permet des flux de travail de sécurité défensive prêts à l’emploi. Les développeurs peuvent effectuer des analyses approfondies ou examiner des changements récents, générer des rapports avec la gravité, les emplacements de code affectés, les preuves de validation et les conseils de remédiation, tracer les chemins d'attaque, construire des modèles de menace, valider les résultats et générer des correctifs spécifiques au code pour l'examen.


Le plugin ⁠ peut également trier et valider les résultats existants à partir de scanners, d'avis, de rapports de bonus ou de systèmes de billetterie, puis automatiser la génération de correctifs à grande échelle pour fermer rapidement un arriéré de vulnérabilités. Lorsque Codex Security termine une analyse, il peut également exporter vers un système de gestion des vulnérabilités existant ou s'intégrer dans des outils avec des fichiers SARIF, des requêtes CodeQL, et plus encore. Le plugin rend ces capacités beaucoup plus accessibles pour prendre en charge les pipelines automatisés avec Codex CLI ou intégrer dans les workflows des développeurs dans l'application Codex.

Mise à jour de GPT‐5.5‐Cyber: capacité d'appariement avec permissivité

Nous publions une mise à jour de GPT‐5.5‐Cyber, notre modèle à la fois plus permissif et plus capable pour un travail de cybersécurité avancé et autorisé.

Notre aperçu initial de GPT‐5.5‐Cyber a été conçu principalement pour réduire les refus inutiles dans les flux de travail spécialisés. Cette mise à jour va plus loin. C’est notre modèle le plus solide à ce jour pour trouver et aider les vulnérabilités logicielles de correctif, tout en conservant l’intelligence générale et la capacité de GPT‐5.5 à travailler à travers de longues tâches complexes.

Le modèle peut maintenir une analyse plus approfondie à travers de grandes bases de code: identifier les composants pertinents pour la sécurité, tracer si le code vulnérable est accessible, valider les problèmes probables dans les environnements contrôlés, développer et tester des correctifs, et préparer des preuves pour l'examen humain. L’objectif est d’aider les défenseurs à passer à travers la boucle complète de la réparation, et pas simplement produire plus de résultats.

Sur CyberGym, qui mesure si un agent peut reproduire les vulnérabilités connues dans les environnements logiciels, le GPT‐5.5‐Cyber mis à jour a atteint 85,6% dans les évaluations monomodèles, contre 81,8% pour GPT‐5.5. C'est le score CyberGym le plus élevé que nous ayons mesuré à partir d'un seul modèle.


GPT‐5.5‐Cyber a également surperformé GPT‐5.5 sur deux repères de sécurité exigeants dans le monde réel: 39,5% contre 25,95% sur ExploitGym, qui teste si les agents peuvent transformer les vulnérabilités connues en exploits de travail qui permettent l'exécution de code non autorisé. Sur SEC-bench Pro, qui évalue la découverte de vulnérabilité à long horizon et la génération de preuves de concept à travers des objectifs logiciels complexes, GPT‐5.5‐Cyber a atteint 69,8%, contre 63,1% pour GPT‐5,5.


Les repères ne sont qu'une partie de l'histoire. Ce qui compte dans la pratique, c’est de savoir si un modèle peut trouver de véritables vulnérabilités, distinguer les problèmes exploitables du bruit et aider les défenseurs à réparer les solutions en toute sécurité. Nous continuons d’évaluer la performance du modèle sur les dépôts complexes et les flux de travail de remédiation réels, comme le concluent les divulgations coordonnées.

Nous avons eu un dialogue continu avec le gouvernement américain au sujet de notre approche cybernétique, y compris les annonces d’aujourd’hui et sur notre préparation aux prochaines versions de modèles. Cela inclut la collaboration continue avec le Centre pour les normes et l'innovation de l'IA (CAISI) sur les tests préalables au déploiement pour GPT‐5.5 et 5.5-Cyber, et travailler avec le Bureau du directeur national de la cybersécurité (ONCD) et l'Office of Science and Technology Policy (OSTP) sur la mise en œuvre du récent Décret exécutif⁠(ouvre dans une nouvelle fenêtre) et les normes de l'industrie associées.

Pour la plupart des défenseurs, GPT‐5.5 avec Trusted Access for Cyber et Codex Security reste le bon point de départ. GPT‐5.5‐Cyber est destiné aux défenseurs vérifiés dont le travail autorisé nécessite nos capacités cybernétiques les plus avancées et un comportement plus permissif, associé à une vérification, une surveillance, des contrôles et un examen plus stricts. À travers les travaux Early Daybreak, GPT‐5.5 et Codex Security ont aidé les défenseurs à identifier et à valider les vulnérabilités dans les systèmes largement utilisés, y compris Firefox, V8, Safari, OpenBSD, FreeBSD et HTTP/2 ⁠ implémentations.

Travailler avec l’écosystème de la sécurité

Dans le cadre de cette expansion, nous lançons également le programme OpenAI Daybreak Cyber Partner ⁠ avec les principaux fournisseurs de logiciels et de services de sécurité. Grâce au programme, les partenaires participants peuvent utiliser GPT‐5.5 avec Trusted Access for Cyber – notre modèle principal pour la plupart des flux de travail défensifs en matière de cybersécurité – dans les produits et services de sécurité qu’ils fournissent aux clients. Cela permet à leurs clients de bénéficier des capacités défensives du modèle et de rendre leur logiciel plus résilient, mais garde l’accès direct au modèle entre les mains des partenaires participants.


Nous collaborerons également avec les partenaires du programme pour continuer de renforcer les normes de protection, de surveillance et de prévention des abus nécessaires pour déployer ces capacités de manière responsable dans l'ensemble de l'écosystème de sécurité. Nous la déployons avec un premier ensemble de partenaires ⁠ et prévoyons de continuer à s'étendre à un plus grand nombre d'organisations dans les mois à venir.

Patch the Planet: corrections d'atterrissage en open-source

Patch the Planet est une initiative conçue pour aider les mainteneurs à passer des résultats aux correctifs. Fondé avec Trail of Bits, et en collaboration avec HackerOne et Calif, nous finançons des chercheurs en sécurité experts et les équipons de Codex Security et de nos modèles avancés pour travailler directement avec les mainteneurs open source.

Les logiciels open source alimentent les produits, les services publics, les outils de développement et les infrastructures critiques dans tous les secteurs. Une vulnérabilité dans une bibliothèque de réseau largement utilisée peut affecter des milliers de systèmes en aval. Pourtant, bon nombre de ces projets sont soutenus par de très petites équipes avec un temps et un financement limités. Recherche de la Linux Foundation et Harvard⁠(ouvre dans une nouvelle fenêtre) a constaté que 94% des projets largement utilisés qu'elle a étudiés avaient moins de dix développeurs responsables de plus de 90% du code ajouté en un an.

Comme l’IA permet de trouver et de corriger plus de vulnérabilités plus rapidement, elle crée également plus de travail pour les mainteneurs, qui doivent passer au crible des milliers de rapports, dont beaucoup sont de faux positifs de mauvaise qualité. Les appareils d'entretien ne devraient pas être laissés avec plus de rapports et aucune capacité supplémentaire pour les réparer. C’est pourquoi Patch the Planet est construit autour d’un examen expert de la sécurité humaine.

Chaque engagement commence par une consultation entre nos chercheurs en sécurité et les responsables qu’ils aident. Les mainteneurs définissent leurs priorités, leurs préférences et leurs processus de divulgation établis. Parcheminer les chercheurs en sécurité de la Planète, puis gérer le travail de bout en bout en validant et en dédupliquant à la fois les vulnérabilités et les correctifs avant qu’ils n’atteignent les mainteneurs, réduisant considérablement le fardeau des mainteneurs et accélérant la remise en état.

Les projets participants reçoivent ChatGPT Pro, un accès conditionnel à Codex Security et des crédits API pour le développement de base, l'automatisation du maintien et la publication de flux de travail.

Le sprint initial de cinq jours sur plusieurs projets a fait surface à des centaines de problèmes pour examen, a fusionné des dizaines de patchs avec plus de processus en cours et a construit des flux de travail de test réutilisables, d'analyse de variantes, de tests différentiels et de tests basés sur des spécifications. Vous pouvez en lire plus sur le blog Trail of Bits ici⁠;

Trouver des vulnérabilités est important, mais c’est atterrir le correctif qui protège le monde, et cela nécessite une collaboration et un soutien communautaire.

Protection des infrastructures critiques et des systèmes sensibles

Nous collaborons également étroitement avec les gouvernements et les institutions du monde entier pour améliorer leurs capacités défensives en matière de cybersécurité et protéger les infrastructures essentielles. Nous avons travaillé en étroite collaboration avec le gouvernement américain et les agences fédérales compétentes alors que nous nous préparons à des modèles d’IA de plus en plus cyber-capables. Au cours du dernier mois, nous avons déjà établi des partenariats d’accès fiable pour Cyber avec l’Australie, le Canada, la France, l’Allemagne, le Japon, la République de Corée et des institutions de l’UE comme l’ENISA. Nous avons également un partenariat croissant et de confiance avec le gouvernement britannique autour de la cyber, des tests et de l'évaluation, et d'autres domaines d'intérêt mutuel.

Nous prévoyons de travailler directement avec les exploitants admissibles d’infrastructures essentielles, y compris les réseaux gouvernementaux, pour élaborer des mesures de protection adaptées aux systèmes qu’ils exploitent. L’objectif de ce travail est de rendre l’IA avancée plus utile aux défenseurs, tout en rendant plus difficile pour les acteurs malveillants de causer des dommages réels.

Nous travaillerons également avec des clients d’entreprise et des partenaires de confiance pour intégrer un contexte plus large et des identifiants sur les systèmes spécifiques qu’ils exploitent ou protègent, renforçant ainsi nos garanties de cybersécurité et notre capacité à prévenir les cyberactivités nuisibles impliquant des services critiques.

Ce qui vient ensuite

Daybreak rassemble des modèles, Codex Security, Patch the Planet, des chercheurs experts, des responsables de la maintenance, des partenaires de sécurité, des opérateurs d’infrastructures critiques et des contrôles d’accès de confiance pour aider les défenseurs humains à relever le défi.

Les organisations des secteurs public et privé peuvent travailler avec OpenAI Daybreak pour identifier, valider et remédier aux vulnérabilités à travers le logiciel sur lequel elles construisent et sur lesquelles elles comptent. Les développeurs et les mainteneurs peuvent exécuter Codex Security ⁠ sur le code qu'ils possèdent, examiner les résultats et aider les correctifs fonciers. Les partenaires et les praticiens de la sécurité peuvent utiliser nos modèles frontaliers pour renforcer leurs outils défensifs et apporter ces capacités à plus d’organisations rapidement.

L’objectif est d’aller au-delà de l’utilisation de modèles pour trouver plus de vulnérabilités, vers un monde de logiciels plus sûrs et de cyber-résilience.

Source : Annonce d'OpenAI

Et vous ?

Pensez-vous que cette annonce est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

GPT-5.5 d'OpenAI rivalise avec Claude Mythos d'Anthropic en matière de capacités de cyberattaque : la cybermenace représentée par Mythos ne serait pas une avancée propre à un seul modèle

Anthropic a brusquement désactivé ses modèles IA les plus avancés, Mythos 5 et Fable 5, pour tous les utilisateurs après que le gouvernement américain lui a ordonné de suspendre l'accès aux étrangers

Un pirate peu expérimenté se sert d'agents IA Claude et Codex pour s'introduire dans 14 entreprises. Ce cas illustre à nouveau le dilemme du double usage et les risques de cybersécurité liés aux agents IA
Vous avez lu gratuitement 5 346 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.

Une erreur dans cette actualité ? Signalez-nous-la !