OpenAI s’allie à Trail of Bits pour aider les mainteneurs open source à corriger leurs failles. Un signal fort dans la course à l’IA de sécurité.
- OpenAI lance Patch the Planet
- Trail of Bits aidera les mainteneurs open source
- L’IA sert ici à corriger, pas exploiter
Le paradoxe est connu. Une large part du logiciel commercial repose sur des briques open source, mais ces briques restent souvent peu surveillées, fragmentées, et donc vulnérables. Quand une faille sort, tout l’écosystème prend le choc. Le précédent log4j l’a montré de façon brutale.
L’open source, socle critique et angle mort de la sécurité
Ce qu’annonce OpenAI n’est donc pas anecdotique. L’entreprise vise un point faible très concret, la sécurité de projets maintenus dans un cadre décentralisé, avec peu de temps et peu de moyens. Et vous le savez, un bug dans une dépendance largement utilisée ne reste jamais cantonné à son dépôt d’origine. Il remonte toute la chaîne logicielle.
C’est précisément ce terrain que cible Patch the Planet, nouvelle initiative dévoilée lundi. Le nom reprend au passage une allusion assez transparente à « Hack the Planet », la réplique culte du film Hackers sorti en 1995.
Patch the Planet, un tandem OpenAI et Trail of Bits
Dans les faits, OpenAI s’associe à Trail of Bits, société spécialisée en sécurité. Les équipes de Trail of Bits doivent travailler directement avec les mainteneurs de projets open source pour examiner les problèmes potentiels dans le code. Les outils de sécurité d’OpenAI, notamment Codex Security, serviront d’appui pendant ce processus.
L’idée est simple sur le papier. Des ingénieurs sécurité prennent en charge l’analyse initiale, aident à trier les sujets, puis accompagnent la correction. En gros, une forme de renfort opérationnel au chevet de projets qui n’ont pas toujours les ressources pour absorber un flux croissant de signalements.
Réduire la charge des mainteneurs, pas leur ajouter du travail
OpenAI explique que beaucoup de mainteneurs doivent déjà traiter plus de rapports, plus vite, sans moyens supplémentaires. L’entreprise dit avoir conçu Patch the Planet pour alléger cette pression. Les ingénieurs sécurité doivent donc revoir les découvertes avant qu’elles n’arrivent aux mainteneurs, préparer des correctifs, bâtir des tests et mettre en place des workflows réutilisables afin d’améliorer la sécurité au-delà des premiers patchs.
Dit autrement, les équipes de Trail of Bits joueraient un rôle de secours technique, à mi-chemin entre triage et remédiation.
Une réponse défensive dans la bataille des outils IA de sécurité
Ce lancement arrive dans un contexte tendu. Des outils comme Mythos, très médiatisé chez Anthropic, nourrissent les inquiétudes parce que l’IA peut désormais repérer automatiquement des bugs existants dans des bases de code, puis commencer à produire des exploits. L’automatisation de la cybercriminalité n’est pas nouvelle, mais ces outils peuvent clairement la rendre plus pratique.
OpenAI prend le problème à rebours en mobilisant l’IA pour défendre l’open source plutôt que pour faciliter l’attaque. Il y a là une lecture concurrentielle assez évidente vis-à-vis d’Anthropic. Mais il reste une zone floue, quand même, sur la durée du dispositif et sur sa capacité à changer d’échelle.