OpenAI Group PBC a étendu aujourd'hui son programme de cybersécurité Daybreak avec une nouvelle initiative de correctifs open source appelée Patch the Planet, un plugin Codex Security mis à jour, un programme de partenariat et la version complète de son modèle d'intelligence artificielle défensive le plus performant, GPT-5.5-Cyber.
Cette avancée marque un changement dans la façon dont OpenAI parle de l’IA et de la sécurité. La société affirme que ses modèles trouvent désormais les vulnérabilités plus rapidement que les défenseurs ne peuvent les corriger, laissant les équipes de sécurité enfouies dans les rapports. Le nouveau goulot d'étranglement, selon OpenAI, est celui des correctifs.
Patch the Planet est la pièce maîtresse. Fondée avec la société de sécurité Trail of Bits Inc. et en collaboration avec HackerOne Inc. et Calif, l'initiative finance des chercheurs experts et les équipe de Codex Security et des modèles OpenAI pour travailler directement avec les responsables de projets open source largement utilisés. Plus de 30 projets se sont engagés à y participer, parmi les premiers participants figurent cURL, le projet Go, Python, Sigstore et pyca/cryptography.
Le discours repose sur la faible étendue de l’open source. OpenAI a cité des recherches de la Linux Foundation et de Harvard, selon lesquelles 94 % des projets largement utilisés étudiés comptaient moins de 10 développeurs responsables de plus de 90 % du code ajouté en un an. Envoyez davantage de rapports de bogues générés par l'IA à des équipes aussi petites et le résultat est un retard plus important, et non une meilleure sécurité. Pour éviter cela, OpenAI a déclaré qu'un ingénieur en sécurité humaine examine chaque découverte de Patch the Planet avant qu'elle ne parvienne à un responsable.
Un sprint initial de cinq jours a révélé des centaines de problèmes et fusionné des dizaines de correctifs, a déclaré OpenAI, ainsi que des outils de fuzzing et de test réutilisables que les projets peuvent continuer à utiliser. Trail of Bits a déployé toute son organisation de recherche en sécurité et a travaillé sur 19 projets, selon OpenAI.
OpenAI a également divulgué les résultats du travail plus large de Daybreak. Ses modèles ont révélé une faille d'utilisation après libération vieille de 23 ans dans le noyau d'OpenBSD. Sur Dnsmasq, le Codex a signalé des modèles correspondant à quatre des six vulnérabilités Dnsmasq qui ont ensuite reçu des numéros CVE et ont été corrigées.
Les résultats du navigateur étaient plus nets. Dans Chrome, les chercheurs d'OpenAI ont signalé cinq bugs exploitables dans le moteur JavaScript V8. Les travaux de WebKit sur Safari ont donné lieu à plus de 10. Le cas de Firefox a eu un meilleur timing : Mozilla a corrigé une faille WebAssembly, trouvée avec GPT-5.5, deux jours seulement avant Pwn2Own Berlin. Cinq des six inscriptions Firefox enregistrées pour le concours se sont ensuite retirées.
La version complète de GPT-5.5-Cyber a également été mise en ligne, remplaçant un aperçu uniquement permissif. OpenAI évalue son score CyberGym à 85,6 %, contre 81,8 % pour le standard GPT-5.5. Le benchmark teste si un agent peut reproduire des vulnérabilités connues. L'accès reste limité aux défenseurs approuvés via le programme Trusted Access for Cyber de l'entreprise.
Pour compléter l'expansion, le programme Daybreak Cyber Partner. Il permet aux fournisseurs de sécurité et aux intégrateurs d'intégrer GPT-5.5 avec Trusted Access aux produits qu'ils vendent. Les partenaires de lancement incluent Accenture plc, Cisco Systems Inc., CrowdStrike Holdings Inc., IBM Corp., Okta Inc., Palo Alto Networks Inc. et Wiz Inc.
Le timing est remarquable. Rival Anthropic PBC a vu ses propres modèles cyber-capables mis de côté, laissant à OpenAI la possibilité de faire valoir sa cause. La société a déclaré qu'elle continuait de travailler avec le gouvernement américain sur les tests préalables au déploiement et avait signé des partenariats d'accès sécurisé avec l'Australie, le Canada, la France, l'Allemagne, le Japon, la Corée du Sud et les institutions de l'Union européenne au cours du mois dernier.
Codex Security a analysé plus de 30 millions de commits dans plus de 30 000 bases de code depuis le lancement de son aperçu de recherche en mars, a déclaré OpenAI, avec des évaluateurs humains marquant plus de 70 000 résultats comme corrigés.
