Vue de l'espace de la planète Terre éclairée par le soleil sur sa courbure supérieure, avec le logo violet de la marque OpenAI apposé dans le coin supérieur droit sur fond d'espace étoilé.

Faille de 23 ans déterrée, hackers en fuite : comment le commando cyber d’OpenAI nettoie le web

/ Développement Sécurité / 4 minutes de lecture
OpenAI passe à l’offensive cyber ! Avec l’opération « Patch the Planet », le créateur de ChatGPT déploie GPT-5.5-Cyber pour traquer et corriger les failles de l’open source. Une vulnérabilité de 23 ans a été déterrée dans OpenBSD et Firefox a dû être corrigé en urgence. On refait le match avec vous !

C’est une offensive d’une envergure technologique inédite qui vient de se propager sur les infrastructures logicielles du monde entier. OpenAI a dévoilé le lancement de Patch the Planet, une initiative massive adossée à sa nouvelle plateforme de cybersécurité baptisée « Daybreak ».

L’objectif ? Associer ses modèles d’intelligence artificielle les plus avancés à des experts humains pour détecter, valider et surtout corriger à grande échelle les vulnérabilités nichées dans les logiciels open source qui constituent l’épine dorsale d’Internet.

Développé en partenariat étroit avec la prestigieuse société de cybersécurité Trail of Bits, ainsi qu’avec les plateformes HackerOne et Calif, ce programme s’attaque au manque chronique de ressources financières et humaines qui paralyse la sécurisation du code libre.

Le tableau de chasse de GPT-5.5-Cyber : panique à Berlin

Les premiers résultats partagés par OpenAI et ses partenaires vont bien au-delà des simples corrections de routines et s’avèrent particulièrement spectaculaires :

  • Un fantôme de 23 ans dans OpenBSD : en analysant le noyau du système d’exploitation ultra-sécurisé OpenBSD, l’IA a identifié une faille de type use-after-free vieille de 23 ans cachée dans l’implémentation des sémaphores System V. Validée par les chercheurs, elle permettait à un utilisateur local non privilégié de s’emparer des droits root (administrateur total).

  • Le noyau Linux passé au scanner : inspectant plus de 30 millions de lignes de code, le modèle spécifique GPT-5.5-Cyber a généré automatiquement 8 preuves de concept (PoC) de fuite de pointeurs d’information et 24 exploits fonctionnels d’escalade locale de privilèges.

  • Firefox corrigé en urgence : lors des évaluations de sécurité, l’IA a déterré une vulnérabilité critique liée à WebAssembly (référencée sous le code CVE-2026-8390) au sein du navigateur de Mozilla. Le correctif a été déployé en urgence par les équipes de Firefox deux jours seulement avant la prestigieuse compétition de piratage Pwn2Own Berlin, poussant cinq des six participants inscrits sur l’épreuve Firefox à déclarer forfait.

  • Safari sous pression : en l’espace d’une seule semaine de travail ciblé sur le moteur WebKit d’Apple, plus de 10 vulnérabilités exploitables ont été identifiées et notifiées.

Éviter le spam de correctifs grâce au filtre humain

L’utilisation de l’intelligence artificielle en cybersécurité se heurte traditionnellement à un problème majeur : la génération massive de faux positifs. Les outils automatisés classiques ont tendance à inonder les mainteneurs de projets bénévoles sous des rapports d’anomalies peu fiables, augmentant leur charge de travail au lieu de la soulager.

Pour éviter cet écueil, Patch the Planet impose un flux de validation strict :

  1. Les ingénieurs de Trail of Bits exploitent les modèles de frontière d’OpenAI et l’outil spécialisé Codex Security pour auditer le code.

  2. Chaque vulnérabilité potentielle est obligatoirement examinée et reproduite manuellement par un chercheur humain avant la moindre notification.

  3. Les équipes travaillent ensuite main dans la main avec les créateurs du logiciel pour soumettre directement des pull requests (propositions de correctifs) et des suites de tests prêtes à l’emploi.

Dès sa première semaine de déploiement opérationnel, la méthode a prouvé son efficacité en couvrant 19 projets critiques (dont les piliers du web cURL, le projet Go, Python, Sigstore et aiohttp), débouchant sur la soumission de 51 rapports d’erreurs et la fusion de 37 correctifs de sécurité définitifs. Plus de 30 projets d’infrastructure ont déjà rejoint les rangs de l’organisation.

Un laboratoire de test généré en quelques heures

Au-delà de la simple découverte de failles isolées, l’utilisation conjointe de Codex et de GPT-5.5-Cyber permet de concevoir des environnements de défense réutilisables à une vitesse stupéfiante.

Les ingénieurs de Trail of Bits ont réussi à mettre sur pied un laboratoire de fuzzing complet (une technique de test consistant à injecter des données aléatoires pour faire planter un programme) couvrant des dizaines de points d’entrée et de plateformes en moins d’une journée de travail, une tâche qui nécessite habituellement plusieurs semaines d’ingénierie manuelle.

🦋 L’actualité de l’open source en français dans votre flux. Suivez Goodtech sur Bluesky (ou vos applications AT Protocol comme W Social et Mu) grâce à notre compte officiel. Suivez, partagez, abonnez-vous à @goodtech.info !

Must Read

1 réflexion sur “Faille de 23 ans déterrée, hackers en fuite : comment le commando cyber d’OpenAI nettoie le web”

Les commentaires sont fermés.

Retour en haut