OpenAI annonce aujourd’hui Aardvark, un chercheur en sécurité autonome alimenté par GPT-5, conçu pour renforcer la défense logicielle à grande échelle. Face à la croissance exponentielle des vulnérabilités — plus de 40 000 CVEs recensés en 2024 — les équipes de sécurité peinent à identifier et corriger les failles avant qu’elles ne soient exploitées. Aardvark marque une avancée majeure en intégrant une intelligence artificielle agente capable de repérer, analyser et proposer des correctifs pour des failles de sécurité, non pas par des méthodes traditionnelles comme le fuzzing ou l’analyse de composants logiciels, mais grâce à un raisonnement fondé sur des modèles linguistiques (LLM) et l’utilisation d’outils. Aardvark surveille en continu les dépôts de code, analyse les modifications, évalue la faisabilité d’exploitation, priorise la gravité des vulnérabilités et propose des correctifs ciblés. Il agit comme un chercheur humain : il lit le code, écrit et exécute des tests, utilise des outils d’analyse et raisonne sur les comportements possibles. Grâce à un pipeline en plusieurs étapes, il identifie des failles complexes, y compris des erreurs de logique, des correctifs incomplets ou des failles de confidentialité, souvent passées inaperçues. Intégré à des outils comme GitHub et Codex, Aardvark s’insère dans les flux de développement existants sans ralentir l’innovation. Depuis plusieurs mois, il opère en continu sur les dépôts internes d’OpenAI et sur des projets pilotes externes. Il a permis de détecter des vulnérabilités significatives, y compris dans des conditions d’exploitation très complexes. Dans des tests sur des dépôts « d’or » (contenant des failles connues ou synthétiques), Aardvark a identifié 92 % des vulnérabilités, démontrant une très bonne couverture. Il a également contribué à la découverte de dizaines de failles dans des projets open source, dont dix ont reçu un identifiant CVE et ont été divulguées de manière responsable. Dans une démarche de contribution au bien commun, OpenAI s’engage à offrir des analyses gratuites à certains projets open source non commerciaux, afin de renforcer la sécurité de l’écosystème logiciel. La société a également mis à jour sa politique de divulgation coordonnée, en adoptant une approche collaborative et flexible, centrée sur le soutien aux développeurs plutôt que sur des délais rigides. Aardvark incarne un modèle défensif du futur : une sécurité intégrée au cycle de développement, capable de détecter les failles précocement, de valider leur exploitabilité réelle et de proposer des corrections claires. Il vise à équilibrer sécurité et innovation. OpenAI lance une phase de bêta privée pour tester Aardvark dans divers environnements. Les partenaires sélectionnés collaboreront directement avec l’équipe pour affiner la précision des détections, les workflows de validation et l’expérience utilisateur. La sécurité logicielle est désormais un enjeu systémique pour les entreprises, les infrastructures critiques et la société. Avec Aardvark, OpenAI s’inscrit dans une vision où l’IA n’est pas un risque, mais un allié essentiel de la cybersécurité, en élargissant l’accès à des expertises de pointe. L’objectif est de rendre la sécurité plus accessible, proactive et durable. Des organisations et projets open source intéressés peuvent postuler pour participer à la bêta privée.