OpenAI lance Patch the Planet : au cours de la première semaine, des centaines de failles ont été détectées et corrigées sur 19 projets open source

Le 23 juin, OpenAI a annoncé le plan « Patch the Planet », qui prévoit des analyses de sécurité systématiques à l’échelle mondiale des principaux projets open source. D’après l’annonce d’OpenAI, au cours de la première semaine, le plan a permis de découvrir plusieurs centaines de failles de sécurité, de soumettre 64 pull requests et d’ouvrir 51 issues, couvrant 19 projets open source dont cURL, Python et PyPI.

Partenaires, outils IA et ressources pour les participants de Patch the Planet

（Source : site web d’OpenAI）

D’après l’annonce d’OpenAI, les partenaires du programme sont Trail of Bits (société de cybersécurité), HackerOne (plateforme de récompenses pour les failles) et Calif ; les deux outils IA fournis sont Codex Security et GPT-5.5-Cyber.

Les ressources pour les participants comprennent : l’accès à ChatGPT Pro ; l’accès conditionnel à Codex Security ; des crédits d’API ; ainsi que des infrastructures de sécurité (fuzzing harnesses〔cadres de test qui permettent d’alimenter automatiquement le programme avec des entrées aléatoires afin de faire émerger des bugs cachés〕, un pipeline d’analyse de CVE historique, un système de tests différentiels, des modèles de menace et des kits de tests extensibles).

Les 19 premiers projets open source visés et les résultats quantifiés de la première semaine

D’après l’annonce d’OpenAI, les 19 projets open source couverts dans un premier temps incluent : cURL, Python, PyPI, urllib3, aiohttp, Go project, freenginx, NATS, pyca, Sigstore, SimpleX, Valkey, RustCrypto et python.org, etc.

Résultats quantifiés de la première semaine (source : annonce d’OpenAI) : plusieurs centaines de failles de sécurité découvertes ; 64 pull requests soumises ; 51 issues ouvertes. Les résultats ci-dessus correspondent à l’ensemble cumulé de ces 19 projets ; la répartition des failles par projet individuel n’est pas divulguée dans l’annonce disponible à ce stade.

Le dilemme de la cybersécurité open source et le contexte historique de log4j

Événement de faille log4j (décembre 2021) : Apache log4j est un outil de journalisation largement utilisé dans l’écosystème Java ; sa faille de sécurité a été qualifiée par la CISA (agence américaine de cybersécurité et de sécurité des infrastructures) de « l’une des failles les plus graves de l’histoire ».

Problèmes structurels (analyse de l’auteur du texte original) : le texte original indique que le problème de cybersécurité de l’écosystème open source est, fondamentalement, un problème humain : à l’échelle mondiale, des centaines de milliers de paquets open source, avec des mainteneurs qui ne sont souvent qu’une ou deux personnes, ne peuvent pas réaliser une revue de sécurité complète de tout le code ; les failles sont souvent découvertes plusieurs années après leur apparition. Le cadre d’analyse proposé par l’auteur est que l’avantage de l’IA ne réside pas dans la découverte de failles de niveau « génie », mais dans la capacité à scanner en continu de vastes bases de code à une densité que le facteur humain ne pourrait pas maintenir. Il s’agit là du point de vue de l’auteur du texte original, et non d’une position officielle d’OpenAI.

Questions fréquentes

Les résultats quantifiés de la première semaine de Patch the Planet ont été divulgués par qui ?

Les chiffres « plusieurs centaines de failles, 64 pull requests, 51 issues » proviennent de l’annonce officielle d’OpenAI et correspondent à l’ensemble cumulé de 19 projets open source. Pour savoir si chaque projet open source a accepté et fusionné ces correctifs, il faut se référer aux journaux de mise à jour de dépôts de chacun.

En quoi Codex Security et GPT-5.5-Cyber sont-ils différents ?

D’après l’annonce d’OpenAI, il s’agit de deux outils IA de cybersécurité distincts fournis dans le cadre du plan ; l’accès à Codex Security est indiqué comme « accès conditionnel », tandis que GPT-5.5-Cyber correspond à une version mise à jour de l’outil IA. Les différences de fonctionnalités et les spécifications techniques détaillées ne sont pas expliquées dans l’annonce disponible.

Pourquoi OpenAI a-t-il choisi des infrastructures largement utilisées comme cURL et Python plutôt que d’autres projets ?

Le texte original indique que ce sont des « infrastructures pour tout l’Internet moderne » ; le nombre d’installations mondiales de cURL est estimé à plus de 20 milliards d’unités. Dans ce type d’infrastructures largement déployées, les failles découvertes peuvent avoir un impact potentiel bien plus vaste que celui d’outils de niche. Il s’agit de l’interprétation de l’auteur du texte original concernant le choix des standards, et non d’une explication du choix officiel d’OpenAI.