OpenAI a annoncé le 22 juin le lancement de « Patch the Planet », une initiative menée avec la société de cybersécurité Trail of Bits pour aider les mainteneurs de projets open source à détecter et corriger les failles de sécurité.
Des ingénieurs de Trail of Bits aux côtés des mainteneurs
Dans le cadre de cette initiative, des ingénieurs en sécurité de Trail of Bits travailleront directement avec les responsables de projets open source pour examiner les problèmes de code potentiels. Les outils de sécurité d’OpenAI, notamment Codex Security, seront utilisés pour assister le processus d’analyse.
« De nombreux mainteneurs doivent déjà trier davantage de signalements, plus rapidement, avec les mêmes ressources et le même temps limité », a déclaré OpenAI dans son annonce. « Patch the Planet est conçu pour réduire cette charge, pas l’alourdir : les ingénieurs en sécurité examinent les signalements avant qu’ils n’atteignent les mainteneurs, travaillent avec les projets pour développer des correctifs et des tests, et créent des flux de travail réutilisables qui aident les équipes à continuer d’améliorer la sécurité après les premières corrections. »
Concrètement, les ingénieurs de Trail of Bits fonctionneront comme des intervenants d’urgence pour le code, chargés d’aider les mainteneurs à identifier et trier les problèmes potentiels, avec le soutien des logiciels d’OpenAI. Les signalements seront examinés en amont avant d’être transmis aux équipes de développement concernées.
Un enjeu de sécurité pour l’ensemble de l’écosystème logiciel
Les projets open source constituent le socle sur lequel repose l’industrie du logiciel commercial. Mais la structure décentralisée et faiblement supervisée de cet écosystème rend une partie de ces logiciels vulnérables. Les bugs découverts dans les projets open source peuvent se transformer en problèmes majeurs pour les bases de code commerciales qui en dépendent, parfois à l’échelle mondiale.
La faille Log4j, découverte il y a plusieurs années dans un utilitaire open source largement utilisé, reste l’exemple le plus marquant de ce phénomène. Une vulnérabilité dans un composant pourtant modeste avait alors exposé des milliers de services et d’applications à travers le monde, mobilisant les équipes de sécurité pendant des semaines.
L’IA au service de la défense, pas de l’exploitation
L’initiative intervient dans un contexte où les outils d’intelligence artificielle, comme Mythos d’Anthropic, suscitent des inquiétudes quant à leur capacité à identifier automatiquement des bugs dans les bases de code et à générer des exploits ciblés. Si l’automatisation de la cybercriminalité n’est pas nouvelle, ces outils ont le potentiel de rendre les attaques plus accessibles.
OpenAI inverse cette dynamique en mobilisant l’IA pour aider la communauté open source à mieux se protéger. Plusieurs médias français, dont Génération NT, Next INpact et Fredzone, ont relayé l’annonce dans les heures suivant sa publication.
Les modalités de déploiement à long terme de Patch the Planet et sa capacité de montée en charge n’ont pas été précisées par OpenAI au moment de l’annonce. Le programme s’inscrit dans une stratégie plus large de l’entreprise visant à positionner ses outils de sécurité, dont Codex Security, comme des solutions de référence pour la protection des infrastructures logicielles.
L’annonce intervient alors que le débat sur la sécurité de l’open source s’intensifie. Les gouvernements et les grandes entreprises technologiques multiplient les initiatives pour renforcer la résilience de cet écosystème, dont dépend une part croissante de l’économie numérique mondiale.
