OpenAI a annoncé lundi une nouvelle initiative conçue pour aider la communauté open source à améliorer son jeu de cybersécurité et à éviter les bugs.
« Patch the Planet » (qui est une allusion pas si subtile à « Hack the Planet », le slogan emblématique du film Hackers de 1995) verra OpenAI s’associer à la société de sécurité Trail of Bits pour aider les responsables de l’open source à sécuriser leurs projets.
OpenAI a déclaré que le personnel de sécurité de Trail of Bits travaillerait directement avec les responsables de l’open source pour examiner les problèmes potentiels de code. Les outils de sécurité d’OpenAI, comme Codex Security, seront utilisés pour faciliter le processus.
« De nombreux responsables sont déjà invités à trier davantage de rapports, plus rapidement, avec le même temps et les mêmes ressources limitées », a déclaré lundi OpenAI. « Patch the Planet est conçu pour réduire ce fardeau, et non pour l’alourdir : les ingénieurs en sécurité examinent les résultats avant qu’ils ne parviennent aux responsables, travaillent avec des projets pour développer des correctifs et des tests, et créent des flux de travail réutilisables qui aident les équipes à continuer d’améliorer la sécurité après la première correction. »
En d’autres termes, les ingénieurs de Trail of Bits fonctionneront plus ou moins comme des EMT de code – là pour aider les responsables de projets open source à identifier et à trier les problèmes potentiels, tous pris en charge par le logiciel OpenAI. Cela ressemble à un projet ambitieux, et on ne sait pas vraiment comment il fonctionnera à long terme, ni comment il prévoit de se développer (voire pas du tout).
Les projets open source constituent le fondement numérique sur lequel repose l’industrie du logiciel commercial, mais malheureusement, en raison de la structure décentralisée et mal surveillée de cet écosystème, une grande partie des logiciels n’est pas sécurisée. Les bogues dans les projets open source peuvent se transformer en problèmes majeurs pour les bases de code commerciales. La débâcle de log4j il y a plusieurs années – lorsqu’une mauvaise vulnérabilité a été découverte dans un utilitaire open source largement utilisé – en est un bon exemple.
Une grande partie des inquiétudes concernant des outils comme Mythos (l’outil de sécurité très médiatisé d’Anthropic) semble provenir du fait que l’IA peut désormais identifier automatiquement les bogues existants dans les bases de code et commencer à créer des exploits pour eux. Même si l’automatisation de la cybercriminalité n’est pas nouvelle, ces outils ont sans aucun doute le potentiel de la rendre beaucoup plus pratique pour les acteurs malveillants.
OpenAI renverse cette formule en utilisant l’IA pour aider la communauté open source à mieux se protéger. Il est difficile de ne pas y voir une attaque concurrentielle contre Anthropic, tout en reconnaissant que c’est quelque chose dont la communauté open source a désespérément besoin.
Lorsque vous achetez via des liens dans nos articles, nous pouvons gagner une petite commission. Cela n’affecte pas notre indépendance éditoriale.
