Le nouvel outil AppSec basé sur l’IA aurait découvert des centaines de failles critiques et des milliers de problèmes de haute gravité lors des premiers tests.
Le nouvel agent AppSec d’OpenAI, Codex Security, a déjà signalé plus de 11 000 failles critiques et de haute gravité dans les bases de code du monde réel au cours de ses 30 premiers jours de tests de recherche. L’outil, conçu pour rechercher, valider et corriger automatiquement les vulnérabilités dans les référentiels de logiciels, aurait identifié environ 800 problèmes critiques dans plus d’un million de validations analysées.
Selon un article du blog OpenAI, l’outil est censé fonctionner davantage comme un chercheur en sécurité qui étudie une base de code, cartographie les chemins d’attaque potentiels et propose des correctifs, plutôt que comme un scanner statique. « Il est conçu pour fonctionner à grande échelle et faire apparaître les résultats les plus fiables avec des correctifs faciles à accepter », a écrit la société.
Selon OpenAI, l’outil construit une compréhension contextuelle de l’ensemble d’un projet, ce qui lui permet de se concentrer sur les vulnérabilités exploitables de manière réaliste, répondant ainsi à la lassitude des alertes de longue date pour les équipes AppSec.
Failles découvertes dans des projets propriétaires et open source
Lors de son premier cycle de tests, OpenAI a déclaré que Codex Security avait analysé plus de 1,2 million de commits dans des référentiels externes, identifiant 792 vulnérabilités critiques et 10 561 problèmes de haute gravité. La société a déclaré que les résultats provenaient d’un large éventail de bases de code du monde réel tout en maintenant un bruit relativement faible, car des problèmes critiques apparaissaient dans moins de 0,1 % des validations analysées.
« Netgear était ravi de rejoindre le programme d’accès anticipé et les résultats ont dépassé les attentes », a déclaré Chandan Nandakumaraiah, responsable de la sécurité des produits chez Netgear, dans un commentaire partagé dans la publication. « Codex Security s’est intégré sans effort dans notre solide environnement de développement de sécurité, renforçant ainsi le rythme et la profondeur de nos processus d’examen. »
Au-delà des référentiels propriétaires, des vulnérabilités ont également été signalées dans plusieurs projets open source largement utilisés, notamment OpenSSH, GnuTLS, GOGS, Thorium, libssh, PHP et Chromium, avec 14 CVE attribués jusqu’à présent.
OpenAI affirme que ces efforts font partie d’une initiative plus large « Codex for OSS », qui offre aux responsables un accès gratuit aux outils du Codex et à une assistance en matière d’examen de sécurité. La société prévoit d’étendre le programme dans les semaines à venir pour attirer davantage de responsables open source dans l’écosystème.
La société a mis en évidence treize vulnérabilités OSS à fort impact découvertes par Codex Security, couvrant des problèmes de traversée de chemin, de déni de service (DoS) et de contournement d’authentification.
De l’expérience « Aardvark » à un chercheur en sécurité de l’IA
Codex Security a évolué à partir d’un projet interne antérieur appelé Aardvark, un agent de recherche de vulnérabilités basé sur l’IA qu’OpenAI a commencé à tester auprès d’utilisateurs sélectionnés. Le concept derrière Aardvark était de permettre à l’agent IA de lire le code, de tester les chemins d’exploitation possibles et de réfléchir à la manière dont un attaquant pourrait compromettre un système.
Ce flux de travail agentique permet au système Codex Security d’imiter le fonctionnement des chercheurs en sécurité humaine. L’IA analyse l’historique du référentiel, crée un modèle de menace qui identifie les points d’entrée et les limites de confiance, puis explore les chemins d’attaque qui pourraient conduire à des résultats sensibles.
Une fois qu’une vulnérabilité potentielle est découverte, le système tente de reproduire le problème dans un environnement sandbox pour confirmer qu’elle est exploitable avant de la signaler. Après validation, il génère des conseils de remédiation, souvent sous la forme de correctifs proposés que les développeurs peuvent examiner et fusionner dans leur flux de travail.
Codex Security peut également tirer des enseignements des commentaires au fil du temps pour améliorer la qualité de ses conclusions. « Lorsque vous ajustez le caractère critique d’une découverte, il peut utiliser ces commentaires pour affiner le modèle de menace et améliorer la précision des exécutions ultérieures, à mesure qu’il apprend ce qui compte dans votre architecture et votre posture de risque », a ajouté la société dans le message. À partir du 9 mars, Codex Security est disponible en aperçu de recherche pour les clients ChatGPT Pro, Enterprise, Business et Edu via le Web Codex avec une utilisation gratuite pendant les 30 prochains jours.
