« Patch the Planet » associe une analyse automatisée à un examen par des experts pour découvrir et corriger les vulnérabilités des projets d’infrastructure de base.
OpenAI a lancé un programme avec la société de cybersécurité Trail of Bits pour utiliser l’IA pour trouver et corriger les vulnérabilités des logiciels open source largement utilisés, alors que les entreprises sont confrontées à des risques croissants liés aux failles enfouies profondément dans leurs chaînes d’approvisionnement logicielles.
L’initiative, appelée Patch the Planet, utilise la recherche sur les vulnérabilités assistée par l’IA ainsi que l’examen humain pour aider à transformer les résultats de sécurité en correctifs testés qui peuvent être divulgués via les canaux de projet existants.
Les premiers participants incluent Python, Go, cURL, Sigstore, NATS Server, aiohttp, freenginx, pyca/cryptography et python.org. Ces projets prennent en charge le développement de logiciels, la mise en réseau, la cryptographie et l’infrastructure de chaîne d’approvisionnement utilisée dans une large gamme d’applications et de services d’entreprise.
OpenAI a déclaré que chaque engagement commencerait par une consultation avec les responsables pour identifier où le soutien en matière de sécurité est le plus nécessaire. Les chercheurs étudieront ensuite les vulnérabilités potentielles, valideront les problèmes importants, développeront ou affineront les correctifs, prendront en charge les tests et coordonneront la divulgation via les canaux existants du projet.
Les chercheurs en sécurité participants utiliseront les modèles de l’entreprise et Codex Security pour analyser le code et aider à faire progresser les correctifs vers la publication. Les ingénieurs de Trail of Bits examineront les résultats avant qu’ils ne soient envoyés aux responsables, une étape destinée à filtrer les faux positifs et les rapports en double avant qu’ils n’ajoutent à la charge de travail des projets open source.
La société travaille également avec HackerOne et Calif pour prendre en charge le tri des vulnérabilités, la divulgation coordonnée et des travaux de découverte supplémentaires à mesure que le programme se développe.
OpenAI a déclaré que les travaux dans le cadre du programme ont déjà identifié « des centaines de problèmes de sécurité et fusionné des dizaines de correctifs, et que de nombreux autres sont encore en cours de divulgation coordonnée ».
Le travail a également produit des outils de fuzzing, d’analyse CVE historique et de tests différentiels, ainsi que des systèmes permettant de filtrer les résultats inexacts avant la génération des correctifs, a ajouté OpenAI.
L’accent mis sur la sécurité open source fait suite à des incidents tels que Log4Shell et la porte dérobée XZ Utils, qui ont montré à quelle vitesse une faille dans un composant partagé peut se propager dans les logiciels d’entreprise.
Les analystes ont déclaré que Patch the Planet ne changerait l’équation du risque que si les entreprises traitaient la recherche sur les vulnérabilités assistée par l’IA comme une contribution à un programme plus large de gestion des risques de la chaîne d’approvisionnement logicielle, et non comme un substitut à celui-ci.
« Le changement clé est la rapidité : la recherche assistée par l’IA peut aider à trouver, valider, corriger, tester et documenter les problèmes plus rapidement, tandis que les évaluateurs humains réduisent les faux positifs avant que les responsables ne soient surchargés », a déclaré Biswajeet Mahapatra, analyste principal chez Forrester. « Mais la dépendance à l’égard d’une expertise rare ne disparaît pas ; elle passe au tri, au jugement sur l’exploitabilité, à la sécurité des correctifs, au calendrier de divulgation et au déploiement en production. »
Garde-corps avant déploiement
Les RSSI devraient mettre en place des contrôles de gouvernance avant d’utiliser la recherche de vulnérabilités assistée par l’IA dans les pipelines de sécurité des entreprises, afin de garantir que les découvertes non vérifiées ne submergent pas les équipes d’ingénierie, a déclaré Devashri Datta, un architecte de cybersécurité open source.
« Les RSSI devraient exiger une couche de pertinence de sécurité dans leur modélisation des risques, un cadre structuré qui exige que chaque résultat généré par l’IA passe une vérification automatisée, y compris une validation dynamique de preuve de concept et un filtrage puissant des faux positifs, avant qu’il ne parvienne à un analyste humain », a déclaré Datta.
Ces contrôles devraient également couvrir la divulgation, en particulier lorsque les outils d’IA identifient des failles dans des composants open source tiers que l’entreprise ne contrôle pas, a déclaré Datta. Les organisations ont besoin de chemins d’escalade prédéfinis, de délais de notification et d’attributions de rôles qui prennent effet une fois qu’un problème confirmé est détecté dans une dépendance externe.
« La divulgation ponctuelle dans un environnement accéléré par l’IA n’est pas seulement une lacune dans le processus ; c’est un handicap », a déclaré Datta. « Faire confiance à l’IA dans le pipeline de production nécessite une auditabilité vérifiable : les organisations doivent être capables de retracer pourquoi l’IA a signalé une ligne de code, comment elle a validé l’exploit et comment elle a déterminé que le correctif ne briserait pas les systèmes de production en aval. »
Réduction continue de l’exposition
Selon les analystes, la recherche sur les vulnérabilités assistée par l’IA pourrait obliger les entreprises à abandonner les cycles périodiques de correctifs et à se tourner vers une évaluation des risques plus continue. Si l’analyse des variantes et les tests différentiels peuvent être réduits de quelques semaines à quelques jours, les équipes de sécurité pourraient avoir besoin de moyens plus rapides pour décider quels résultats sont les plus importants dans leur propre environnement.
Ce changement signifie également que les entreprises ne peuvent plus s’appuyer uniquement sur les scores CVSS génériques pour prioriser les mesures correctives, a déclaré Datta. Les résultats devront être évalués par rapport au système concerné, à son rôle commercial, à son exposition au temps d’exécution et à la probabilité qu’une faille puisse être exploitée.
« Nous devons évoluer vers une priorisation contextuelle et critique pour la sécurité », a déclaré Datta. « Les programmes SBOM et VEX d’entreprise doivent évoluer de feuilles de calcul de conformité passive vers des flux de données en direct et lisibles par machine. Pour les pipelines assistés par l’IA en particulier, cela signifie étendre le modèle VEX pour couvrir les surfaces de risque introduites par l’IA. »
Mahapatra a déclaré que les programmes de gestion des vulnérabilités devront également être plus étroitement liés à la propriété des logiciels, à la réponse des fournisseurs et à l’impact commercial.
« Les équipes de sécurité devraient passer d’une gestion périodique des vulnérabilités à une réduction continue de l’exposition », a déclaré Mahapatra.
Cela signifie que les SBOM doivent être traités comme des inventaires réels liés à l’exposition au moment de l’exécution et à la réponse des fournisseurs, plutôt que comme des documents de conformité statiques. Les décisions relatives aux correctifs doivent également tenir compte de la criticité des actifs, de leur exploitabilité, des contrôles compensatoires et de l’impact commercial.
