Actuellement en version bêta privée, l’agent de sécurité basé sur GPT-5 analyse, raisonne et corrige les logiciels comme un vrai chercheur, dans le but d’intégrer la défense basée sur l’IA dans le flux de travail de développement.
OpenAI a dévoilé Aardvark, un agent autonome alimenté par GPT-5, conçu pour agir comme un chercheur en sécurité humaine, capable d’analyser, de comprendre et de corriger le code avec les compétences de raisonnement d’un analyste de vulnérabilité professionnel.
Annoncé jeudi et actuellement disponible en version bêta privée, Aardvark se positionne comme une avancée majeure vers la sécurité logicielle basée sur l’IA.
Contrairement aux scanners conventionnels qui signalent mécaniquement les codes suspects, Aardvark tente d’analyser comment et pourquoi le code se comporte comme il le fait. « OpenAI Aardvark est différent car il imite un chercheur en sécurité humaine », a déclaré Pareekh Jain, PDG d’EIIRTrend. « Il utilise un raisonnement basé sur le LLM pour comprendre la sémantique et le comportement du code, en lisant et en analysant le code comme le ferait un chercheur en sécurité humaine. »
En s’intégrant directement dans le pipeline de développement, Aardvark vise à transformer la sécurité d’une préoccupation post-développement en une protection continue qui évoluera avec le logiciel lui-même, a ajouté Jain.
De la sémantique du code aux correctifs validés
Ce qui rend Aardvark unique, a noté OpenAI, c’est sa combinaison de raisonnement, d’automatisation et de vérification. Plutôt que de simplement mettre en évidence les vulnérabilités potentielles, l’agent promet une analyse en plusieurs étapes, en commençant par cartographier l’intégralité d’un référentiel et en construisant un modèle de menace contextuel autour de celui-ci. À partir de là, il surveille en permanence les nouvelles validations, vérifiant si chaque modification introduit un risque ou viole les modèles de sécurité existants.
De plus, après avoir identifié un problème potentiel, Aardvark tente de valider l’exploitabilité de la découverte dans un environnement sandbox avant de le signaler.
Cette étape de validation pourrait s’avérer transformatrice. Les outils d’analyse statique traditionnels submergent souvent les développeurs de fausses alertes, c’est-à-dire de problèmes qui peuvent sembler risqués mais qui ne sont pas vraiment exploitables. « Le plus grand avantage est que cela réduira considérablement les faux positifs », a noté Jain. « C’est utile dans les codes open source et dans le cadre du pipeline de développement. »
Une fois qu’une vulnérabilité est confirmée, Aardvark s’intègre au Codex pour proposer un correctif, puis réanalyse le correctif pour s’assurer qu’il n’introduit pas de nouveaux problèmes. OpenAI affirme que lors des tests de référence, le système a identifié 92 % des vulnérabilités connues et introduites synthétiquement dans les référentiels de tests – une indication prometteuse que l’IA pourrait bientôt assumer une partie du fardeau de l’audit de code moderne.
Sécuriser l’open source et déplacer la sécurité vers la gauche
Le rôle d’Aardvark s’étend au-delà des environnements d’entreprise. OpenAI l’a déjà déployé sur des référentiels open source, où il prétend avoir découvert plusieurs vulnérabilités du monde réel, dont dix ont reçu des identifiants CVE officiels. Le géant LLM a déclaré qu’il prévoyait de fournir une analyse bénévole pour certains projets open source non commerciaux, dans le cadre d’un cadre de divulgation coordonné qui donne aux responsables le temps de corriger les failles avant de rendre compte au public.
Cette approche s’aligne sur une reconnaissance croissante du fait que la sécurité des logiciels n’est pas seulement un problème du secteur privé, mais une responsabilité partagée de l’écosystème. « Alors que la sécurité devient de plus en plus importante et sophistiquée, ces agents de sécurité autonomes seront utiles aux grandes et petites entreprises », a ajouté Jain.
L’annonce d’OpenAI reflète également un concept industriel plus large appelé « déplacer la sécurité vers la gauche », intégrant les contrôles de sécurité directement dans le développement, plutôt que de les traiter comme des tests de fin de cycle. Avec plus de 40 000 vulnérabilités répertoriées CVE signalées chaque année et la chaîne d’approvisionnement mondiale en logiciels constamment attaquée, l’intégration de l’IA dans le flux de travail des développeurs pourrait aider à équilibrer vitesse et vigilance, a ajouté la société.
