OpenAI dévoile GPT-5.5-Cyber pour révolutionner le déploiement automatique de correctifs

OpenAI intensifie considérablement la course aux armements en IA dans le domaine de la cybersécurité avec la sortie complète de GPT-5.5-Cyber, un modèle spécialisé conçu pour surpasser les références actuelles du secteur. En allant au-delà de la simple détection de vulnérabilités pour passer à la génération automatique de correctifs, OpenAI vise à combler le fossé critique entre la découverte de failles et leur résolution.

Succès des tests de performance : GPT-5.5-Cyber contre Mythos

La sortie de GPT-5.5-Cyber marque une étape majeure dans la performance des LLM spécialisés. Selon OpenAI, le nouveau modèle établit de nouveaux records sur des tests de sécurité critiques, surpassant notamment le Mythos 5 d'Anthropic. Dans le benchmark CyberGym, qui mesure la capacité d'un agent à reproduire des failles connues, GPT-5.5-Cyber a obtenu un score de 85,6 %, dépassant les 83,8 % de Mythos 5 et les 81,8 % du modèle standard GPT-5.

Plus frappante encore est la performance sur ExploitGym, où GPT-5.5-Cyber a atteint 39,5 %, soit presque le double des 25,95 % enregistrés par le modèle de base GPT-5. Sur le SEC-bench Pro, qui évalue la découverte de vulnérabilités à long terme, le modèle a obtenu un score de 69,8 %, conservant une avance significative sur Claude Opus 4 (73,1 % dans CyberGym) et les itérations précédentes. Ces chiffres suggèrent que GPT-5.5-Cyber est spécifiquement affiné pour la logique nuancée requise dans la recherche en sécurité offensive et défensive.

Boucler la boucle avec Codex Security

Un composant central de l'initiative de cybersécurité Daybreak est la mise à jour du plugin Codex Security. Alors que de nombreux outils se concentrent uniquement sur l'analyse (scanning), le nouveau Codex Security gère l'ensemble du pipeline, de la découverte à la génération de correctifs. Depuis sa version de recherche en mars, le plugin a analysé plus de 30 millions de commits à travers 30 000 bases de code, ce qui a permis d'identifier automatiquement 500 000 correctifs.

Le plugin fonctionne comme un ingénieur de sécurité virtuel, effectuant des analyses approfondies de bases de code entières, menant des analyses de chemins d'attaque et vérifiant si le code vulnérable est réellement accessible. Point crucial, il prend en charge les flux de travail modernes des développeurs en exportant les résultats via des fichiers SARIF ou des requêtes CodeQL. Pour éviter les correctifs de sécurité « hallucinés », OpenAI souligne que les ingénieurs humains doivent toujours valider chaque modification.

Un écosystème de défense mondial

OpenAI ne construit pas cela de manière isolée ; l'entreprise bâtit un vaste réseau de partenaires via le Daybreak Cyber Partner Program. Le programme comprend des géants du secteur tels que CrowdStrike, Cisco, Cloudflare, Palo Alto Networks, IBM et SentinelOne. Ces entreprises peuvent intégrer GPT-5.5 avec « Trusted Access for Cyber » directement dans leurs produits de sécurité propriétaires.

De plus, l'initiative s'étend au secteur public et à la stabilité de l'open source. OpenAI a établi des partenariats de type « Trusted Access » avec des gouvernements, notamment l'Australie, le Canada, la France, l'Allemagne, le Japon et le Royaume-Uni. Sur le front de l'open source, l'initiative « Patch the Planet » — en partenariat avec Trail of Bits et HackerOne — travaille déjà sur des projets critiques tels que cURL, Go et Python afin de sécuriser les fondations de l'internet.

Points clés à retenir

  • Benchmarks supérieurs : GPT-5.5-Cyber domine les tests clés de l'industrie comme CyberGym et ExploitGym, surpassant à la fois le modèle Mythos d'Anthropic et les modèles GPT-5 standards.
  • Automatisation de bout en bout : Le plugin Codex Security automatise la transition de la découverte de vulnérabilités à la génération de correctifs, prenant en charge les analyses approfondies et l'analyse des chemins d'attaque.
  • Accès vérifié uniquement : Pour atténuer les risques, le modèle hautement permissif GPT-5.5-Cyber est restreint aux défenseurs vérifiés, sous une surveillance et des garde-fous stricts.