OpenAI a lance Patch the Planet, une initiative qui braque l'intelligence artificielle sur les failles de securite des logiciels open source, accompagnee d'un modele ameliore baptise GPT-5.5-Cyber concu pour les trouver et les corriger. Annonce le 22 juin comme une extension de la plateforme de cybersecurite Daybreak d'OpenAI, le nouveau modele est le plus puissant de l'entreprise pour le travail sur les vulnerabilites tout en conservant l'intelligence generale de GPT-5.5. Il a obtenu 85,6 % au banc d'essai CyberGym, contre 81,8 % pour GPT-5.5, et OpenAI l'ouvre aux chercheurs en securite verifies.

Patch the Planet est la partie qui compte le plus. Fonde avec la firme de securite Trail of Bits et mene en collaboration avec HackerOne, des chercheurs externes et les responsables des projets eux memes, il est concu pour faire passer des projets open source tres utilises des constats aux correctifs. L'argument est celui d'une boucle defensive complete plutot que d'une simple chasse aux bogues : decouverte, validation, evaluation de la gravite, divulgation, developpement du correctif, test et deploiement. Trouver le bogue est la partie facile, et le programme tente explicitement de porter un correctif jusqu'a sa mise en production.

Les premiers resultats sont concrets, et la liste des participants l'est aussi. Plus de 30 projets open source se sont engages a participer, les premiers membres comprenant cURL, Go, Python, Sigstore et pyca/cryptography, le genre de code fondamental qui fait discretement tourner presque tout en ligne. En une semaine, les ingenieurs de Trail of Bits travaillant a temps plein aux cotes de Codex et de GPT-5.5-Cyber ont fait remonter des centaines de bogues et depose 64 pull requests et 51 issues a travers 19 projets, avec des dizaines de correctifs deja integres. Ce n'est pas une demonstration mise en scene.

Le pari sous jacent au programme est pointu. L'IA a rendu la recherche de vulnerabilites peu couteuse, ce qui aide les attaquants au moins autant que les defenseurs, et le pari d'OpenAI est de mettre cette meme capacite du cote des responsables dans ce combat. Le code open source qui fait tourner l'internet est chroniquement sous finance, souvent une poignee de benevoles maintenant des bibliotheques dont le monde entier depend, et si l'IA peut prendre en charge le travail ingrat du tri et de la redaction des correctifs, ces defenseurs gagnent un levier qu'ils n'ont jamais eu.

La reserve honnete, c'est qu'une pull request n'est pas une integration. Des centaines de bogues et 64 PR constituent une ouverture solide, mais les correctifs doivent encore passer la revue des responsables, et inonder des benevoles de constats generes par l'IA peut etre un fardeau autant qu'un cadeau si le rapport signal sur bruit est mauvais. Porter la boucle complete jusqu'au deploiement est la partie difficile, et le vrai test, ce sont des mois de correctifs integres et sans regression plutot qu'un bilan de premiere semaine. Reste que la direction est difficile a contester. De toutes les choses sur lesquelles braquer un solide modele cyber, durcir l'infrastructure partagee dont tout le monde depend figure tout en haut de la liste.