Une faille restée invisible pendant 23 ans dans le noyau OpenBSD. Cinq bugs exploitables dans le moteur de Chrome. Plus de dix dans celui de Safari. Tout cela trouvé en cinq jours, par une IA épaulée par des humains. Le 22 juin 2026, OpenAI a officialisé Patch the Planet, une initiative qui braque sa nouvelle intelligence artificielle spécialisée en cybersécurité, GPT-5.5-Cyber, sur les briques open source qui font tourner la moitié du web. Et les premiers résultats donnent à réfléchir.
Patch the Planet, c'est quoi exactement ?
Patch the Planet est un programme lancé par OpenAI en partenariat avec Trail of Bits, un cabinet de recherche en sécurité réputé, et HackerOne, la grande plateforme de bug bounty. L'idée tient en une phrase : utiliser l'IA pour trouver les vulnérabilités des logiciels open source avant les attaquants, et aider les mainteneurs à les corriger.
Le constat de départ d'OpenAI est brutal : ses modèles trouvent désormais les failles plus vite que les défenseurs ne peuvent les corriger. Une affirmation qui sonne comme un avertissement autant que comme un argument marketing. Si l'IA d'OpenAI en est capable, celle d'un attaquant déterminé le sera aussi.
Le programme s'inscrit dans une démarche plus large baptisée Daybreak, la division cybersécurité d'OpenAI, qui regroupe le modèle GPT-5.5-Cyber, ce projet open source et un programme de partenaires industriels incluant Accenture, Cisco, CrowdStrike, IBM, Okta, Palo Alto Networks et Wiz.
Cinq jours, des dizaines de bugs critiques
Les chiffres du sprint initial sont la partie la plus parlante. En cinq jours, sur plus de 30 projets open source engagés — parmi lesquels cURL, Go, Python, Sigstore et pyca/cryptography — l'opération a remonté des centaines de problèmes et fait fusionner plusieurs dizaines de correctifs. Trail of Bits a mobilisé toute son équipe de recherche sur 19 projets.
Mais ce sont les trouvailles individuelles qui impressionnent. Une faille de type use-after-free vieille de 23 ans dans le noyau d'OpenBSD, un système d'exploitation pourtant réputé pour son obsession de la sécurité. Cinq bugs exploitables dans V8, le moteur JavaScript de Chrome. Plus de dix bugs dans WebKit, celui de Safari. Et une vulnérabilité WebAssembly dans Firefox corrigée deux jours avant le concours de hacking Pwn2Own Berlin.
Autrement dit : des composants audités depuis des années, par des armées d'experts, recelaient encore des failles graves qu'une IA a su débusquer en quelques jours. C'est à la fois rassurant — elles sont désormais corrigées — et un peu vertigineux sur ce qui dort encore dans le code que nous utilisons tous.
L'humain reste dans la boucle (et c'est essentiel)
Le point que je trouve le plus important est aussi le plus discret. Chaque découverte générée par l'IA est relue manuellement par un ingénieur de Trail of Bits avant d'être transmise au mainteneur du projet. Aucun patch n'arrive directement de la machine vers le dépôt.
Ce détail évite l'écueil majeur de l'IA appliquée à la sécurité : le faux positif à grande échelle. On a tous en tête ces mainteneurs bénévoles déjà débordés, qui croulent sous des rapports de bugs générés automatiquement et souvent bidons. Imposer une validation humaine, c'est respecter leur temps et garantir la qualité de ce qui est soumis.
Le sprint a aussi produit des workflows de test réutilisables : fuzzing, analyse de variantes, tests différentiels. La valeur n'est donc pas seulement dans les bugs trouvés une fois, mais dans la méthode laissée aux communautés pour continuer seules.
GPT-5.5-Cyber : une arme à double tranchant, sous clé
Au cœur du dispositif, il y a GPT-5.5-Cyber, une variante du modèle d'OpenAI spécialisée dans les tâches de sécurité. Sur CyberGym, un benchmark qui mesure la capacité d'un agent à reproduire des vulnérabilités connues, il atteint 85,6 %, contre 81,8 % pour le GPT-5.5 standard — le meilleur score jamais mesuré pour un modèle seul.
OpenAI a parfaitement conscience du caractère dual de l'outil. La version complète n'est pas accessible à tous : elle passe par un programme Trusted Access for Cyber, réservé à des défenseurs vérifiés. Pour ces utilisateurs approuvés, le modèle réduit ses refus automatiques sur des tâches légitimes : revue de code sécurisé, triage de vulnérabilités, analyse de malware, red teaming, tests d'intrusion.
Ce filtrage est la bonne approche. Un modèle capable de trouver une faille de 23 ans dans OpenBSD est, par construction, un modèle capable d'aider à l'exploiter. Le verrouiller derrière une vérification d'identité ne le rend pas inviolable, mais ça relève sérieusement la barrière.
Mon analyse : la sécurité devient un terrain de course IA contre IA
Ce que révèle Patch the Planet, au fond, c'est le basculement de la cybersécurité dans une logique de course à l'armement entre IA. Pendant des années, trouver une faille zero-day demandait un chercheur talentueux et des semaines de travail. Cette rareté protégeait, de fait, une grande partie du code mal entretenu. Cette rareté est en train de disparaître.
La bonne nouvelle, c'est qu'OpenAI a choisi de mettre cette capacité au service de la défense d'abord, avec des garde-fous humains et un accès contrôlé. La moins bonne, c'est qu'on ne peut pas compter sur tout le monde pour faire ce choix. Les mêmes techniques, sans la relecture de Trail of Bits et sans le programme Trusted Access, existeront tôt ou tard dans des mains moins bien intentionnées.
Pour les PME et les équipes tech qui s'appuient — souvent sans le savoir — sur des dizaines de dépendances open source, le message est clair. La mise à jour des dépendances n'est plus une corvée optionnelle : c'est la première ligne de défense. Quand une IA peut auditer cURL ou Python en quelques jours, le délai entre la découverte d'une faille et sa correction devient le facteur de risque numéro un.
J'ai détaillé la liste complète des projets concernés, le fonctionnement du programme Trusted Access et ce que ça change concrètement pour vos dépendances dans mon analyse complète sur TECH ACTU — le lien est en commentaire.
