Passer au contenu principal
OpenAI

30 octobre 2025

SécuritéProduitRecherchesVersions

Lancement d’Aardvark, le chercheur en sécurité agentique d’OpenAI

Désormais disponible en bêta privée, cet agent IA pense comme un chercheur en sécurité et s’adapte aux exigences des logiciels modernes.

Chargement...

Nous levons aujourd’hui le voile sur Aardvark, un chercheur en sécurité agentique basé sur GPT‑5.

La sécurité logicielle constitue l’une des problématiques les plus importantes et complexes du secteur technologique. Chaque année, des dizaines de milliers de nouvelles vulnérabilités sont identifiées dans les bases de code des entreprises et des communautés open source. Les développeurs tentent tant bien que mal de repérer et corriger ces vulnérabilités avant que leurs adversaires ne les exploitent. Chez OpenAI, nous espérons leur donner un avantage décisif.

Véritable révolution en matière d’IA et de recherche en sécurité, Aardvark est un agent autonome qui aide les développeurs et les équipes de sécurité à détecter et corriger les vulnérabilités à grande échelle. Il est actuellement proposé sous forme de bêta privée pour mettre à l’épreuve ses capacités sur le terrain et affiner ses performances.

Fonctionnement d’Aardvark

Aardvark analyse en continu les référentiels de code pour repérer les vulnérabilités, déterminer si elles peuvent être exploitées, les prioriser selon leur gravité et proposer des correctifs ciblés.

Il surveille les commits et modifications des bases de code, identifie les vulnérabilité et les exploitations possibles, et propose des correctifs. Aardvark n’utilise pas de techniques d’analyses classiques comme le fuzzing ou l’analyse de la composition des logiciels, mais raisonne à l’aide d’un LLM et utilise des outils pour comprendre le comportement du code. En vérité, il recherche les bugs comme le ferait un chercheur en sécurité : il lit le code, l’analyse, écrit et exécute des tests, utilise des outils, etc.

Diagramme intitulé « AARDVARK — Workflow agentique de détection de vulnérabilités » présentant un flux de processus partant d’un référentiel GitHub et suivant différentes étapes : modélisation des menaces, détection de vulnérabilités, sandbox de validation, correction avec Codex et examen humain aboutissant à une pull request.

Aardvark suit plusieurs étapes pour identifier, expliquer et corriger les vulnérabilités :

  • Analyse : il commence par analyser le référentiel dans son ensemble pour générer un modèle de menaces représentant sa compréhension des objectifs et de l’architecture de sécurité du projet.
  • Analyse des commits : il recherche des vulnérabilités en inspectant les modifications introduites par les commits par rapport à l’ensemble du référentiel et à son modèle de menaces. Lors de la première connexion à un référentiel, Aardvark en analyse l’historique pour repérer les problèmes existants. Aardvark explique les vulnérabilités qu’il a découvertes étape par étape, en annotant le code pour qu’un humain puisse l’examiner.
  • Validation : une fois qu’Aardvark a repéré une vulnérabilité potentielle, il tentera d’en tirer parti dans un environnement isolé (sandbox) pour confirmer qu’elle est bien exploitable. Aardvark décrit ses actions pour s’assurer que les utilisateurs bénéficient d’informations précises et de haute qualité, avec un faible nombre de faux positifs.
  • Application des correctifs : Aardvark s’intègre à OpenAI Codex pour corriger les vulnérabilités détectées. Il ajoute à chacune de ses découvertes un correctif généré par Codex qu’il a lui-même analysé pour qu’un humain puisse le parcourir et l’appliquer en un clic.

Aardvark travaille en parallèle des ingénieurs et s’intègre à GitHub, Codex et aux processus en place pour fournir des informations claires et exploitables sans ralentir le développement. S’il a été pensé pour la sécurité, nos tests ont montré qu’il peut aussi détecter des erreurs de logique, des correctifs incomplets et des problèmes de confidentialité.

Un impact réel et déjà observable

Aardvark s’exécute en continu sur les bases de code d’OpenAI et de partenaires externes depuis plusieurs mois. Il a ainsi mis en lumière de nombreuses vulnérabilités importantes chez OpenAI et contribué à sa posture de défense. De leur côté, nos partenaires ont souligné la profondeur de son analyse, notant qu’Aardvark repérait des problèmes qui ne se produisaient que dans des situations complexes.

Dans des tests réalisés sur des référentiels au contenu maîtrisé, Aardvark a identifié 92 % des vulnérabilités connues et introduites de manière artificielle, ce qui témoigne d’un fort taux de rappel et d’efficacité dans le monde réel.

Aardvark pour la communauté open source

Aardvark a également travaillé sur des projets open source, pour lesquels il a découvert et divulgué de manière responsable de nombreuses vulnérabilités. Dix ont d’ailleurs reçu un identifiant CVE.

Bénéficiaires de décennies de recherches ouvertes et de divulgations responsables, nous souhaitons rendre la pareille en proposant des outils et données rendant l’écosystème numérique plus sûr pour tous. Nous prévoyons de proposer des analyses gratuites à certains référentiels open source non commerciaux afin de contribuer à la sécurité de l’écosystème et la chaîne d’approvisionnement open source.

Nous avons récemment mis à jour notre politique de divulgation coordonnée des vulnérabilités. Résolument pensée pour les développeurs, elle donne la priorité à la collaboration et l’amplitude de l’impact des divulgations plutôt qu’à des délais de divulgation fixes qui peuvent rendre difficile le travail des développeurs. Nous pensons que des outils comme Aardvark vont permettre de découvrir un nombre croissant de bugs et voulons pouvoir mettre en place une collaboration durable pour atteindre une résilience sur le long terme.

De l’importance de la protection contre les vulnérabilités

Le logiciel est aujourd’hui à la base de tous les secteurs et les vulnérabilités posent donc un risque systémique aux entreprises, aux infrastructures et à la société dans son ensemble. Plus de 40 000 CVE ont été découvertes rien qu’en 2024. Nos tests ont révélé qu’environ 1,2 % des commits introduisent des bugs, de petits changements aux conséquences parfois démesurées.

Aardvark inaugure un modèle donnant la priorité à la protection : ce chercheur en sécurité agentique travaille avec les équipes en leur proposant une protection continue au fil des évolutions du code. En interceptant les vulnérabilités au plus tôt, en validant leur exploitabilité réelle et en proposant des correctifs clairs, Aardvark peut renforcer la sécurité sans pour autant ralentir l’innovation. Nous sommes persuadés que l’expertise en sécurité doit être plus largement accessible. Si Aardvark est aujourd’hui proposé dans le cadre d’un programme de bêta privée, nous comptons étendre sa disponibilité à mesure que nous en saurons plus sur son comportement.

Programme de bêta privée en cours

Nous invitons nos partenaires à rejoindre le programme de bêta privée d’Aardvark. Les participants pourront accéder en avant-première à notre solution et échanger directement avec notre équipe pour améliorer la précision de la détection des vulnérabilités, les workflows de validation et l’expérience de signalement.

Nous souhaitons confirmer les performances d’Aardvark dans divers environnement. Si votre organisation ou votre projet open source souhaite participer, contactez-nous sur cette page.

Auteur

OpenAI

Contributeurs

Akshay Bhat, Andy Nguyen, Dave Aitel, Harold Nguyen, Ian Brelinsky, Tiffany Citra, Xin Hu, Matt Knight

Poursuivez votre lecture

Tout afficher
Art Card 1080x1080 (3)
Better memory for a more helpful ChatGPT
Une base plus solide pour la mémoire de ChatGPT

Recherches

Rosalind5.5 ArtCard
Présentation de nouvelles capacités pour GPT-Rosalind

Produit

1 1 Art Card
Codex pour chaque rôle, outil et workflow

Produit