Comment la chasse aux bugs par l'IA fonctionne – et pourquoi elle change la donne en matière de sécurité
Les modèles d'IA peuvent désormais analyser de manière autonome des millions de lignes de code et trouver des vulnérabilités que les humains et les outils traditionnels ont manquées pendant des décennies. Voici comment fonctionne cette technologie et ce qu'elle signifie pour la cybersécurité.
L'ancienne méthode de recherche de bugs
Pendant des décennies, les chercheurs en cybersécurité se sont appuyés sur deux méthodes principales pour trouver les vulnérabilités logicielles : l'examen manuel du code et le fuzzing. L'examen manuel signifie qu'un expert humain lit le code source ligne par ligne, à la recherche d'erreurs. C'est minutieux mais terriblement lent : un auditeur qualifié peut examiner quelques milliers de lignes par jour dans une base de code qui en contient des millions.
Le fuzzing adopte une approche différente. Des outils automatisés bombardent un programme avec des entrées aléatoires, malformées ou inattendues, dans l'espoir de déclencher des plantages qui révèlent des failles cachées. Le service OSS-Fuzz de Google, lancé en 2016, a utilisé cette technique pour trouver plus de 10 000 vulnérabilités de sécurité dans plus de 1 000 projets open source. Mais même OSS-Fuzz n'atteint qu'environ 30 % de couverture de code en moyenne, laissant de vastes portions de code non testées.
Les deux méthodes partagent une limitation fondamentale : elles sont confrontées à des difficultés avec les bugs logiques, des failles qui ne provoquent pas de plantages évidents mais permettent aux attaquants de manipuler le comportement d'un programme de manière subtile et dangereuse.
Comment l'IA change la donne
La chasse aux bugs basée sur l'IA fonctionne différemment des outils traditionnels. Au lieu de lancer aveuglément des entrées aléatoires sur un logiciel, les grands modèles de langage (LLM) modernes peuvent lire et comprendre le code, raisonner sur ce qu'il est censé faire et formuler des hypothèses spécifiques sur l'endroit où les bugs pourraient se cacher. Ils élaborent ensuite des cas de test ciblés conçus pour confirmer ou infirmer ces hypothèses.
Ceci est important car l'approche de l'IA combine des forces qui étaient auparavant séparées. Comme un auditeur humain, les modèles d'IA comprennent la logique et l'intention du programme. Comme un fuzzer, ils peuvent fonctionner à la vitesse de la machine sur d'énormes bases de code. Le résultat est un système qui détecte les bugs que les outils traditionnels ne peuvent pas détecter.
Google a démontré cette approche hybride en intégrant des LLM dans OSS-Fuzz. L'IA génère des cibles de fuzzing (fonctions de test spécialisées) pour les sections de code sous-testées. Dans un projet, l'analyseur XML open source tinyxml2, les tests générés par l'IA ont augmenté la couverture de code de 38 % à 69 % sans aucune intervention manuelle. Reproduire ce résultat à la main aurait pris à un développeur environ une journée de travail complète, et il y a des milliers de projets à couvrir.
Du fuzzing au piratage autonome
La dernière génération de chasseurs de bugs IA va bien au-delà du fuzzing intelligent. Claude Mythos Preview d'Anthropic, révélé par le biais de l'initiative Project Glasswing de l'entreprise, représente un changement radical en termes de capacité. Le modèle peut planifier de manière autonome des enquêtes en plusieurs étapes, identifier des vulnérabilités non divulguées, écrire du code d'exploitation et enchaîner plusieurs failles en chemins d'attaque complets, le tout sans intervention humaine.
Les résultats sont frappants. Mythos Preview a découvert des milliers de vulnérabilités de haute gravité dans tous les principaux systèmes d'exploitation et navigateurs Web, selon Anthropic. Parmi les découvertes :
- Un bug vieux de 27 ans dans OpenBSD, l'un des systèmes d'exploitation les plus sécurisés qui soient, exploitable via une simple connexion réseau
- Une faille vieille de 16 ans dans FFmpeg, une bibliothèque de traitement vidéo largement utilisée, que les outils de test automatisés avaient déclenchée cinq millions de fois sans jamais la détecter
- De multiples vulnérabilités enchaînées dans le noyau Linux permettant une élévation complète des privilèges, de l'accès utilisateur ordinaire au contrôle complet du système
Sur le benchmark CyberGym pour la reproduction des vulnérabilités, Mythos Preview a obtenu un score de 83,1 %, contre 66,6 % pour son modèle prédécesseur.
Le dilemme du défenseur
La chasse aux bugs par l'IA crée un paradoxe que la communauté de la cybersécurité appelle le problème de la double utilisation. La même capacité qui aide les défenseurs à trouver et à corriger les vulnérabilités pourrait aider les attaquants à les découvrir et à les exploiter. Un modèle suffisamment puissant pour protéger tous les systèmes d'exploitation est également suffisamment puissant pour les compromettre.
La réponse d'Anthropic a été de restreindre l'accès. Plutôt que de publier Mythos Preview publiquement, l'entreprise a lancé Project Glasswing en tant que programme défensif fermé, partageant le modèle avec plus de 40 organisations qui construisent ou maintiennent une infrastructure logicielle critique. L'entreprise s'est engagée à verser jusqu'à 100 millions de dollars en crédits d'utilisation et 4 millions de dollars en dons directs à des organisations de sécurité open source pour soutenir cet effort.
L'industrie au sens large évolue dans une direction similaire. Microsoft, Google et d'autres grandes entreprises technologiques intègrent des agents d'IA dans leurs flux de travail de sécurité, non pas pour remplacer les analystes humains, mais pour gérer le volume considérable de code qu'aucune équipe d'humains ne pourrait examiner manuellement.
Pourquoi c'est important
Les logiciels qui font fonctionner l'infrastructure moderne (systèmes d'exploitation, navigateurs, bibliothèques de chiffrement, frameworks de serveur) contiennent des milliards de lignes de code, dont une grande partie a été écrite il y a des décennies. Les méthodes traditionnelles se sont avérées insuffisantes pour tout sécuriser. La chasse aux bugs par l'IA n'élimine pas le besoin de chercheurs en sécurité qualifiés, mais elle élargit considérablement ce qui est possible : analyser les bases de code à une échelle et une profondeur auparavant inimaginables, et détecter les failles qui ont survécu sans être détectées pendant une génération.
La course est désormais lancée entre les défenseurs qui déploient ces outils pour corriger les vulnérabilités et les adversaires qui cherchent à exploiter la même technologie pour attaquer. La façon dont cette course se déroulera façonnera la sécurité de l'infrastructure numérique dont le monde dépend.
