L’IA découvre des vulnérabilités plus vite qu’elles ne peuvent être corrigées, les coalitions s’organisent

Le secteur de la sécurité fait face à ce que certains appellent une « vulnpocalypse ». Les modèles d’IA de pointe, dont Mythos d’Anthropic et GPT-5.5-Cyber d’OpenAI, découvrent des vulnérabilités dans les logiciels open-source à un rythme et à une profondeur que les auditeurs humains ne pourraient jamais égaler, réduisant le temps entre la découverte et l’exploitation à presque zéro.

« On dirait que l’été va être chaud et chaotique pour les équipes de sécurité », a écrit Jessica Lyons de The Register, citant Dan Lorenc, PDG de Chainguard : « Les statistiques et les données que nous voyons sont si effrayantes : si vous continuez à analyser les mêmes bibliothèques et le même code, l’IA continue de trouver davantage. Nous n’avons pas encore vu cette courbe commencer à s’aplatir. »

Deux grandes coalitions industrielles se sont formées en réponse.

Coalition Athena

Athena, lancée par Chainguard à la mi-juin, regroupe les découvertes de vulnérabilités de toute l’industrie et les traite via un pipeline de correction coordonné. Les membres fondateurs incluent BNY, Cisco, Cloudflare, Docker, JPMorganChase, Kyndryl et PwC.

La coalition a déjà traité plus de 20 000 signalements, développé plus de 2 000 correctifs dans 500 projets open-source et prévoit sa première vague de divulgations publiques coordonnées dans les semaines à venir. Le pipeline fonctionne sur un modèle de pré-embargo : les membres soumettent les vulnérabilités découvertes par tout modèle d’IA de pointe, Chainguard agit comme centre d’échange pour dédupliquer et corréler les signalements, et des versions durcies des bibliothèques concernées sont distribuées en privé aux membres avant la divulgation publique. Si les mainteneurs en amont ne peuvent pas ou ne veulent pas corriger, Athena agit comme « mainteneur de dernier recours », maintenant des forks en vie de façon permanente.

« Le délai d’exploitation est devenu négatif, les exploits arrivent avant même qu’une faille ne soit divulguée », a déclaré Lorenc. « Le travail d’Athena est de rendre le délai de correction encore plus négatif, de sorte que le correctif soit déjà en place avant que la vulnérabilité ne soit publique. »

Coalition Akrites

La Linux Foundation a lancé Akrites le 25 juin, soutenue par plus de 20 organisations fondatrices dont Amazon Web Services, Anthropic, Cisco, Google, IBM, Microsoft et GitHub, NVIDIA, OpenAI, Red Hat, la Rust Foundation et JPMorganChase. Alors qu’Athena se concentre sur la correction opérationnelle, Akrites met en place une équipe partagée de réponse aux incidents de sécurité (SIRT) et un processus standardisé de divulgation coordonnée des vulnérabilités (CVD).

Akrites vise à empêcher un paysage de correctifs fragmenté où des dizaines d’entreprises analysent indépendamment les mêmes logiciels, inondant les mainteneurs de rapports en double et de correctifs contradictoires. « Sans coordination, ces correctifs se fragmenteront entre différents patches et forks », a déclaré Lorenc à The Register.

L’ampleur du problème

Le Projet Glasswing d’Anthropic, qui accorde un accès anticipé à Mythos pour la recherche de vulnérabilités, a signalé avoir découvert 6 202 vulnérabilités de sévérité haute et critique dans plus de 1 000 projets open-source rien qu’en mai. L’initiative Daybreak d’OpenAI fonctionne sur un modèle similaire. Parmi les découvertes figurait « Squidbleed », une fuite mémoire dans un code largement déployé qui était passée inaperçue depuis les années 1990.

Le défi est structurel : 95 % du code de toute application moderne est open-source. Lorsque les modèles d’IA trouvent des failles dans les bibliothèques tierces, les équipes de sécurité des applications ne peuvent pas simplement corriger le code elles-mêmes. Elles doivent se coordonner avec les mainteneurs en amont, dont beaucoup sont surchargés de travail, injoignables ou ont abandonné le projet.

« Pour ceux qui ne peuvent pas, Athena corrige en permanence. »

« Le délai d’exploitation est devenu négatif, les exploits arrivent avant même qu’une faille ne soit divulguée. »

« Les statistiques, vous continuez à analyser les mêmes bibliothèques et le même code, et l’IA continue de trouver davantage. »

Sources : It’s looking like a hot, messy summer for security teams as AI finds countless previously hidden vulns (The Register, 27 juin 2026) ; Chainguard Launches Athena (Chainguard, 15 juin 2026) ; Akrites Launch (Linux Foundation, 25 juin 2026)

Traduit par Lydie

Scroll to Top