OpenAI déploie son arsenal cybersécurité : GPT-5.5-Cyber, Codex Security et le programme « Patch the Planet »

Le 22 juin 2026, OpenAI a considérablement étoffé son initiative de cybersécurité Daybreak, lancée en mai 2026. Ce programme vise à combiner des modèles d'IA de pointe avec des outils agentiques et un vaste écosystème de partenaires pour aider les défenseurs à trouver, valider et corriger les vulnérabilités logicielles à une vitesse machine . Cette extension introduit quatre composants majeurs : la sortie complète du modèle GPT-5.5-Cyber avec ses scores de référence, un plugin Codex Security mis à jour intégré au flux de travail des développeurs, le programme open source 'Patch the Planet' avec Trail of Bits, et un nouveau Cyber Partner Program. Cette annonce positionne Daybreak comme un concurrent direct du Project Glasswing et du modèle Mythos d'Anthropic, bien que chaque entreprise adopte une approche stratégique différente .

GPT-5.5-Cyber : Scores et capacité

OpenAI a publié la version complète de GPT-5.5-Cyber, auparavant disponible uniquement en aperçu restrictif, via une diffusion limitée continue aux défenseurs de confiance . Le modèle affiche des progrès significatifs par rapport au GPT-5.5 de base sur les benchmarks spécifiques à la cybersécurité :

• CyberGym : 85,6% — un nouveau record, contre 81,8% pour le GPT-5.5 standard et 79,0% pour le GPT-5.4 .
• Exploit Gym : 39,5% contre 25,95% pour la référence .
• SEC-Bench Pro : 69,8% contre 63,1% pour GPT-5.5 .
• Tests de niveau Expert de l'AISI (UK AI Safety Institute) : GPT-5.5 a obtenu un taux de réussite moyen de 71,4% (±8,0%), contre 68,6% pour le modèle précédent .
• Benchmarks généraux de GPT-5.5 (contexte pertinent) : 84,9% sur GDPval (travail de connaissance agentique dans 44 professions), 78,7% sur OSWorld-Verified, et 82,7% sur Terminal-Bench 2.0 .

Dans le cadre du Preparedness Framework d'OpenAI, GPT-5.5 a reçu une note de capacité en cybersécurité 'Haute', ce qui signifie qu'il reste en dessous du seuil 'Critique' — défini comme la capacité à développer des exploits zero-day de manière autonome, sans aide humaine . Sur une mesure, GPT-5.5 (et la variante Cyber) a achevé une simulation d'attaque réseau en 32 étapes, ce qui en fait le deuxième IA à y parvenir, après le Mythos d'Anthropic .

Plugin Codex Security

OpenAI a lancé un plugin Codex Security mis à jour qui intègre la découverte, la validation et la correction de vulnérabilités directement dans le flux de travail du développeur au sein de Codex . Le plugin est conçu pour aller au-delà de l'analyse statique : il peut construire ou inférer un modèle de menace, identifier les vulnérabilités plausibles, déterminer si le code affecté est atteignable, rassembler des preuves de validation, développer des correctifs ciblés et vérifier le résultat . OpenAI indique que le plugin intègre les leçons tirées de l'utilisation interne et client pour accélérer la recherche et la correction des vulnérabilités dans les systèmes existants, tout en aidant à en prévenir de nouvelles avant qu'elles n'atteignent la production . Depuis son aperçu de recherche en mars 2026, le plugin Codex Security avait déjà scanné plus de 30 millions de commits dans plus de 30 000 bases de code, les examinateurs humains ayant manuellement marqué plus de 70 000 résultats .

Programme open source 'Patch the Planet' avec Trail of Bits

Patch the Planet est l'initiative open source phare de l'extension Daybreak, construite en partenariat avec Trail of Bits, HackerOne et Calif . OpenAI le décrit comme 'un effort pour aider les mainteneurs de logiciels open source à passer des résultats de sécurité aux correctifs fusionnés', avec la révision humaine au centre . Le programme finance des ingénieurs en sécurité dédiés de Trail of Bits qui travaillent à temps plein avec Codex et GPT-5.5-Cyber sur des projets open source, avec pour objectif non seulement de trouver des bogues, mais aussi d'écrire et de soumettre des correctifs fusionnés .

Résultats initiaux (Première semaine)

Trail of Bits a organisé un sprint d'ouverture de cinq jours avec 25 ingénieurs travaillant directement avec les mainteneurs open source . Résultats sur 19 projets (plus de 30 ayant promis leur participation) :

• 64 pull requests soumises
• 51 signalements de bogues déposés (beaucoup d'autres en cours de divulgation coordonnée)
• Des centaines de bogues identifiés
• 37 correctifs fusionnés dans les bases de code

Parmi les résultats notables, citons 8 preuves de concept de fuite de pointeur dans le noyau Linux, 24 vecteurs d'élévation de privilèges locaux dans des utilitaires système, plus de 10 vulnérabilités exploitables dans Safari, un CVE Firefox WebAssembly (CVE-2026-8390) corrigé avant Pwn2Own, et quatre des six CVE de dnsmasq signalés indépendamment avant leur correctif public . Les projets couverts incluaient cURL, NATS, pyca/cryptography, Sigstore, aiohttp, le projet Go, freenginx, Python et python.org, urllib3, PyPI, SimpleX, Valkey et RustCrypt . Les ingénieurs de Trail of Bits ont utilisé des exécutions répétées de /goal de Codex avec GPT-5.5-Cyber pour construire un laboratoire de fuzzing complet couvrant des dizaines de points d'entrée, de plateformes et de nouvelles graines de test en moins d'une semaine — une tâche qu'ils estiment normalement à au moins plusieurs semaines .

Les mainteneurs participants reçoivent également six mois de ChatGPT Pro offerts par OpenAI, incluant un accès conditionnel à Codex Security pour le codage, les automatisations et les flux de travail .

Daybreak Cyber Partner Program

OpenAI a lancé le Daybreak Cyber Partner Program, une initiative sur invitation uniquement qui donne aux éditeurs de sécurité un accès aux capacités cyber de pointe d'OpenAI (y compris GPT-5.5 avec Trusted Access) pour les intégrer dans leurs propres produits et services . Le programme vise à 'alimenter les produits construits sur nos meilleures capacités cyber pour que les principales entreprises de sécurité sécurisent les logiciels du monde' .

Partenaires de lancement confirmés

• Partenaires de lancement initiaux du programme (selon SiliconANGLE) : Accenture, Cisco, CrowdStrike, IBM, Okta, Palo Alto Networks, Wiz .
• Participants supplémentaires annoncés (d'après les communiqués de presse individuels) : Proofpoint , NCC Group , Darktrace , Tenable , Cato Networks , TrendAI .

Une liste de partenaires plus large, issue du lancement de Daybreak en mai 2026, incluait également Cloudflare, Oracle, Zscaler, Akamai, Fortinet, Intel, Qualys, Rapid7, Trail of Bits, SpecterOps, SentinelOne, Netskope, Snyk, Gen Digital, Semgrep et Socket .

Comparaison concurrentielle : OpenAI Daybreak vs. Project Glasswing & Mythos AI d'Anthropic

Cette extension positionne directement Daybreak d'OpenAI face au Project Glasswing et au modèle Mythos d'Anthropic. D'après les preuves disponibles, les deux efforts diffèrent par leur stratégie et présentent un paysage concurrentiel mouvant :

• Leadership variable selon les benchmarks : Sur l'évaluation indépendante de niveau Expert de l'AISI, GPT-5.5 a obtenu un taux de réussite de 71,4%, tandis que le résultat le plus directement comparable cité pour le modèle Anthropic est de 68,6%, suggérant une avance de GPT-5.5 sur ce benchmark gouvernemental spécifique . Sur CyberGym, le score de 85,6% de GPT-5.5-Cyber est présenté comme un nouveau record . Cependant, le Mythos d'Anthropic a été le premier IA à réaliser une simulation d'attaque réseau de bout en bout en 32 étapes, GPT-5.5-Cyber n'étant que le second .
• Différences de plafond de capacité : Le GPT-5.5 d'OpenAI est explicitement en dessous du seuil 'Critique' pour le développement autonome d'exploits zero-day, tandis que le Mythos d'Anthropic serait en avance sur certaines tâches de chaînes d'exploitation autonomes .
• Divergence stratégique : L'approche d'OpenAI se concentre sur un jeu d'écosystème large : un programme de correctifs open source (Patch the Planet), un vaste réseau de partenaires de sécurité et un plugin Codex Security intégré au développeur pour démocratiser la sécurité défensive, OpenAI présentant l'effort comme 'la sécurisation de chaque organisation dans le monde' . Le Project Glasswing et Mythos d'Anthropic sont positionnés comme étant plus étroitement focalisés sur l'équipe rouge offensive-défensive d'élite et la construction de chaînes d'exploitation autonomes, déployés via des programmes d'accès plus restreints .

Dans l'ensemble, les deux entreprises alternent en tête sur différents benchmarks et domaines de capacité. L'accent mis par OpenAI sur la démocratisation — correctifs open source, intégrations larges avec les partenaires et outils intégrés au développeur — contraste avec la stratégie de déploiement plus contrôlée et élitiste d'Anthropic. Les deux modèles restent à la pointe de la technologie dans leurs domaines de force respectifs, et la dynamique concurrentielle continuera probablement d'évoluer.