792 vulnérabilités critiques repérées en trente jours. 14 CVE déposées sur des projets aussi massifs qu’OpenSSH, Chromium ou GnuTLS. Et tout ça sans qu’un seul chercheur humain n’ait tapé une ligne de code. Voilà le bilan de Codex Security, le nouvel agent de cybersécurité d’OpenAI, dévoilé le 6 mars 2026.

L’outil existait déjà sous le nom de code « Aardvark » depuis l’an dernier, en bêta fermée. Rebaptisé et intégré à la plateforme Codex, il est désormais accessible aux abonnés ChatGPT Pro, Enterprise, Business et Edu, gratuitement pendant un mois. Son principe : scanner un dépôt de code, en extraire un modèle de menaces adapté au projet, puis traquer les failles que les scanners classiques laissent passer.

Un agent qui raisonne au lieu de comparer

Les outils de sécurité traditionnels fonctionnent par correspondance de motifs. Ils repèrent un mot de passe en clair, une bibliothèque périmée, un chiffrement obsolète. Efficace pour les cas simples, insuffisant face aux failles de logique métier ou aux contrôles d’accès mal ficelés. Codex Security adopte une approche différente. Propulsé par GPT-5, l’agent lit le code comme le ferait un auditeur expérimenté : il reconstitue les interactions entre composants, suit le parcours des données, et identifie les scénarios d’exploitation que les règles statiques ignorent.

Chaque découverte passe ensuite par un environnement de test isolé. L’agent tente de reproduire l’exploit pour vérifier qu’il ne s’agit pas d’un faux positif. Résultat, selon OpenAI : les faux positifs ont chuté de plus de 50 % au fil de la bêta, le bruit (alertes mineures sans impact réel) a diminué de 84 % dans certains dépôts, et les erreurs de classification de sévérité ont été réduites de 90 %. Sur 1,2 million de commits passés au crible en un mois, les problèmes critiques ne représentaient que 0,1 % des analyses, signe que le filtre fonctionne.

OpenSSH, GnuTLS, Chromium : le tableau de chasse

Le volet le plus frappant concerne l’open source. OpenAI a utilisé Codex Security pour auditer les bibliothèques dont ses propres systèmes dépendent, et les résultats ont de quoi surprendre. Parmi les 14 CVE attribuées à ce jour : trois vulnérabilités dans GnuTLS (un dépassement de tampon dans l’outil certtool, un double-free dans l’export de noms alternatifs, et une lecture hors limites lors du parsing d’extensions SCT), un contournement d’authentification à deux facteurs dans GOGS, un débordement de pile dans gpg-agent, et des failles dans Chromium, libssh et PHP.

Certains de ces bugs dormaient dans le code depuis des années, malgré des revues humaines répétées. Le projet vLLM, très utilisé dans l’écosystème IA, a déjà commencé à intégrer Codex Security dans son flux de travail. OpenAI prépare l’extension de son programme « Codex for OSS » pour fournir aux mainteneurs open source un accès gratuit à l’outil et des comptes ChatGPT Pro.

À lire aussi

Copilot a lu vos emails confidentiels pendant un mois, et personne n’a rien vu
Dependabot : pourquoi un expert sécurité recommande de le désactiver

Anthropic avait dégainé deux semaines plus tôt

OpenAI n’est pas seul sur le créneau. Mi-février, Anthropic a lancé Claude Code Security, une fonctionnalité similaire intégrée à l’interface web de Claude Code. Le principe est comparable : analyse contextuelle du code, raisonnement sur la logique applicative plutôt que simple correspondance de motifs, vérification en plusieurs étapes pour filtrer les faux positifs, et propositions de correctifs soumises à validation humaine.

Les chiffres avancés par Anthropic sont tout aussi imposants. Grâce à Claude Opus 4.6, sorti début mars, l’équipe de sécurité offensive d’Anthropic (la « Frontier Red Team ») affirme avoir identifié plus de 500 vulnérabilités dans des bases de code open source en production, dont certaines passées inaperçues pendant des décennies malgré l’examen d’experts. L’entreprise a testé ces capacités dans des compétitions de type Capture the Flag et en partenariat avec le Pacific Northwest National Laboratory, un centre de recherche du département américain de l’Énergie spécialisé dans la protection des infrastructures critiques.

Les valeurs cybersécurité encaissent le choc

L’arrivée de ces outils a immédiatement secoué les marchés. Le jour de l’annonce d’Anthropic en février, les actions des spécialistes de la cybersécurité ont dévissé, selon Bloomberg. CrowdStrike a lâché 8 %, Cloudflare 8,1 %, Okta 9,2 % et SailPoint 9,4 %. Le Global X Cybersecurity ETF a reculé de 4,9 %, tombant à son plus bas niveau depuis novembre 2023.

Cette correction s’inscrit dans un mouvement plus large. Depuis le début de l’année, les éditeurs de logiciels traditionnels voient leurs valorisations grignotées par la crainte que les agents IA ne viennent remplacer des pans entiers de leur offre. La cybersécurité semblait pourtant protégée par la complexité de son domaine. Les annonces simultanées d’OpenAI et Anthropic montrent que cette protection a ses limites.

La partie ne fait que commencer. Les deux entreprises visent les clients entreprises avec des formules qui s’intègrent aux outils de développement existants, GitHub en tête. Les éditeurs historiques devront prouver que leurs produits apportent une couche de valeur que des modèles généralistes ne peuvent pas répliquer. CrowdStrike, qui tire l’essentiel de ses revenus de la détection sur les terminaux (endpoint detection) et non de l’analyse de code, a un positionnement différent, mais la pression boursière reflète un sentiment de marché sans nuance. La prochaine étape concrète : l’ouverture du programme Codex for OSS d’OpenAI aux mainteneurs extérieurs, annoncée « dans les semaines à venir ».