- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
L'IA part à la chasse aux bugs
Will Knight, Senior Writer
Les derniers modèles d'intelligence artificielle ne sont pas seulement remarquablement doués en ingénierie logicielle — de nouvelles recherches montrent qu'ils s'améliorent sans cesse pour trouver également des bugs dans les logiciels.
Des chercheurs en IA de l'UC Berkeley ont testé l'efficacité des derniers modèles et agents d'IA pour trouver des vulnérabilités dans 188 grandes bases de code open source. En utilisant une nouvelle référence appelée CyberGym, les modèles d'IA ont identifié 17 nouveaux bugs, dont 15 auparavant inconnus, ou « zero-day ». « Beaucoup de ces vulnérabilités sont critiques », déclare Dawn Song, professeur à l'UC Berkeley qui a dirigé les travaux.
De nombreux experts s'attendent à ce que les modèles d'IA deviennent de formidables armes de cybersécurité. Un outil d'IA de la startup Xbow a actuellement grimpé dans le classement du classement HackerOne pour la chasse aux bugs et se classe actuellement en tête. La société a récemment annoncé 75 millions de dollars de nouveaux financements.
Song affirme que les compétences en codage des derniers modèles d'IA, combinées à l'amélioration des capacités de raisonnement, commencent à modifier le paysage de la cybersécurité. « C'est un moment charnière », dit-elle. « Cela a en fait dépassé nos attentes générales. »
Au fur et à mesure que les modèles continuent de s'améliorer, ils automatiseront le processus de découverte et d'exploitation des failles de sécurité. Cela pourrait aider les entreprises à protéger leurs logiciels, mais pourrait également aider les pirates à s'introduire dans les systèmes. « Nous n'avons même pas fait beaucoup d'efforts », déclare Song. « Si nous augmentions le budget, permettions aux agents de fonctionner plus longtemps, ils pourraient faire encore mieux. »
L'équipe de l'UC Berkeley a testé des modèles d'IA de pointe conventionnels d'OpenAI, Google et Anthropic, ainsi que des offres open source de Meta, DeepSeek et Alibaba, combinés à plusieurs agents pour trouver des bugs, notamment OpenHands, Cybench et EnIGMA.
Les chercheurs ont utilisé des descriptions des vulnérabilités logicielles connues des 188 projets logiciels. Ils ont ensuite alimenté les descriptions aux agents de cybersécurité alimentés par des modèles d'IA de pointe pour voir s'ils pouvaient identifier eux-mêmes les mêmes failles en analysant de nouvelles bases de code, en exécutant des tests et en élaborant des preuves de concept d'exploitation. L'équipe a également demandé aux agents de rechercher eux-mêmes de nouvelles vulnérabilités dans les bases de code.
Au cours du processus, les outils d'IA ont généré des centaines d'exploits de preuve de concept, et parmi ces exploits, les chercheurs ont identifié 15 vulnérabilités inédites et deux vulnérabilités qui avaient déjà été divulguées et corrigées. Les travaux s'ajoutent aux preuves croissantes que l'IA peut automatiser la découverte des vulnérabilités zero-day, qui sont potentiellement dangereuses (et précieuses) car elles peuvent fournir un moyen de pirater des systèmes en direct.
L'IA semble néanmoins destinée à devenir une partie importante de l'industrie de la cybersécurité.
L'expert en sécurité Sean Heelan a récemment découvert une faille zero-day dans le noyau Linux largement utilisé avec l'aide du modèle de raisonnement o3 d'OpenAI. En novembre dernier, Google a annoncé qu'il avait découvert une vulnérabilité logicielle auparavant inconnue à l'aide de l'IA grâce à un programme appelé Project Zero.
Comme d'autres secteurs de l'industrie du logiciel, de nombreuses entreprises de cybersécurité sont tombées amoureuses du potentiel de l'IA. Les nouveaux travaux montrent en effet que l'IA peut trouver de nouvelles failles de manière routinière, mais mettent également en évidence les limites restantes de la technologie. Les systèmes d'IA n'ont pas pu trouver la plupart des failles et ont été déconcertés par les plus complexes.
« Le travail est fantastique », déclare Katie Moussouris, fondatrice et PDG de Luta Security, en partie parce qu'il montre que l'IA ne peut toujours pas rivaliser avec l'expertise humaine — la meilleure combinaison de modèle et d'agent (Claude et OpenHands) n'a pu trouver qu'environ 2 % des vulnérabilités. « Ne remplacez pas encore vos chasseurs de bugs humains », dit Moussouris.
Moussouris dit qu'elle est moins préoccupée par le piratage logiciel de l'IA que par les entreprises qui investissent trop dans l'IA au détriment d'autres techniques.
