OpenAI a présenté Daybreak, une plateforme qui associe GPT-5.5, l'agent Codex Security et huit partenaires industriels dont Palo Alto Networks. OpenAI promet de ramener à quelques minutes un travail d'audit qui durait des heures. Seuls les défenseurs vérifiés peuvent accéder aux deux paliers supérieurs.

Codex Security, l'agent au cœur du dispositif, lit un dépôt logiciel et en tire un modèle de menace éditable - ©OpenAI
Codex Security, l'agent au cœur du dispositif, lit un dépôt logiciel et en tire un modèle de menace éditable - ©OpenAI

Sam Altman a annoncé le projet Daybreak sur son compte X.com. Trois paliers de modèles composent le dispositif. GPT-5.5 standard sert aux tâches générales des développeurs. Le palier intermédiaire, Trusted Access for Cyber, vise les équipes de défense accréditées. GPT-5.5-Cyber, le palier le plus permissif, sort en preview limitée pour le red teaming autorisé. Codex Security, l'agent au cœur du dispositif, lit un dépôt logiciel et en tire un modèle de menace éditable.

L'outil teste ensuite les chemins d'attaque réalistes en sandbox, puis génère un correctif. Huit partenaires industriels ont rejoint le programme dès le lancement : Cisco, Cloudflare, CrowdStrike, Fortinet, Akamai, Oracle, Zscaler et Palo Alto Networks. Aucun tarif n'a filtré.

Codex Security génère le patch et le teste avant livraison

Codex Security signale la faille, puis génère le patch, le teste en environnement isolé et renvoie une preuve auditable au système client. Sam Rubin, vice-président senior de l'Unit 42 chez Palo Alto Networks, parle d'« accès anticipé pour identifier des chemins d'attaque complexes » et traduire ces analyses en protection proactive.

ChatGPT (GPT-5.5)
ChatGPT (GPT-5.5)
  • Chat dans différentes langues, dont le français
  • Générer, traduire et obtenir un résumé de texte
  • Générer, optimiser et corriger du code
9 / 10
Télécharger

Lors d'une démonstration publique, OpenAI a demandé à Codex Security d'analyser une base de code, de valider les résultats à haut risque et d'appliquer les correctifs. Le gain de temps annoncé est de l'ordre d'heures ramenées à des minutes.

Daybreak est un peu la réponse du berger à la bergère, le Project Glasswing d'Anthropic, lancé le 7 avril dernier autour de Claude Mythos Preview. Mais la comparaison s'arrête là, car si Anthropic livre un modèle de langage, OpenAI livre une chaîne d'outils complète, branchée sur le dépôt de code du client.

Claude AI
  • Upload de fichiers pouvant aller jusqu'à 100 000 tokens (75 000 mots environ)
  • Personnalisation avancée
  • Conception éthique
9 / 10
Télécharger

CrowdStrike, présent dans Glasswing comme dans Daybreak, intègre déjà les modèles d'OpenAI et d'Anthropic dans son propre Project QuiltWorks.

Daybreak est un peu la réponse du berger à la bergère, le Project Glasswing d'Anthropic, lancé le 7 avril dernier autour de Claude Mythos Preview - ©gguy / Shutterstock

Faux positifs documentés et partenaires uniquement américains

Selon Renaud Lifchitz, directeur technique chez Enforcis, les outils IA de cette catégorie produisent 20 à 30 % de faux positifs, alors qu'environ 80 % des failles réelles passent sous le radar. La mesure provient de tests menés sur la génération précédente, notamment GPT-4o. OpenAI n'a publié aucun chiffre de faux positifs pour Daybreak. Or un patch généré à partir d'une fausse alerte modifie du code sain et peut casser le logiciel en production.

Le Campus Cyber, qui réunit près de 200 entreprises et institutions de cybersécurité près de Paris, a récemment publié une note d'analyse dans laquelle Joffrey Célestin-Urbain, président du Campus Cyber, et Tom David, PDG de GPAI Policy Lab, y anticipent « une vague de découverte massive de vulnérabilités mises au jour par l'IA » sans capacité de correction équivalente. OpenAI promet de générer le correctif dans la foulée de la détection.

Les huit partenaires de lancement sont tous américains. Anthropic présente le même profil avec Glasswing, dont les onze partenaires initiaux sont également américains. La Bundesbank et la FINMA suisse réclament un accès européen à Mythos depuis fin avril. Aucun fonds d'urgence ni réplique industrielle européenne n'ont été annoncées. Pour leur audit IA, les opérateurs critiques européens passeront par des modèles hébergés outre-Atlantique.

OpenAI ouvre un formulaire de candidature à toutes tailles d'organisation. Anthropic, lui, sélectionne ses partenaires Glasswing au cas par cas. La différence paraît cosmétique, mais un formulaire laisse une trace écrite et un précédent juridique.

Sur son blog, le chercheur en cybersécurité Himanshu Anand titre son billet « La politique de divulgation à 90 jours est morte ». Il y écrit : « Quand 10 chercheurs indépendants trouvent le même bug en six semaines, et qu'une IA transforme un diff de patch en exploit fonctionnel en 30 minutes, qu'est-ce que la fenêtre de 90 jours protège exactement ? Personne ».

Source : OpenAI