Google vient de franchir un cap important dans l’utilisation de l’intelligence artificielle pour la cybersécurité.
Son agent IA baptisé Big Sleep, développé par DeepMind en collaboration avec les experts de Project Zero, a identifié et signalé 20 vulnérabilités dans des logiciels open source populaires. C’est la première fois que cet outil de chasse aux bugs basé sur des modèles de langage (LLM) produit des résultats concrets.
Lire aussi :
- Amazon veut intégrer des publicités dans les conversations avec Alexa+ pour booster ses revenus
- GitHub Copilot franchit les 20 millions d’utilisateurs : l’IA est-elle en train de transformer le métier de développeur ?
Une IA autonome, mais avec une supervision humaine
Bien que ces vulnérabilités n’aient pas encore été corrigées, Google a choisi de ne pas révéler les détails techniques pour l’instant, une précaution standard dans l’industrie afin d’éviter toute exploitation avant le déploiement des correctifs.
Ce qui rend cette annonce notable, c’est que les failles ont été détectées et reproduites par l’IA sans intervention humaine. Cependant, avant d’envoyer les rapports, un expert humain valide leur qualité. Cette approche hybride assure à la fois précision technique et vérification responsable.
“Chaque vulnérabilité a été trouvée de manière autonome par l’agent IA, mais nous gardons un expert humain dans la boucle avant publication,” a déclaré Kimberly Samra, porte-parole de Google.
Google enrichit NotebookLM avec les Video Overviews : une nouvelle façon de visualiser l’information
Des cibles connues : FFmpeg, ImageMagick et autres outils critiques
Parmi les logiciels touchés, on retrouve FFmpeg, une bibliothèque très répandue dans la manipulation audio/vidéo, et ImageMagick, un outil puissant de traitement d’images. Ces programmes sont utilisés dans d’innombrables systèmes, applications web, et plateformes multimédia. Cela signifie que les failles découvertes peuvent potentiellement exposer des millions d’utilisateurs, même si leur gravité reste à confirmer.
Google n’est pas seul sur ce terrain. D’autres outils IA comme RunSybil ou XBOW explorent déjà le domaine de la détection automatisée de bugs. XBOW, par exemple, a déjà été récompensé dans le cadre du programme HackerOne, en atteignant les premières places des classements de chasse aux vulnérabilités.
Une innovation prometteuse, mais encore imparfaite
L’IA appliquée à la cybersécurité ouvre des perspectives immenses, mais elle n’est pas exempte de défauts. Plusieurs développeurs de projets open source ont déjà exprimé leurs frustrations : certains rapports générés par ces IA s’avèrent être des hallucinations, autrement dit des fausses alertes.
“On reçoit beaucoup de rapports qui paraissent valables, mais qui ne tiennent pas la route. C’est de l’or en apparence, mais en réalité, c’est juste du bruit,” a déclaré Vlad Ionescu, CTO de RunSybil.
Malgré cela, Big Sleep est salué comme un projet sérieux, combinant la puissance de calcul de DeepMind à l’expertise de Project Zero. Il pourrait bien devenir l’un des piliers de la sécurité automatisée de demain.
