OpenAI déploie Aardvark, agent IA pour sécuriser le code et projets pilotes en finance

OpenAI lance Aardvark, un agent IA capable d'analyser et corriger le code comme un expert en cybersécurité. Parallèlement, la firme développe des modèles spécialisés pour la finance et le conseil, visant à automatiser les tâches répétitives.

OpenAI innove en cybersécurité logicielle avec Aardvark, un agent d'analyse et correction de code alimenté par GPT-5, actuellement en bêta privée. Cette solution promet de révolutionner la détection des vulnérabilités en intégrant un raisonnement proche de celui d'un chercheur humain. Par ailleurs, OpenAI travaille sur des projets pilotes dédiés aux secteurs du conseil et de la banque d'investissement, visant à automatiser les tâches fastidieuses confiées aux juniors, illustrant une spécialisation croissante de l'IA générative.

Aardvark : une nouvelle ère pour la sécurité logicielle

Contrairement aux scanners classiques qui se contentent de signaler des anomalies, Aardvark analyse la sémantique et le comportement du code pour comprendre ses mécanismes. Pareekh Jain, DG d'EIIRTrend, souligne que l'agent agit comme un véritable chercheur en sécurité, intégrant un raisonnement alimenté par un large modèle de langage (LLM). En s'insérant directement dans le pipeline de développement, il offre une protection continue qui évolue avec le logiciel.

OpenAI met en avant la capacité d'Aardvark à combiner analyse, automatisation et validation. L'agent cartographie le référentiel, construit un modèle de menace contextuel, puis surveille les commits récents pour détecter les risques. Une étape clé consiste à valider l'exploitabilité des vulnérabilités dans un environnement sandbox avant de les signaler, réduisant ainsi les faux positifs qui submergent souvent les développeurs.

Une fois une faille confirmée, Aardvark s'appuie sur Codex pour proposer un correctif, qu'il réanalyse ensuite afin d'éviter l'introduction de nouveaux problèmes. Lors de tests, le système a détecté 92 % des vulnérabilités synthétiques introduites dans des référentiels de test, ce qui laisse entrevoir une prise en charge partielle de l'audit logiciel par l'IA.

OpenAI a déjà déployé Aardvark dans des projets open source, où il a identifié plusieurs vulnérabilités réelles, dont dix ont reçu des identifiants CVE officiels. La société prévoit de fournir gratuitement des analyses pour certains projets open source non commerciaux, dans un cadre de divulgation coordonnée permettant aux responsables de corriger les failles avant publication.

Cette initiative s'inscrit dans la tendance du "shifting security left", qui vise à intégrer la sécurité dès les premières phases de développement plutôt que de la traiter en fin de cycle. Avec plus de 40 000 vulnérabilités CVE signalées annuellement, l'intégration de l'IA dans les workflows des développeurs pourrait équilibrer rapidité et vigilance.

Des projets pilotes pour la finance et le conseil

Parallèlement, OpenAI développe deux projets pilotes ciblant le conseil en management et la banque d'investissement. Baptisé Argentum, le projet pour le conseil mobilise plus de 150 anciens consultants issus de cabinets prestigieux comme McKinsey, Bain et Boston Consulting pour entraîner des modèles capables d'exécuter les tâches de base du secteur.

Dans le domaine financier, le dispositif Mercury implique plus de 100 anciens banquiers d'affaires de JP Morgan Chase, Morgan Stanley et Goldman Sachs. Leur rôle est d'aider à former des modèles dédiés à la construction de modèles financiers, dans le but de remplacer les tâches répétitives des jeunes analystes.

Sanchit Vir Gogia, CEO du cabinet Greyhound Research, souligne que ces initiatives traduisent une évolution de l'IA générative vers des ressources spécialisées, capables d'intégrer les pratiques métier plutôt que de se limiter à imiter le langage. Selon lui, 68 % des décideurs considèrent désormais l'IA comme un collaborateur plutôt qu'un simple outil de réduction des coûts.

Craig Le Clair, analyste principal chez Forrester, met en garde contre la difficulté d'intégrer ces agents IA aux processus métiers. Il estime que 60 % des entreprises restent bloquées au stade de preuve de concept, et seulement 15 % obtiennent un impact significatif. Le principal obstacle réside dans le "fossé entre l'action et la décision", c'est-à-dire la distance entre les informations générées par l'IA et leur exploitation réelle.

Pour maximiser le retour sur investissement, les entreprises doivent investir non seulement dans les licences et le cloud, mais aussi dans les services liés aux changements organisationnels et à l'évolution des compétences. Forrester recommande de développer cinq catégories de compétences : traitement des connaissances, gestion du changement, pensée critique, interaction et supervision des agents.

Des cas concrets illustrent ces défis. Une banque a constaté que l'IA générative réduisait le temps de traitement des notes de crédit de plusieurs jours à quelques heures, mais les résultats présentaient des lacunes et un manque de vérification des sources. Un cabinet de conseil a observé des gains de productivité initiaux, mais a dû adapter son modèle de formation pour clarifier les rôles entre collaborateurs et machines.

À lire