L’IA accélère-t-elle la découverte des vulnérabilités et zero-days Windows ?

Ces dernières semaines, les actualités sécurité autour de Windows se sont enchaînées à un rythme inhabituel :

• plusieurs zero-days Microsoft Defender
• YellowKey contre BitLocker
• MiniPlasma donnant les privilèges SYSTEM
• des vulnérabilités WinRE et Secure Boot
• des PoC publiés publiquement quelques heures après disclosure

Simple impression ou véritable changement dans la cybersécurité ?

De plus en plus de chercheurs, mainteneurs Linux et entreprises sécurité estiment que l’intelligence artificielle est en train de transformer profondément la découverte de vulnérabilités logicielles.

Mais contrairement à certains discours alarmistes sur les réseaux sociaux, la réalité est plus nuancée.

Google a déjà trouvé de vraies vulnérabilités avec une IA

Le cas le plus connu est probablement Big Sleep, un projet développé par Google DeepMind et Google Project Zero.

En novembre 2024, Google annonçait que son agent IA avait découvert une véritable vulnérabilité exploitable dans SQLite, un moteur de base de données extrêmement utilisé dans le monde entier. Google présentait alors cette découverte comme la première “real-world vulnerability” trouvée par un agent IA.

Le bug concernait un stack buffer underflow exploitable dans SQLite et a été corrigé avant même d’arriver dans une version publique du logiciel.

Google affirme depuis que Big Sleep continue de découvrir d’autres vulnérabilités critiques dans des logiciels open source.

Cela marque un tournant important :

• l’IA ne sert plus uniquement à analyser du texte
• elle commence réellement à participer à la recherche offensive et défensive de vulnérabilités

Linus Torvalds parle d’un “boxon” sur les listes sécurité Linux

Le phénomène est devenu tellement visible que Linus Torvalds lui-même a récemment critiqué l’explosion des rapports de bugs générés avec l’aide d’IA sur les mailing lists sécurité du noyau Linux.

Selon le créateur de Linux, “the continued flood of AI reports has basically made the security list almost entirely unmanageable”.

Le problème ne vient pas uniquement des vulnérabilités réelles découvertes, mais aussi :

• des doublons massifs
• des faux positifs
• des rapports générés automatiquement
• de chercheurs utilisant les mêmes modèles IA pour scanner le même code

Résultat :

• plusieurs personnes soumettent les mêmes bugs
• les mainteneurs passent énormément de temps à trier
• certaines listes sécurité deviennent difficiles à gérer

Linus Torvalds précise d’ailleurs qu’il ne rejette pas l’IA elle-même, mais plutôt son utilisation “sans compréhension technique réelle” par certains chercheurs.

Les modèles IA deviennent très bons pour analyser du code

Ce qui change surtout depuis 2024-2026, c’est la vitesse.

Les nouveaux modèles sont capables :

• d’analyser de très grandes bases de code
• de suivre des flux d’exécution complexes
• d’identifier des patterns dangereux
• de repérer des erreurs mémoire
• d’automatiser certaines recherches de vulnérabilités

Plusieurs travaux académiques récents montrent des résultats impressionnants.

Par exemple :

• DrvHorn a détecté 545 bugs dans des drivers Linux, dont 424 inconnus auparavant
• FuzzingBrain V2 affirme avoir trouvé 29 zero-days dans 12 projets open source
• certains frameworks IA atteignent désormais plus de 90 % de détection sur certains benchmarks sécurité

Même OpenAI o3 a récemment été utilisé par un chercheur pour identifier une vulnérabilité Linux SMB critique dans le noyau Linux.

Mais attention aux discours catastrophistes

Pour autant, il faut rester prudent.

Rien ne prouve aujourd’hui que les récents zero-days Windows :

• YellowKey
• MiniPlasma
• ou les failles Microsoft Defender

aient été directement découverts par IA.

Les chercheurs derrière ces vulnérabilités n’ont pas indiqué avoir utilisé des modèles IA pour les trouver.

De plus, l’explosion apparente des vulnérabilités provient aussi :

• d’une médiatisation plus forte
• de la publication rapide des PoC
• d’une meilleure industrialisation du fuzzing
• et d’outils automatiques de recherche déjà très avancés depuis plusieurs années

Autre point important : l’IA génère énormément de bruit.

Une étude récente sur les faux positifs dans le noyau Linux montre que les rapports erronés coûtent énormément de temps aux mainteneurs et deviennent un vrai problème opérationnel.

Autrement dit :

• l’IA trouve davantage de bugs
• mais elle produit aussi davantage de mauvais signal

La vraie révolution : l’industrialisation de la recherche de vulnérabilités

Le changement majeur semble surtout être l’industrialisation de la recherche de vulnérabilités.

Avant :

• trouver un bug complexe demandait souvent des semaines
• voire des mois d’analyse humaine

Aujourd’hui :

• des modèles IA peuvent scanner du code 24h/24
• comparer automatiquement des patterns
• générer des hypothèses
• accélérer le tri des vulnérabilités potentielles

Cela réduit fortement le coût et le temps nécessaires pour découvrir certains bugs.

Pour les éditeurs comme Microsoft, Google ou les mainteneurs Linux, cela signifie probablement :

• davantage de vulnérabilités découvertes
• davantage de Patch Tuesday
• davantage de pression sur les équipes sécurité
• et des cycles de correction potentiellement plus courts

La cybersécurité entre progressivement dans une phase où l’IA ne remplace pas encore les chercheurs humains… mais augmente considérablement leur capacité de recherche.

Sources :

• Google Project Zero – From Naptime to Big Sleep
• Google Blog – Big Sleep et cybersécurité IA
• Tom’s Hardware – Linus Torvalds critique les rapports IA
• The Verge – Linux et les rapports de bugs IA
• arXiv – Characterizing False-Positive Bug Reports in the Linux Kernel
• The Hacker News – Big Sleep découvre une faille SQLite

L’article L’IA accélère-t-elle la découverte des vulnérabilités et zero-days Windows ? est apparu en premier sur malekal.com.