Openai lâche un agent qui lit le code comme un hacker et le répare avant l'explosion
Une seule ligne oubliée, et c'est tout un service bancaire qui se retrouve à poil. Depuis vendredi, les développeurs peuvent dormir : Codex Security relit chaque commit à la place de l'œil humain, signale la faille, rédige le correctif, clique, c’est plié.
Finies les alertes à 3 h 14 du matin
Le principe est brutal : l’agent se branche sur le repo Git, ingurgite le diff, comprend la fonction — pas seulement la syntaxe — et, s’il sent une injection SQL ou un JWT mal ficelé, il pousse une MR corrigée avant que le café du matin refroidisse. Testé sur 1,4 million de lignes de code internes à OpenAI, le taux de faux positifs est tombé à 0,3 %, contre 17 % pour les scanners classiques.
À l’origine, un constable de trop : le Code Review humain est devenu une tâche de sisyphe. Le développeur moyen passe 11 heures par semaine à relire du Python qu’il n’a pas écrit, souvent le vendredi soir, souvent avec une pizza sur les genoux. Résultat : 43 % des vulnérabilités critiques découvertes en production auraient pu être bloquées en amont, admet un rapport interne de Microsoft.
Codex Security ne se contente pas de crier « au secours ». Il réécrit la portion incriminée, ajoute le rate limit manquant, renforce le chiffrement des secrets, puis résume la menace en deux phrases : « Si un attaant contrôle cette chaîne, il escalade jusqu’au pod Kubernetes racine. » Le développeur clique sur « Accept », la pipeline repart, l’histoire est finie.
Sam altman vend l’intelligence comme on vend l’électricité
Le CEO prévient : « Dans six mois, vérifier son code sans IA équivaudra à conduire sans ceinture. » Derrière la punchline, une industrie qui bascule : les budgets AppSec des grandes banques européennes ont déjà basculé 28 % de leurs crédits vers des licences d’agents autonomes. Le cabinet Gartner avance même que le marché de la « security-as-a-copilot » frôlera les 12 milliards de dollars d’ici 2026.
Pourtant, la machine ne sait pas tout. Elle ignore le contexte business : un même pattern open redirect est critique chez PayPal, anodin chez un site de recettes de cuisine. C’est pourquoi OpenAI garde une « approval gate » humaine : un ingénieur doit valider la suggestion avant merge. L’erreur absolue reste possible, mais elle coûtera désormais 4 minutes au lieu de 4 mois.
Accès limité aujourd’hui aux abonnés ChatGPT Pro, Team, Enterprise et Edu. L’offre est gratuite pendant la phase bêta, mais le prix public n’a pas filtré. Selon nos sources, OpenAI envisage un modèle à la copilot : 19 $ par développeur et par mois, facturé dès le premier commit scanné.
La guerre des agents est ouverte. Google prépare son propre « Sec-Agent » intégré à Gemini, Amazon teste « CodeGuru Sentinel » en interne, et la startup française Datadog vient de lever 55 millions pour contrer l’offensive américaine. Le perdant ? Le prestataire d’audit externe, ces cabinets qui facturaient 80 000 € pour un pentest annuel et livraient un PDF de 200 pages que personne ne lisait.
Reste la question du travail. Le métier de « code reviewer » disparaît-il ? Dans les couloirs d’Ubisoft, on rigole déjà : « On va juste embaucher des seniors qui savent dire non à une IA. » Le vrai chômage touchera les juniors qui passaient leur journée à chercher des SQLi dans le legacy. Pour eux, apprendre la sécurité sans passer par la case « galère nocturne » ressemble à un stage de pilotage sur simulateur : on sait conduire, mais on n’a jamais senti l’odeur de l’asphalte brûlé.
Ni remplacement, ni miracle. Codex Security est une mitrailleuse à correctifs : elle tire vite, mais quelqu’un doit viser. Le développeur devient tireur d’élite, l’IA devient l’arme. Ceux qui refuseront de s’en saisir découvriront bientôt que leurs applications seront aussi sûres qu’un porte-feuille en papier dans une rame de métro. Fin de l’histoire, pas de point d’interrogation.