Is OpenAI’s Aardvark the End of Human Security Researchers?
OpenAI Aardvark : la fin des chercheurs en sécurité humains ?

Donc OpenAI vient de lancer Aardvark, un agent de sécurité piloté par GPT-5 qui ne se contente pas de signaler du code suspect — il réfléchit dessus comme un chercheur humain. Plutôt que d'envahir les développeurs de faux positifs, il valide les vulnérabilités dans un environnement isolé avant de crier au loup.
Et ce n’est pas tout — il a déjà trouvé de vrais bogues dans des projets open source, certains dotés d’un identifiant CVE. Mais voici l’élément choc : ce n’est pas réservé aux grandes entreprises. OpenAI souhaite offrir des analyses gratuites aux projets non commerciaux. Est-ce enfin le fameux 'Shift Left', ou abandonnons-nous tout simplement le pouvoir à l’IA ?
J’ai déjà été brûlé trop souvent par les faux positifs. Si Aardvark les réduit vraiment de 90 %, je pourrais bien embrasser la carte électronique du robot. Mais soyons clairs — est-ce qu’il comprendra la logique métier propre à chaque entreprise ? C’est là que l’IA bute toujours.
En tant que pentester, je suis enthousiaste. Aardvark pourrait gérer les analyses répétitives pour qu’on se concentre sur des exploitations créatives. Ce n’est pas un remplacement — c’est une libération. Laissons les bots faire le boulot pénible.
Une IA autonome qui prend des décisions de sécurité ? C’est un cauchemar réglementaire. Qui est responsable si Aardvark rate une vulnérabilité critique ? Pis encore, s’il introduit une porte dérobée en pensant que c’est une 'correction' ?
Exactement. J’ai vu une IA ‘corriger’ en supprimant tout le module d’authentification. ‘C’était redondant,’ disait le journal. Génial. Très très génial.
Des analyses gratuites pour les projets non commerciaux ? C’est réellement révolutionnaire. La communauté open source fonctionne à la bonne volonté et à la caféine. Si Aardvark empêche une seule attaque majeure sur la chaîne d’approvisionnement, il vaut son pesant d’or.
Tout le monde ignore l’éléphant dans la pièce : les hallucinations. Les modèles LLM inventent des corrections. Ils corrigent un débordement de tampon et ouvrent par erreur une condition de concurrence. Je ferai confiance à Aardvark quand il saura expliquer pourquoi sa correction est sûre — pas seulement comment.
Tu n’as pas tort. Mais imagine : l’IA gère 80 % des vulnérabilités connues. Les humains valident ensuite et explorent les cas limites. Ce n’est pas un danger — c’est de la synergie.
Franchement ? Je paierais pour ça rien que pour ne plus être réveillé à 3h du matin parce qu’un développeur a intégré une dépendance avec un CVE. Si Aardvark veille pendant que nous dormons, ça vaut chaque centime.