Sam Altman a encore sorti un truc de son chapeau. Cette fois, c’est Codex Security, un agent IA qui promet de détecter, valider et patcher les vulnérabilités dans tes projets logiciels. La news est tombée hier, le 6 mars 2026, via un blog post d’OpenAI et une reprise rapide par The Decoder. Sur le papier, ça a l’air solide : l’agent analyse le contexte du projet pour chasser les bugs complexes, avec plus de confiance et moins de bruit. Et apparemment, il aurait déjà déniché des failles dans OpenSSH et Chromium. Pas mal, non ?
Sauf que, comme d’hab avec OpenAI, il faut lire entre les lignes. D’abord, c’est en « research preview ». Traduction : t’as pas le produit, t’as une démo en pré-recherche, probablement réservée à quelques partenaires privilégiés qui vont faire des retours pendant que le reste du monde attend à la porte. La technique classique : créer de la rareté artificielle, alimenter le buzz, et faire monter la hype avant de sortir quoi que ce soit de tangible. On a vu le même scénario avec GPT-4o ou Sora : des annonces tonitruantes suivies de mois d’attente pour l’accès grand public.
Ensuite, les exemples donnés (OpenSSH et Chromium) sentent le coup de com’ à plein nez. Ouvrir des projets open source majeurs, c’est bien, mais ça ne dit rien sur les performances en conditions réelles, sur des codebases privées, complexes, ou legacy. Combien de faux positifs ? Combien de vulnérabilités critiques passent à travers les mailles du filet ? Le communiqué est muet là-dessus. Et vu le passif d’OpenAI sur les évaluations de sécurité (rappelez-vous les déboires de ChatGPT avec les prompts jailbreak), on a le droit d’être sceptique.
L’angle intéressant, c’est que Codex Security s’inscrit dans la tendance des « agents IA » — ces modèles qui n’écrivent pas juste du code, mais agissent de manière autonome pour résoudre des tâches. OpenAI essaie de se positionner sur un créneau porteur : la sécurité applicative, un marché en pleine explosion avec la multiplication des cyberattaques. Mais est-ce que leur agent va tenir ses promesses, ou c’est juste un finetuning de Codex avec un habillage marketing ? À en juger par leur historique, mieux vaut garder son scepticisme.
Et puis, parlons du timing. OpenAI sort ça alors que la boîte est sous le feu des critiques pour ses pratiques opaques et ses levées de fonds astronomiques (12 milliards de pertes par trimestre, quand même). Un nouvel agent sécurité, c’est pratique pour redorer le blason et faire oublier les casseroles. « Regardez, on œuvre pour un monde plus sûr », pendant que derrière, l’équipe produit pousse des features à toute vitesse, quitte à négliger les garde-fous. Dire tout et son contraire, toujours.
Au final, Codex Security pourrait être une avancée intéressante si — et c’est un gros si — OpenAI assume une vraie transparence sur les performances, les limites, et l’accès. Mais pour l’instant, on a droit à une annonce en grande pompe, quelques exemples cherry-pickés, et un flou artistique sur les détails. Comme d’hab. Reste à voir si cet agent va vraiment sécuriser du code ou juste sécuriser la narrative d’OpenAI.
Sources :
Comments are closed