Google a annoncé le 1er novembre que son agent intelligent destiné à repérer des failles de sécurité, Big Sleep, avait identifié pour la première fois une vulnérabilité réelle. Cet outil d'intelligence artificielle a été développé conjointement par Project Zero, l'équipe d'experts en cybersécurité créée en 2014 au sein de Google pour détecter les vulnérabilités 0-day, et par DeepMind, la division IA de la firme américaine. Une vulnérabilité 0-day est une faille de sécurité jusqu'alors inconnue ou n'ayant fait l'objet d'aucun correctif.
“Un potentiel défensif énorme”, assure Google
Project Zero explique dans un communiqué que son agent a découvert une erreur de “sous-débit de mémoire tampon” dans une pile logicielle du moteur de bases de données open source SQLite. La faille de sécurité 0-day a ensuite été signalée aux développeurs de SQLite, qui l'ont corrigée le jour même. “Nous avons découvert ce problème avant qu'il n'apparaisse dans une version officielle, de sorte que les utilisateurs de SQLite n'ont pas été affectés”, assure Google.
D'après la firme américaine, cette découverte est le “premier exemple public d’un agent d’IA trouvant un problème de sécurité de mémoire exploitable jusqu’alors inconnu dans un logiciel largement utilisé dans le monde réel”, ajoutant que l'outil constitue “un potentiel défensif énorme”. Il ne s'agit cependant pas de la première découverte de vulnérabilité dans SQLite à l'aide d'un LLM. Cet été, lors d'un événement organisé par la Darpa, l'agence gouvernementale américaine chargée de la R&D dans le secteur militaire, un groupe intitulé Team Atlanta a identifié six failles de déréférencement de pointeur. L'une d'entre elles a même été corrigée de manière autonome.
Améliorer les tests de vulnérabilités
Google utilise aussi les outils d'IA pour améliorer ses techniques de recherche de vulnérabilités existantes. C'est le cas du fuzzing, qui consiste à injecter des données aléatoires dans les entrées d'un programme pour voir s'il plante ou génère une erreur. En début d'année, la firme californienne a dévoilé un framework de fuzzing à base d'IA, permettant d'automatiser les tests et d'écrire du code spécifique et adapté en fonction du programme.
“Le fuzzing a été d'une grande aide, mais nous avons besoin d'une approche qui puisse aider les défenseurs à trouver les bugs qui sont difficiles ou impossibles à trouver par fuzzing, détaille Project Zero. Nous espérons que l'IA pourra combler cet écart.” Google n'est cependant pas le seul acteur à porter ses efforts sur la recherche de vulnérabilités optimisée par IA. La start-up américaine de cybersécurité Protect AI a par exemple dévoilé le mois dernier “Vulnhuntr”, un outil d'analyse de code disponible sur GitHub. Ce dernier, basé sur les modèles Claude d'Anthropic, est notamment capable de trouver des failles Python 0-day.
![[ÉNERGIES] Déployez vos projets IA à l’échelle, inspirez-vous du cas ENGIE Entreprises et Collectivités](https://cdn.webikeo.com/webinar_logo/2025-10-24-ac93013fcd6c2ea907b5a091f0e74c90.png){kind=logo}
