L’IA o3 d’OpenAI identifie une faille zero-day dans Linux, révélant un potentiel inédit pour l’analyse automatisée de vulnérabilités critiques.
Le 20 mai 2025, une faille critique dans le noyau Linux a été officiellement confirmée : CVE-2025-37899. Mais ce qui rend cette découverte inédite, ce n’est pas tant la nature du bug que celui qui l’a identifié. Ce n’est pas un chercheur humain, mais le modèle de langage o3 d’OpenAI, capable d’analyser du code source complexe et de détecter des failles que même les experts peuvent rater.
Une faille « use-after-free » dans ksmbd
La vulnérabilité touche un composant du noyau Linux appelé ksmbd, utilisé pour le partage de fichiers sur un réseau, un peu comme un dossier partagé sur Windows. Cette faille est liée à une mauvaise gestion de la déconnexion d’un utilisateur. En simplifiant : lorsque le système pense qu’un utilisateur est parti, il libère la mémoire qui lui était associée. Mais s’il y a encore une autre action qui utilise cette mémoire en parallèle, cela crée une situation instable appelée « use-after-free ».
Ce type d’erreur peut provoquer un plantage du système ou, dans certains cas, permettre à un attaquant d’exécuter du code malveillant avec un contrôle total sur l’ordinateur. Plusieurs versions du noyau Linux sont concernées, notamment les versions 6.12.27, 6.14.5 et 6.15-rc4. Des distributions comme SUSE travaillent déjà à publier des correctifs. Même si le risque d’exploitation réelle est estimé à seulement 0,02 %, les experts en sécurité considèrent cette faille comme sérieuse en raison de son impact potentiel.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Une prouesse technique de l’IA o3
Le chercheur à l’origine de la découverte voulait initialement tester les capacités du modèle o3 sans recourir à d’autres outils ou frameworks. Résultat : en analysant simplement le code via l’API o3, l’IA a repéré le comportement à risque sans aide extérieure. Il affirme que c’est la première fois qu’un modèle de langage détecte une faille de ce type dans un composant aussi critique du noyau Linux.
L’IA a non seulement trouvé CVE-2025-37899, mais a aussi redétecté CVE-2025-37778, une autre faille que le développeur avait lui-même identifiée manuellement, cette fois dans le mécanisme d’authentification Kerberos. Dans des tests comparatifs, o3 l’a détectée dans 8 exécutions sur 100, contre 3 pour Claude Sonnet 3.7 et 0 pour Claude 3.5. Malgré un taux de faux positifs élevé (environ 28%), la pertinence des alertes justifie l’intérêt d’intégrer ces outils dans les processus de recherche de vulnérabilités.
Comprendre et raisonner sur du code complexe
La performance du modèle o3 repose sur sa capacité à raisonner sur des structures de code complexes et des scénarios de concurrence difficilement détectables. Dans le cas de CVE-2025-37899, il a su identifier un enchaînement de traitements entre threads concurrents qui partageaient un même objet en mémoire. Le modèle a simulé mentalement ce que plusieurs analystes expérimentés auraient mis beaucoup de temps à établir : une faille subtile, résultant d’un manque de synchronisation entre les connexions SMB.
Le plus impressionnant ? Dans certains cas, o3 a même proposé des correctifs plus robustes que ceux envisagés par le chercheur lui-même. Par exemple, lorsqu’il s’agissait de s’assurer qu’un pointeur libéré ne soit plus accessible, o3 a souligné que le simple fait de le mettre à NULL ne suffisait pas, car plusieurs connexions pouvaient toujours y accéder à travers d’autres références partagées.
Vers une collaboration homme-machine en cybersécurité
Ce cas marque un tournant dans l’évolution des pratiques de sécurité informatique. Loin de remplacer les chercheurs, l’IA devient un véritable copilote pour les professionnels de la cybersécurité. Elle permet de traiter des volumes de code autrement inaccessibles dans un délai raisonnable, tout en offrant un niveau de raisonnement qui tend à se rapprocher de celui d’un expert.
La découverte de CVE-2025-37899 avec l’IA o3 illustre les avantages concrets d’un tel partenariat. À terme, cette approche pourrait s’imposer comme une nouvelle norme dans la recherche proactive de vulnérabilités, à condition d’encadrer correctement l’utilisation de ces outils et de renforcer les mécanismes de validation humaine.
Pour en savoir plus
Vulnérabilité SMB Zero-Day du noyau Linux découverte via ChatGPT
Un chercheur en sécurité a découvert une vulnérabilité zero-day (CVE-2025-37899) dans l’implémentation du serveur SMB du noyau Linux utilisant le modèle de langage o3 d’OpenAI. Cette vulnérabilité, un bug d’utilisation de mémoire après libération dans le gestionnaire de commandes SMB « logoff », pourrait permettre à des attaquants distants d’exécuter du code arbitraire.
o3 d’OpenAI découvre une vulnérabilité zero-day dans Linux (et c’est une première mondiale)
Aaaah si seulement on avait des stagiaires en cybersécurité capable de lire 100 000 lignes de code en quelques secondes et de repérer des indices que même les experts ratent. Et bien c’est exactement ce que o3 d’OpenAI vient…
(Re)découvrez également:
Identifier les échecs des agents IA : la taxonomie de Microsoft
Des failles insoupçonnées aux stratégies défensives concrètes, découvrez comment Microsoft classe les risques majeurs des systèmes d’IA agentiques.
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
