OpenAI a publié sa dernière annonce de sécurité intitulée « Renforcer la cyberrésilience à mesure que les capacités de l’IA progressent », qui se concentre sur l’amélioration des capacités de son modèle dans le domaine de la cybersécurité, en exposant sa stratégie globale de cyber-résilience. OpenAI a indiqué que les performances de la nouvelle génération de modèles dans les évaluations cyberoffensives et défensives telles que Capture the Flag s’étaient nettement améliorées, et que l’entreprise prévoit des mesures de sécurité en partant du principe que « chaque nouvelle génération de modèles peut atteindre de hautes capacités réseau », dans le but d’aider les défenseurs tout en contrôlant le risque d’abus dans des limites acceptables.
En matière de gouvernance interne, OpenAI adopte une approche de protection à plusieurs niveaux, combinant contrôle d’accès, renforcement de l’infrastructure, contrôle des sorties et systèmes de surveillance, et entraîne le modèle à rejeter ou répondre en toute sécurité aux demandes évidentes d’abus réseau, tout en essayant de conserver le soutien à des fins éducatives et de défense. L’entreprise s’appuie également sur la surveillance au niveau système et la détection automatisée pour identifier les activités malveillantes potentielles, et collabore avec des équipes rouges externes pour effectuer des tests de bout en bout afin de détecter et corriger les faiblesses du lien de protection.
Pour l’écosystème plus large, OpenAI prévoit de lancer un « Plan d’accès de confiance » pour les travaux de cyberdéfense, offrant un accès amélioré et progressif aux utilisateurs éligibles ; Son outil de recherche en sécurité proxy, Aardvark, est entré en phase de bêta privée, qui analyse la base de code, détecte des vulnérabilités, propose des suggestions de correctifs et prévoit d’offrir une couverture gratuite pour certains projets open source non commerciaux. OpenAI créera également le Frontier Risk Council, invitant des experts seniors de la défense à participer aux discussions sur la modélisation des limites des capacités et des menaces, et partagera des modèles de menaces et des meilleures pratiques avec l’industrie via des plateformes telles que le Frontier Model Forum afin de renforcer la cyberrésilience de l’ensemble de l’écosystème.
FAQ
Q : Quel est l’objectif principal de cette annonce ?
R : Il explique principalement comment OpenAI privilégie le renforcement des capacités de défense et la réduction des risques d’abus grâce à une protection multi-niveaux, au contrôle d’accès et à la coopération industrielle, dans le contexte d’une amélioration rapide des capacités offensives et défensives des réseaux d’IA.
Q : Qu’est-ce que le modèle dit de « capacité réseau de haut niveau » ?
R : Il s’agit de modèles de pointe susceptibles de développer des exploits distants complexes et d’aider dans des opérations d’intrusion secrètes, ce qui nécessite une modélisation plus rigoureuse des menaces et une définition des limites de sécurité.
Q : À qui le programme d’accès aux fiducies sera-t-il ouvert ?
R : Un accès à plusieurs niveaux est offert aux utilisateurs et clients éligibles travaillant sur la cyberdéfense, avec des limites spécifiques et des champs d’application encore en cours de conception et de processus pilote.
Q : Quel est le rôle de l’Aardvark dans le système ?
R : Il s’agit d’un « chercheur en sécurité proxy » destiné aux développeurs et équipes de sécurité pour analyser le code à grande échelle, trouver des vulnérabilités et proposer des solutions de correction, et couvrira gratuitement certains projets open source non commerciaux à l’avenir.
Q : Que fait le Frontier Risk Council ?
R : Le comité consultatif sera composé de praticiens expérimentés en cyberdéfense et sécurité, qui conseilleront sur les limites des capacités du modèle, la modélisation des menaces et les évaluations de sécurité, et influenceront la conception ultérieure des mesures de sécurité.