OpenAI a récemment lancé une version de son modèle GPT-5.4 baptisée GPT-5.4-Cyber, conçue spécialement pour le domaine de la cybersécurité. Contrairement aux modèles publics traditionnels, cette version dispose de capacités étendues, notamment dans le reverse engineering, l’analyse de malware ou encore l’étude de vulnérabilités. Cependant, son accès est strictement réservé aux professionnels de la sécurité vérifiés via le programme Trusted Access for Cyber, ce qui limite sa diffusion et privilégie un contrôle accru.
Ce changement stratégique marque une évolution notable dans la gestion des risques liés à l’utilisation de ces intelligences artificielles. OpenAI a décidé d’abandonner le simple bridage direct du modèle — basé sur des garde-fous ou du RLHF — au profit d’un mécanisme basé sur la vérification d’identité et un monitoring étendu de l’usage. Ce système permet d’accéder à des fonctionnalités plus puissantes, telles que le reverse engineering de binaires sans code source ou l’analyse approfondie de logiciels malveillants, tout en tentant de garder une certaine maîtrise sur leur utilisation.
“Plus le niveau de vérification d’identité est élevé, plus les capacités du modèle sont débloquées.”
Ce déplacement de posture, d’un modèle fortement bridés vers une gestion basée sur l’identité et la surveillance, illustre une adaptation face aux efforts de contournement des garde-fous par les acteurs malveillants. OpenAI admet que ces derniers offrent, souvent, des moyens de contourner la vérification initiale, tels que l’utilisation d’identités empruntées ou de sociétés écran, ce qui rend le contrôle en amont difficile. La surveillance en aval reste donc essentielle, même si cela soulève des questions quant à la solidité de ces mécanismes de sécurité.
Ce contexte s’inscrit dans un marché où la compétition est féroce, comme en témoigne le lancement récent d’un concurrent, Mythos, qui propose également un modèle cyber avec un mécanisme d’accès vérifié. OpenAI, en misant davantage sur la technologie d’identification plutôt que sur la compétitivité brute en termes de performance, cherche à préserver sa position tout en évitant une course aux garde-fous qui pourrait être difficile à contrôler à long terme. La question clé demeure : la vérification d’identité est-elle suffisamment robuste pour empêcher les usages malveillants ?
En résumé, ce qui caractérise cette évolution, c’est une « mutation » du contrôle : avec un modèle plus performant disponible uniquement pour les vérifiés et une surveillance renforcée, OpenAI tente de concilier innovation et sécurité dans un marché en rapide mutation.
Les risques majeurs viennent de la solidité de la vérification, et non plus uniquement des limitations du modèle.
