- En observant l’évolution du concours AIxCC et des compétitions de hacking, j’ai pris conscience d’un changement de paradigme dans l’industrie de la sécurité et j’ai moi-même construit un workflow de découverte de vulnérabilités en conditions réelles.
- Au départ, j’ai aussi envisagé les vulnérabilités mémoire et le hacking en boîte noire, mais j’ai changé d’orientation en raison de limites liées aux politiques et du risque de crash serveur. À la place, j’ai ciblé de grands projets web open source (Nextcloud, Matomo, Grafana, etc.), dont le code est publié de manière transparente et pour lesquels la capacité des LLM à comprendre le contexte peut pleinement s’exprimer dans l’analyse d’une logique métier complexe.
- Pour résoudre le problème de coût lié à la consommation de tokens, donc de soutenabilité, j’ai conçu une architecture de routage en 3 étapes basée sur les modèles GLM, offrant un excellent rapport coût-efficacité, en m’appuyant sur un article de benchmark découvert sur GeekNews.
- Finding (GLM-4.7) : augmenter le nombre d’appels de la version 4.7, environ trois fois moins chère que les modèles haut de gamme, afin d’explorer à grande échelle des candidats vulnérabilités
- Semi-Triage (GLM-5) : filtrage de premier niveau des faux positifs évidents
- Triage (Codex 5.3) : validation finale uniquement des données survivantes avec le modèle le plus avancé, puis notification automatique vers Discord/Notion (avant tout signalement, la reproduction et la vérification sont effectuées manuellement)
- Grâce au prompt engineering, j’ai contrôlé la tendance propre aux LLM à « survoler approximativement » les choses.
- obligation d’afficher dans chaque réponse les 3 éléments « conditions côté attaquant, conditions côté serveur, impact sécurité (CIA) »
- vérification croisée avec la politique de sécurité officielle et la documentation des projets open source afin de distinguer clairement un simple bug d’une véritable vulnérabilité de sécurité
- Au final, l’IA a réussi à repérer de fines failles logiques que les humains peuvent facilement manquer lorsque leur concentration baisse après avoir comparé des dizaines de milliers de lignes de code de routage et de moteur d’autorisations.
- En particulier, l’IA a découvert une faille dans l’API de gestion des permissions des tableaux de bord de Grafana, où un argument de scope était omis lors de la vérification interne des autorisations, ce qui a permis de signaler une grave vulnérabilité d’élévation de privilèges permettant de prendre le contrôle d’autres tableaux de bord (CVE-2026-21721, CVSS 8.1).
- En plus de cela, plusieurs zero-days (CVE) et bug bounties ont été obtenus sur Nextcloud (XSS, contournement d’authentification), Protobuf (DoS), Airflow, Discourse et d’autres projets.
- L’auteur estime qu’à l’avenir, l’IA remplacera en grande partie le travail de découverte simple de vulnérabilités (red team), et partage l’idée que la capacité à concevoir directement ce type de workflows de sécurité IA ainsi qu’à élaborer des stratégies défensives du point de vue blue team adaptées au contexte métier deviendront plus importantes pour les hackers.
Aucun commentaire pour le moment.