Une semaine après qu'Anthropic ait lancé Claude Mythos pour le marché de la cybersécurité, OpenAI a répondu avec sa propre version — GPT-5.4-Cyber. Mais l'innovation technologique ici est moins intéressante que ce que l'entreprise a fait avec les limitations.
Le même modèle, d'autres règles
GPT-5.4-Cyber n'est pas une architecture séparée, mais une version modifiée de GPT-5.4 avec des seuils de refus réduits pour les tâches légitimes de cybersécurité. OpenAI appelle cette approche « cyber-permissive » : le modèle répondra à des requêtes que la version standard aurait rejetées comme potentiellement dangereuses — analyse des vulnérabilités, rétro-ingénierie du code binaire, recherche de malwares.
Parmi les nouvelles capacités — la rétro-ingénierie binaire : les analystes peuvent rechercher du code malveillant dans les programmes et applications sans désassemblage manuel. Comme le note SiliconAngle, le score des benchmarks CTF (capture-the-flag — compétitions de cybersécurité) est passé de 27% sur GPT-5 en août 2025 à 76% sur la génération actuelle de modèles. Ce n'est pas une statistique abstraite : les scénarios CTF simulent les attaques réelles.
Accès par niveaux de vérification
Le modèle ne sera pas disponible en accès libre. OpenAI élargit le programme Trusted Access for Cyber (TAC) — un système de vérification multi-niveaux où les niveaux d'accès supérieurs déverrouillent des capacités plus puissantes. Le niveau le plus élevé donne accès à GPT-5.4-Cyber avec des limitations minimales.
La vérification inclut une vérification KYC (Know Your Customer) et une identification automatisée de personne. L'accès sera accordé aux organisations vérifiées, aux fournisseurs de solutions de sécurité et aux chercheurs. Parallèlement, OpenAI maintient des mécanismes de protection supplémentaires : surveillance des requêtes en temps réel et blocage asynchrone pour les clients sur les surfaces Zero Data Retention.
« Puisque les capacités de cybersécurité sont par nature à double usage, nous adoptons une approche prudente du déploiement »
— OpenAI, fiche système GPT-5.4
Double usage comme risque intégré
C'est ici que réside le véritable conflit, et non le récit de marketing. Un modèle entraîné à trouver des vulnérabilités et comprendre la logique d'attaque est par définition utile à la fois pour la défense et l'attaque. OpenAI le reconnaît ouvertement : dans la documentation, GPT-5.4 est classifié comme un modèle avec « Capacités cyber élevées » selon le système interne Preparedness Framework.
- Rétro-ingénierie du code binaire — trouve les vulnérabilités et aide à les exploiter
- Analyse de malwares — enseigne à comprendre les attaques, mais aussi à reproduire leur logique
- Recherche de vulnérabilités — pratique standard des testeurs de pénétration et, simultanément, des malveillants
Anthropic a fait face à la même situation avec Claude Mythos. Les deux entreprises misent sur la vérification d'accès comme mécanisme de protection principal — mais la vérification KYC ne garantit pas qu'une organisation vérifiée n'abusera pas des capacités ou ne sera pas victime d'une fuite d'identifiants.
Et après
OpenAI déclare directement que GPT-5.4-Cyber est une préparation à « des modèles plus puissants qui apparaîtront cette année ». Autrement dit, la barre des capacités continuera à augmenter, tandis que le système de vérification restera le même.
Si aucun incident documenté d'abus n'émerge publiquement au cours des six prochains mois, cela signifiera soit que le système TAC fonctionne réellement — soit que nous n'en entendrons simplement pas parler.
