Une nouvelle ère pour la sécurité de la blockchain : OpenAI et Paradigm dévoilent EVMbench

Dans une démarche décisive pour renforcer l'intersection de l'intelligence artificielle (IA) et de la finance décentralisée, OpenAI a annoncé un partenariat stratégique avec la société d'investissement crypto Paradigm. La collaboration introduit EVMbench, un benchmark (référence) complet conçu pour évaluer les capacités des agents d'intelligence artificielle (AI agents) à détecter, corriger et exploiter les vulnérabilités des contrats intelligents (smart contracts).

En février 2026, l'écosystème crypto sécurise plus de 100 milliards de dollars d'actifs open-source, ce qui en fait une cible lucrative pour les acteurs malveillants. Le lancement d'EVMbench représente un passage critique de l'application théorique de l'IA à des tests pratiques et rigoureux dans des environnements économiquement significatifs. En fournissant un cadre standardisé, OpenAI et Paradigm visent à accélérer le développement de systèmes d'IA défensifs capables d'auditer et de renforcer le code avant qu'il n'atteigne le réseau principal (mainnet).

Cette initiative souligne une reconnaissance croissante du fait que, à mesure que les agents IA deviennent compétents pour lire et écrire du code, ils doivent être rigoureusement testés face aux contraintes spécifiques et à enjeux élevés de la Machine Virtuelle Ethereum (EVM).

Déconstruction d'EVMbench : La trinité des tâches de sécurité

EVMbench n'est pas simplement un ensemble de données, mais un environnement d'évaluation dynamique. Il va au-delà de l'analyse de code statique en immergeant les agents IA dans un environnement blockchain sandboxé où ils doivent interagir avec du bytecode en direct. Le benchmark évalue les agents à travers trois modes de capacité distincts mais interconnectés, chacun imitant une phase critique du cycle de vie de la sécurité des contrats intelligents.

1. Détecter : L'auditeur numérique

Dans le mode de détection, les agents sont chargés d'auditer un dépôt de contrats intelligents. L'objectif est d'identifier les vulnérabilités réelles — celles qui ont été confirmées par des auditeurs humains — et de les signaler avec précision. Les agents sont notés sur leur « rappel » (recall), soit le pourcentage de vulnérabilités connues qu'ils ont réussi à identifier. Ce mode met au défi la capacité de l'IA à comprendre des flux logiques complexes et à reconnaître des modèles indicateurs de failles de sécurité, tels que les attaques de réentrée (reentrancy attacks) ou les dépassements d'entiers (integer overflows).

2. Corriger : La réparation chirurgicale

Sans doute le plus complexe des trois, le mode de correction exige des agents qu'ils trouvent non seulement une vulnérabilité, mais qu'ils la réparent. Les contraintes ici sont importantes : l'agent doit modifier le contrat vulnérable pour éliminer l'exploit tout en préservant la fonctionnalité d'origine prévue. Ceci est vérifié par une suite de tests automatisés. Si un agent « répare » un bogue mais casse par inadvertance la logique de base du contrat ou introduit des erreurs de compilation, la tentative est marquée comme un échec. Cela imite la pression réelle exercée sur les développeurs pour appliquer des correctifs à chaud sans interrompre les opérations du protocole.

3. Exploiter : Le Red Teamer

Dans ce mode, les agents agissent comme des attaquants. On leur confie un contrat déployé dans un environnement sandboxé et ils doivent exécuter une attaque de bout en bout pour vider les fonds. L'évaluation est effectuée par programmation via la relecture de transactions et une vérification on-chain. Ce mode est critique pour le « Red Teaming » — l'utilisation de l'IA pour simuler des attaques afin que les défenses puissent être testées face aux stratégies adverses les plus créatives.

Le jeu de données : Ancré dans la réalité

Pour garantir que le benchmark reflète les risques du monde réel, OpenAI et Paradigm ont sélectionné 120 vulnérabilités de haute sévérité issues de 40 audits différents. La majorité d'entre elles proviennent de compétitions d'audit de code ouvertes, telles que Code4rena, connues pour faire émerger des bogues subtils et à fort impact.

Un ajout notable au jeu de données comprend des scénarios de vulnérabilité tirés du processus d'audit de sécurité pour la blockchain Tempo. Tempo est une blockchain de Couche 1 (Layer 1) conçue spécifiquement pour des paiements en stablecoins à haut débit et à faible coût. En incluant des scénarios de Tempo, EVMbench étend sa portée au code de contrats intelligents orientés vers le paiement, un domaine qui devrait connaître une croissance massive à mesure que les paiements en stablecoins par agents deviennent courants.

L'infrastructure technique alimentant EVMbench est tout aussi robuste. Elle utilise un harnais basé sur Rust (Rust-based harness) qui déploie les contrats et rejoue les transactions des agents de manière déterministe. Pour éviter tout dommage accidentel, les tâches d'exploitation s'exécutent dans un environnement local Anvil isolé plutôt que sur des réseaux en direct, garantissant que le terrain d'essai est sûr, reproductible et confiné.

Analyse comparative de la frontière : GPT-5.3 prend la tête

Le lancement d'EVMbench a fourni les premières perspectives publiques sur la manière dont la dernière génération de modèles d'IA se comporte dans le domaine de la sécurité crypto. OpenAI a utilisé le benchmark pour tester ses agents de pointe, révélant un bond significatif des capacités au cours des six derniers mois.

Les mesures de performance soulignent une amélioration spectaculaire des capacités « offensives », spécifiquement dans le mode d'exploitation. Les données montrent que la dernière itération du modèle de codage d'OpenAI, GPT-5.3-Codex, surpasse largement son prédécesseur.

Tableau 1 : Performance comparative en mode Exploitation

Le passage d'un taux de réussite de 31,9 % avec GPT-5 à 72,2 % avec GPT-5.3-Codex indique que les agents IA deviennent exceptionnellement compétents pour identifier et exécuter des chemins d'exploitation lorsqu'on leur donne un objectif clair et explicite (par exemple, « vider les fonds »).

L'écart entre l'offensive et la défense

Cependant, le benchmark a également révélé un écart persistant entre les capacités offensives et défensives. Alors que les agents ont excellé dans la tâche d' Exploitation, leurs performances sur les tâches de Détection et de Correction sont restées plus faibles.

• Défis de détection : Les agents ont souvent arrêté l'audit après avoir trouvé un seul problème, échouant à réaliser l'examen exhaustif requis pour certifier qu'une base de code est sûre.
• Complexités de correction : L'exigence de maintenir l'intégralité des fonctionnalités tout en supprimant des bogues subtils s'est avérée difficile. Les agents ont fréquemment généré des correctifs qui résolvaient la faille de sécurité mais cassaient l'utilité prévue du contrat — un scénario où « le remède est pire que le mal », ce qui est inacceptable dans des environnements de production.

Implications stratégiques pour l'industrie crypto

La collaboration entre OpenAI et Paradigm signale une maturation du récit « IA x Crypto ». Paradigm, connu pour son expertise technique approfondie et son approche de l'investissement crypto axée sur la recherche, a fourni les connaissances de domaine nécessaires pour s'assurer que les tâches du benchmark ne soient pas seulement syntaxiquement correctes, mais sémantiquement significatives pour les développeurs blockchain.

En publiant les tâches, les outils et le cadre d'évaluation d'EVMbench en open source, les partenaires lancent un véritable « appel aux armes » à la communauté des développeurs. L'objectif est de démocratiser l'accès à des outils de sécurité de haut niveau, permettant aux développeurs individuels et aux petites équipes d'auditer leurs contrats intelligents avec la même rigueur que les plus grandes firmes de sécurité.

Extension de la boîte à outils défensive : Projet Aardvark

Parallèlement à la sortie du benchmark, OpenAI a annoncé l'extension de la version bêta privée pour Aardvark, leur agent dédié à la recherche en sécurité. Aardvark représente l'application pratique des connaissances acquises grâce à EVMbench — un agent IA spécifiquement affiné pour les tâches de sécurité défensive.

De plus, OpenAI engage 10 millions de dollars en crédits API pour accélérer la recherche en cyberdéfense. Ce programme de subvention se concentre sur l'application des modèles les plus performants de l'entreprise pour protéger les logiciels open-source et les systèmes d'infrastructure critiques, garantissant que les avantages de la sécurité par l'IA soient largement distribués dans tout l'écosystème.

La route à suivre

L'introduction d'EVMbench sert à la fois d'outil de mesure et d'avertissement. L'amélioration rapide de la capacité de l'IA à exploiter les contrats (prouvée par le taux de réussite de 72,2 % de GPT-5.3-Codex) suggère que la fenêtre de la « sécurité par l'obscurité » se referme rapidement. À mesure que les agents IA deviennent des attaquants plus performants, les outils défensifs doivent évoluer à une vitesse égale ou supérieure.

Pour l'industrie de la blockchain, cela signifie que l'audit assisté par l'IA passera bientôt du statut de luxe à celui de nécessité. Les futures itérations d'EVMbench pourraient s'étendre pour inclure des environnements multi-chaînes, des vulnérabilités cross-bridge et des attaques d'ingénierie sociale plus complexes, reflétant l'évolution du paysage des menaces du Web3.

Alors que nous avançons en 2026, la synergie entre les moteurs de raisonnement d'OpenAI et les connaissances crypto-natives de Paradigm établit une nouvelle norme sur la façon dont nous abordons la confiance numérique. La question n'est plus de savoir si l'IA sera utilisée pour sécuriser les contrats intelligents, mais à quelle vitesse l'industrie peut adopter ces benchmarks pour rester en tête de la prochaine génération de menaces automatisées.