Selon blog.trailofbits.com, à l’issue de la DARPA AI Cyber Challenge (AIxCC), Trail of Bits annonce l’ouverture du code de Buttercup, son cyber reasoning system (CRS) arrivé deuxième de la compétition.
🎉 Buttercup est un système entièrement automatisé et assisté par l’IA pour la découverte et la correction de vulnérabilités dans des logiciels open source. Trail of Bits publie une version autonome fonctionnant sur un ordinateur portable « typique », ajustée à un budget IA réaliste pour des projets individuels, ainsi que les versions ayant participé aux demi-finales et à la finale d’AIxCC. Le code est disponible sur GitHub.
Comment Buttercup fonctionne (vue d’ensemble) :
- Orchestration/UI : coordonne les composants et affiche les vulnérabilités et correctifs; envoie journaux et événements vers un serveur de télémétrie SigNoz.
- Découverte de vulnérabilités : fuzzing mutatif augmenté par l’IA, basé sur OSS-Fuzz/ClusterFuzz, utilisant libFuzzer et Jazzer pour identifier des cas de test déclenchant des failles.
- Analyse contextuelle : s’appuie sur des outils d’analyse statique (tree-sitter, CodeQuery) pour construire des modèles de programme interrogeables, fournissant le contexte aux modèles IA.
- Génération de correctifs : système multi-agents (sept agents IA distincts) pour créer et valider des patchs robustes qui corrigent les failles sans casser les autres fonctionnalités.
Le billet promet également une présentation pratique pour démarrer avec Buttercup, une explication plus détaillée de son fonctionnement, et un aperçu de la suite. L’objectif de la publication est de mettre largement à disposition l’outil et de favoriser son extension par la communauté sécurité. 🤖🧪
Type d’article: annonce d’outil open source et présentation technique de haut niveau.
🔗 Source originale : https://blog.trailofbits.com/2025/08/08/buttercup-is-now-open-source/