3 min de lecture
OpenHack : une startup néerlandaise démocratise la recherche de failles par IA
Hadrian publie OpenHack sous licence MIT, un outil d'audit de code propulsé par des agents IA qui s'intègre directement dans Claude Code, Codex et Cursor.
OpenHack : une startup néerlandaise démocratise la recherche de failles par IA
La recherche de vulnérabilités logicielles était jusqu'ici l'affaire de spécialistes rares et coûteux. Hadrian, une startup néerlandaise spécialisée en cybersécurité offensive, vient de publier OpenHack sous licence MIT : un outil open source qui automatise ce travail via des agents IA. La publication, datée du 20 mai 2026, intervient dans un contexte de forte accélération. Le nombre moyen de vulnérabilités détectées par base de code a doublé en un an selon le rapport OSSRA 2026 de Black Duck.
Comment fonctionne OpenHack
OpenHack s'installe directement dans les environnements où les développeurs travaillent déjà : Claude Code, Codex et Cursor. Il repose sur un modèle de revue en deux temps. D'abord, un agent de cadrage identifie les scénarios d'attaque pertinents pour le code analysé. Ensuite, douze familles d'agents experts, alignées sur les standards OWASP et MITRE ATT&CK, prennent en charge chaque scénario. Un agent de triage indépendant valide les résultats avant enregistrement, ce qui réduit les faux positifs.
L'outil stocke son état dans de simples fichiers texte, compatible avec n'importe quel flux Git. Il est disponible immédiatement sur GitHub (hadriansecurity/openhack) et nécessite Python 3.9 ou supérieur. La licence MIT garantit une utilisation libre, y compris dans des contextes commerciaux.
Des résultats prouvés sur des systèmes réels
OpenHack n'est pas un prototype de laboratoire. Hadrian a appliqué une méthodologie proche pour analyser des logiciels open source utilisés par des administrations néerlandaises. Des centaines de vulnérabilités ont été identifiées en quelques heures, dont une faille critique exposant des identifiants de serveur et permettant l'accès à une base de données Azure sous-jacente.
Ce contexte illustre une réalité plus large : la quantité de CVE enregistrées contre des bibliothèques open source populaires a bondi de 107 % en un an. Les outils d'IA ont rendu visibles des failles qui attendaient en silence depuis des années. OpenAI avait posé un jalon comparable en mai 2026 avec Daybreak, conçu pour aider les équipes sécurité à corriger les failles avant les attaquants, mais dans un cadre propriétaire et non accessible à tous. OpenHack prend le contrepied : n'importe qui peut l'utiliser, adapter ses agents et contribuer à son développement.
La démocratisation de ces outils crée cependant une tension. Si les équipes défensives peuvent en bénéficier, les acteurs malveillants aussi. Ce type de vulnérabilité n'est pas isolé : une faille critique avait déjà été identifiée dans LMDeploy en avril 2026, exploitée en moins de treize heures après sa publication. La rapidité d'exploitation est la mesure qui compte.
Ce que ça signifie pour vous
Pour un développeur ou une petite équipe sans budget sécurité dédié, OpenHack représente un accès direct à des capacités d'audit réservées jusqu'ici aux grandes organisations. L'intégration dans Cursor ou Claude Code abaisse la barrière d'entrée à presque zéro. La contrepartie : il faut maîtriser l'interprétation des résultats. Un agent IA ne remplace pas un ingénieur sécurité pour valider la criticité d'une faille dans un contexte métier donné. L'outil est un accélérateur, pas un substitut. Pour les équipes qui publient du code sur des registres publics, ignorer ce type d'outillage devient de moins en moins défendable.
Sources : Hadrian Blog · Help Net Security · Black Duck OSSRA · Menafn