Tu codes avec l’IA ?
Outils, agents et nouveautés dev IA décryptés, chaque soir en 5 min. Gratuit.
Inclus dès l'inscription : notre sélection des meilleurs guides & comparatifs IA.
Choisis ton rythme
Gratuit · Pas de spam · Désabonnement en 1 clic
Claude Opus et la menace IA : l'open source en péril ?
Dans le monde de la technologie, un débat intense s'est récemment intensifié autour de l'impact des intelligences artificielles sur le modèle open source. Plusieurs acteurs de l'industrie ont commencé à remettre en question la viabilité de ce modèle, notamment en raison des capacités croissantes des IA comme Claude Opus à analyser et exploiter des codes sources publics. Cette situation a provoqué une onde de choc parmi les défenseurs de l'open source, qui voient dans cette évolution une menace potentielle pour la transparence et la collaboration qui ont longtemps caractérisé ce secteur.
Cal.com et le passage à une licence propriétaire
Mi-avril 2026, Bailey Pumfleet, le PDG et co-fondateur de Cal.com, a pris une décision radicale en annonçant le passage de son logiciel de planification de rendez-vous d'une licence AGPL à une licence propriétaire. Cette décision, expliquée dans une interview accordée à ZDNet, est motivée par la capacité des modèles d'IA comme Claude Opus à scanner des codes sources ouverts pour y déceler des failles de sécurité en un temps record. Selon Pumfleet, cette évolution remet en question la sécurité inhérente au modèle open source, qui repose sur la capacité des développeurs humains à identifier et corriger les vulnérabilités.
Peer Richelsen, associé de Pumfleet, a renforcé cette position en soulignant que les IA perturbent l'équilibre traditionnel de la sécurité open source en automatisant la découverte de failles. Un chiffre avancé par Huzaifa Ahmad, PDG de Hex Security, souligne que les applications open source seraient cinq à dix fois plus vulnérables que leurs homologues propriétaires. Cal.com a néanmoins choisi de maintenir une version communautaire, Cal.diy, destinée aux amateurs, tandis que la version commerciale reste protégée.
Claude Mythos Preview : un modèle IA qui inquiète
Le contexte de cette décision est marqué par l'introduction de Claude Mythos Preview par Anthropic. Ce modèle d'IA a révélé des milliers de vulnérabilités, y compris une faille vieille de 27 ans dans OpenBSD, un système réputé pour sa sécurité, et un bug de 16 ans dans FFmpeg, passé inaperçu malgré des millions de tests automatisés. Pour soutenir cette initiative, Anthropic a investi 100 millions de dollars dans Project Glasswing, un consortium réunissant des géants de la tech tels que Microsoft, Apple, Google, Amazon, Cisco, CrowdStrike, Palo Alto Networks et la Linux Foundation.
Les vétérans de la cybersécurité répliquent
Cependant, cette panique n'est pas partagée par tous. David Lindner, directeur de la sécurité de l'information chez Contrast Security, avec 25 ans d'expérience, a exprimé son scepticisme dans les colonnes de Fortune. Selon lui, la découverte de vulnérabilités n'a jamais été un problème, et le véritable défi réside dans leur correction. Il cite une statistique révélatrice : plus de 99 % des failles identifiées par Mythos n'ont pas été corrigées, selon un rapport d'Anthropic.
Jim Zemlin, PDG de la Linux Foundation et partenaire de Project Glasswing, propose une approche différente. Il suggère que donner aux mainteneurs open source un accès aux mêmes outils d'IA pourrait permettre de corriger les failles avant qu'elles ne soient exploitées. Selon lui, les logiciels open source constituent la majorité du code des systèmes modernes, et les fermer reviendrait à priver l'écosystème de l'audit public qui a historiquement assuré sa robustesse.
La fermeture du code : une solution illusoire ?
Le débat se cristallise autour de l'idée que fermer le code source pourrait empêcher les hackers de trouver des failles. Cependant, l'histoire de la sécurité informatique montre que cette approche, connue sous le nom de "security through obscurity", est inefficace. Les experts soulignent que même sans accès direct au code, les hackers peuvent utiliser le reverse engineering et l'analyse comportementale pour identifier des vulnérabilités.
En fermant leur code, les entreprises rendent l'audit externe plus difficile, mais pas impossible. Elles privent également les utilisateurs de la transparence nécessaire pour évaluer la qualité de la sécurité qu'ils achètent. Les IA continueront de progresser dans leur capacité à analyser les comportements réseau, les réponses d'API et les modèles d'exécution, même face à des binaires compilés.
La décision de Cal.com pourrait bien être le prélude à une tendance plus large. Les mêmes IA capables de détecter des failles peuvent également être utilisées pour les corriger, à condition que les investissements soient équilibrés entre l'offensive et la défense. Cette situation soulève une question cruciale pour l'avenir de l'open source : l'argument de Cal.com est-il justifié ou s'agit-il d'un retour déguisé à une sécurité par l'obscurité ?
