Pourquoi l'IA est à la fois une bénédiction et une malédiction pour les logiciels open-source - selon les développeurs

Pourquoi l'IA est à la fois une bénédiction et une malédiction pour les logiciels open-source - selon les développeurs

L'intelligence artificielle a transformé le triage de la sécurité en un véritable "rapport de terreur", drainant temps, attention et même la "volonté de vivre". Cependant, utilisée correctement, elle peut apporter une aide précieuse. Voici comment.

Les avantages de l'IA pour l'open-source

Récemment, des nouvelles encourageantes sont apparues concernant l'IA et l'open-source : l'IA Claude Opus 4.6 d'Anthropic aide à nettoyer le code open-source de Firefox. Selon Mozilla, la société mère de Firefox, l'équipe Frontier Red Team d'Anthropic a découvert plus de bugs de haute sévérité dans Firefox en seulement deux semaines que ce que les utilisateurs rapportent habituellement en deux mois. Mozilla a déclaré : "C'est une preuve claire que l'analyse assistée par l'IA à grande échelle est un nouvel ajout puissant dans l'arsenal des ingénieurs en sécurité."

Les inconvénients de l'IA pour l'open-source

Cependant, il existe un revers à cette utilisation de l'IA dans les logiciels open-source. Daniel Stenberg, créateur du célèbre programme de transfert de données open-source cURL, a souligné que son projet a été inondé de rapports de sécurité frauduleux, rédigés par l'IA, qui submergent les mainteneurs sous une charge de travail inutile.

Mozilla est consciente de ce problème. Brian Grinstead, ingénieur distingué chez Mozilla, et Christian Holler, ingénieur logiciel principal chez Mozilla, ont écrit : "Les rapports de bugs assistés par l'IA ont un bilan mitigé, et le scepticisme est justifié. Trop de soumissions ont entraîné des faux positifs et un fardeau supplémentaire pour les projets open-source."

Stenberg a déclaré qu'avant début 2025, environ un rapport de sécurité sur six pour cURL était valide. Il a expliqué que "dans le passé, quelqu'un investissait beaucoup de temps dans le rapport de sécurité. Il y avait une friction intégrée, mais maintenant, il n'y a plus d'effort du tout. Les vannes sont ouvertes. Envoyez-le."

Il a ajouté : "Le taux a également augmenté ; c'est plutôt un rapport sur 20 ou 30 qui est précis." Cette augmentation a transformé le triage des rapports de bugs de sécurité en un "rapport de terreur", drainant le temps, l'attention et la "volonté de vivre" de l'équipe de sécurité de sept personnes du projet. Il a averti que ce bruit amplifié par l'IA ne gaspille pas seulement l'effort des bénévoles, mais risque également la chaîne d'approvisionnement logicielle plus large : si les mainteneurs deviennent insensibles à ces rapports inutiles, de véritables vulnérabilités dans le code seront manquées.

L'impact sur les projets open-source

L'été dernier, Stenberg a écrit : "Nous devons réduire la quantité de sable dans la machine. Nous devons faire quelque chose pour réduire drastiquement la tentation pour les utilisateurs de soumettre des rapports de faible qualité." Le résultat ? Plus de déchets que jamais continuaient à arriver, si bien qu'il a décidé de fermer la prime de cURL pour les rapports de bugs de sécurité : "Un seuil a été atteint. Nous sommes effectivement en train d'être DDoSés. Si nous le pouvions, nous leur ferions payer ce gaspillage de notre temps."

Cette tendance ne peut pas se poursuivre. La plupart des projets open-source, même ceux critiques pour la mission, sont gérés par des bénévoles, souvent avec des ressources limitées. Ils n'ont ni le temps ni les moyens de trier des centaines de rapports de bugs générés par l'IA.

Heureusement, Anthropic a adopté une approche différente. Mozilla a rapporté : "L'équipe d'Anthropic a pris contact avec les ingénieurs de Firefox après avoir utilisé Claude pour identifier des bugs de sécurité dans notre moteur JavaScript. Critiquement, leurs rapports de bugs comprenaient des cas de test minimaux qui ont permis à notre équipe de sécurité de vérifier et de reproduire rapidement chaque problème. En quelques heures, nos ingénieurs de plateforme ont commencé à apporter des corrections, et nous avons lancé une collaboration étroite avec Anthropic pour appliquer la même technique à l'ensemble du code du navigateur."

Une collaboration nécessaire

C'est ainsi que l'IA et l'open-source devraient travailler ensemble. Cependant, ma préoccupation est que cette approche sera l'exception plutôt que la règle à l'avenir. Cette approche collaborative nécessite un véritable travail de la part des personnes utilisant l'IA. Trop souvent, les corrections open-source sont produites par des développeurs inexpérimentés ou paresseux qui essaient de "vibrer" leur code dans des projets open-source. Désolé, mais cela ne fonctionne pas de cette manière.

Pire encore, certaines entreprises utilisent l'IA pour déverser des rapports de bugs précis, mais stupides, sur de petits projets. Par exemple, Google a récemment découvert de nombreux problèmes de sécurité mineurs dans FFmpeg, un projet utilisé par tout le monde, de votre téléviseur à Internet, pour lire des fichiers et des flux audio et vidéo.

Conclusion

Dans l'ensemble, il est clair que l'IA peut être un outil puissant pour l'open-source, mais elle doit être utilisée avec précaution et responsabilité. Les leaders de l'open-source, y compris Stenberg, conviennent que l'IA peut être très utile, mais il est essentiel de s'assurer que son utilisation ne nuise pas à la qualité et à la sécurité des projets open-source.