Le projet open source cURL interdit les rapports de bogue inutiles générés par l'IA : « nous n'avons toujours pas vu un seul rapport de sécurité valide rédigé avec l'aide de l'IA »Les mainteneurs de projets libres et open source sont submergés par des rapports de bogues inutiles rédigés par l'IA. S'ils semblent convaincants en apparence, ces rapports sont souvent basés sur les hallucinations de l'IA et nécessitent un temps considérable pour être vérifiés, ce qui détourne les ressources limitées des développeurs bénévoles. Cette situation peut entraîner une perte de temps, de l'épuisement et une diminution de la motivation des contributeurs bénévoles. Daniel Stenberg, créateur du projet cURL, a surnommé ces rapports de faible qualité « AI slop ». Dans un récent billet, il a formellement interdit les rapports de bogues générés par l'IA.
CURL est un outil et une bibliothèque de ligne de commande essentiels pour interagir avec les ressources Internet. Le projet open source reçoit des rapports de bogues et des problèmes de sécurité par le biais de nombreux canaux, notamment HackerOne, un service de signalement qui aide les entreprises à gérer les rapports de vulnérabilité et les primes aux bogues. Mais les pratiques ont évolué au cours de ces dernières années.
HackerOne s'est passionné pour les outils d'IA. « Une plateforme, une force double : l'esprit humain + la puissance de l'IA », peut-on lire sur sa page d'accueil. Ainsi, les utilisateurs s'appuient de plus en plus sur les outils d'IA de la plateforme pour générer des rapports de bogue et de sécurité.
Un afflux de rapports de bogues de mauve qualité générés par IA
L'adoption des outils d'IA par les plateformes telles que HackerOne pose un problème majeur à la communauté des logiciels libres : la multiplication de rapports de vulnérabilités générés par des outils d'IA, souvent erronés ou trompeurs, qui submergent les mainteneurs. Les fabricants de modèles d'IA s'attendent à ce que l'IA aide les développeurs à détecter les bogues beaucoup plus rapidement afin de jouir de plus de temps pour innover.
Mais il s'avère que ces rapports sont en majorité le résultat des hallucinations de l'IA, et donc inutiles. Seth Larson, développeur de sécurité en résidence à la Python Software Foundation, a soulevé la question dans un billet de blogue en décembre dernier. Il a exhorté les personnes qui signalent des bogues à ne pas utiliser de systèmes d'IA pour la chasse aux bogues. Selon lui, les systèmes d'IA actuels ne sont pas fiables dans ce contexte.
« J'ai remarqué une augmentation des rapports de sécurité de qualité extrêmement médiocre, spammés et hallucinés par les LLM dans les projets open source. À première vue, ces rapports de bogue semblent potentiellement légitimes et nécessitent donc du temps pour être réfutés », écrivait-il, rappelant les résultats similaires obtenus par le projet cURL en janvier 2024. Récemment, c'est le créateur du projet cURL qui a exprimé son ras-le-bol :
Envoyé par Daniel Stenberg, créateur du projet cURL
Voilà, c'est fait. J'en ai assez. Je mets un terme à cette folie.
1. Tous les rapporteurs qui soumettent des rapports de sécurité sur le hashtag#Hackerone pour le hashtag#curl doivent désormais répondre à cette question : « avez-vous utilisé une IA pour trouver le problème ou générer cette soumission ? »
(Et s'ils le sélectionnent, ils peuvent s'attendre à un flot de questions de suivi prouvant l'existence d'une intelligence réelle.)
2. Nous bannissons INSTANTANÉMENT tous les rapporteurs qui soumettent des rapports que nous considérons comme un déchet généré par l'IA. Un seuil a été atteint. Nous sommes effectivement victimes d'un DDoS. Si nous le pouvions, nous les ferions payer pour cette perte de temps.
Nous n'avons toujours pas vu un seul rapport de sécurité valide réalisé avec l'aide de l'IA.
Ce phénomène souligne un problème plus général : les projets open source fonctionnent grâce à quelques bénévoles. L’utilisation abusive de l'IA peut nuire à l’écosystème, en gaspillant l'énergie précieuse des personnes qui le maintiennent. L'hallucination des modèles est un problème majeur de l'IA générative auquel les chercheurs n'ont pas encore trouvé de solution. Selon une étude de 2024, l'hallucination est un problème insoluble.
Récemment, quatre rapports de vulnérabilité malavisés, générés par l'IA, ont été publiés, apparemment à la recherche d'une réputation ou d'une prime de détection de bogues. « L'une des façons de s'en rendre compte, c'est que le rapport est toujours très agréable. Formulé de manière agréable, en anglais parfait, poli, avec de jolis points... un humain ordinaire ne le ferait jamais de cette manière dans son premier rapport », a déclaré Daniel Stenberg.
Des signalements de fausses failles de sécurité dans les logiciels
Ce phénomène exacerbe une charge de travail déjà lourde. Beaucoup de mainteneurs sont des bénévoles qui jonglent entre leur travail, leur vie personnelle, et leurs responsabilités dans des projets open source. Traiter des rapports inutiles prend du temps, fatigue émotionnellement et peut entraîner un épuisement professionnel. Seth Larson estime que les rapports de mauvaise qualité doivent être traités comme s'ils étaient malveillants.
« À bien des égards, ces rapports de mauvaise qualité devraient être traités comme s'ils étaient malveillants. Même si ce n'est pas leur intention, le résultat est que les mainteneurs sont épuisés et plus réticents au travail de sécurité légitime », a écrit Seth Larson dans son billet de blogue l'année dernière.
À titre d'exemple, Daniel Stenberg a évoqué un rapport de bogue datant du 4 mai 2025. Il suggérait un « nouvel exploit exploitant les cycles de dépendance de flux dans la pile de protocoles HTTP/3 ». La mauvaise gestion des dépendances de flux, lorsqu'un aspect d'un programme attend la sortie d'un autre aspect, peut conduire à l'injection de données malveillantes, à des conditions de course et à des plantages, ainsi qu'à d'autres problèmes.
Le rapport en question suggère que cela pourrait rendre cURL, qui est compatible avec HTTP/3, vulnérable à des exploits pouvant permettre l'exécution de code à distance. Mais comme le souligne le personnel de cURL, le correctif « configuration de serveur malveillant » soumis ne s'appliquait pas aux dernières versions d'un outil Python en question. Interrogé à ce sujet, l'auteur du signalement a répondu d'une manière étrangement prompte.
Il répondait à des questions qui n'avaient pas été posées par l'équipe de cURL et incluait ce qui semble être des instructions de base sur la manière d'utiliser l'outil git pour appliquer un nouveau correctif. L'auteur du signalement n'a pas non plus fourni le nouveau fichier correctif demandé, a cité des fonctions qui n'existent pas dans les bibliothèques sous-jacentes et a suggéré des tactiques de renforcement pour des utilitaires autres que cURL.
L'équipe de cURL a finalement fermé le rapport, mais l'a également rendu public pour servir d'exemple. Alex Rice, cofondateur, directeur technique et responsable de la sécurité des systèmes d'information de HackerOne, a déclaré que les rapports contenant « des vulnérabilités hallucinées, un contenu technique vague ou incorrect, ou d'autres formes de bruit à faible effort » sont traités comme du spam et font l'objet d'une mise en application.
Conclusion
Les rapports de bogue de mauvaise qualité générés par l'IA sont devenus un problème pour les mainteneurs de logiciels libres et open source. Ce phénomène met en évidence les défis posés par l'utilisation non encadrée de l'IA dans la détection de vulnérabilités. Selon Daniel Stenberg et d'autres, cela souligne la nécessité d'une approche plus rigoureuse et collaborative pour maintenir la qualité et la sécurité des projets libres et open source.
« Je suis très heureux que ce problème attire l'attention afin que nous puissions éventuellement faire quelque chose à ce sujet et éduquer le public sur l'état des choses. Les LLM ne peuvent pas trouver de problèmes de sécurité, du moins pas de la manière dont ils sont utilisés ici », a-t-il déclaré.
Source : Daniel Stenberg
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de l'utilisation de l'IA pour la détection de problèmes de sécurité ? Selon vous, les systèmes d'IA actuels sont-ils adaptés à ce cas d'utilisation ? Pourquoi ? Selon vous, quels impacts ce phénomène pourrait-il avoir sur l'écosystème des logiciels libres et open source ?Voir aussi
Les mainteneurs de logiciels libres sont noyés dans des rapports de bogues inutiles rédigés par l'IA. « Ces systèmes ne sont pas encore capable de comprendre le code », estime un développeur L'IA peut écrire du code mais ne parvient pas à le comprendre, selon une étude d'OpenAI. Testés sur des tâches réelles de programmation, les modèles les plus avancés n'ont pu résoudre qu'un quart des défis Les outils de développement GenAI n'améliorent pas l'efficacité du codage et augmentent le nombre de bogues : avec Microsoft Copilot les développeurs ont constaté une augmentation de 41 % des bogues
Vous avez lu gratuitement 3 862 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
