Les utilisateurs de GitHub furieux face à la perspective de rapports de bogues générés par l'IA Copilot,

Les mainteneurs craignent que les hallucinations de l'IA ne deviennent un fardeau supplémentaire

Les utilisateurs de GitHub furieux face à la perspective de rapports de bogues générés par l'IA Copilot
les mainteneurs craignent que les hallucinations de l'IA ne deviennent un fardeau supplémentaire

GitHub envisage de permettre aux utilisateurs de générer automatiquement des rapports de bogue et des propositions de modification du code à l'aide de Copilot. L'objectif affiché est de leur faire gagner du temps. Mais cette option a suscité des réactions très négatives. En raison des hallucinations de l'IA, les mainteneurs craignent que les rapports générés par l'IA ne se traduisent par des pertes de temps et de leurs ressources déjà limitées. Ils redoutent une augmentation des spams qui pollueraient les dépôts et une mécanisation contre-productive du travail communautaire. Certains projets open source ont interdit les rapports de bogue générés par l'IA.

Le 19 mai 2025, GitHub a publié un billet de blogue annonçant que Copilot rendrait désormais plus rapide et plus facile la création de rapports de bogues (tickets). Selon le billet, GitHub Copilot pourrait prochainement générer automatiquement des rapports de bogue et des propositions de modification du code dans les dépôts. La fonctionnalité est encore expérimentale et semble avoir été discrètement déployée pour les utilisateurs de la plateforme.

« Nous espérons que ces changements transformeront la création d'un problème en un jeu d'enfant, vous permettant ainsi de gagner un temps précieux pour vous concentrer sur la résolution des problèmes, et pas seulement sur leur documentation », a écrit l'équipe GitHub. Mais cette annonce — ou plutôt, cette découverte — a suscité une vague de critiques et d'indignation dans la communauté des développeurs. Beaucoup rejettent cette option.

Une fonction imposée sans consentement des développeurs

De nombreux utilisateurs ont appris l'existence de cette fonctionnalité sans une annonce officielle claire. Certains ont découvert que leur projet GitHub avait reçu des tickets générés par Copilot sans qu'ils aient activé quoi que ce soit. Cela donne l'impression que GitHub teste des fonctions en production, sans consentement explicite. Selon les développeurs, cela jette des doutes sur les objectifs de la fonction et nuit à la réputation de la plateforme.


« C'est comme si une machine entrait dans ton bureau et collait des Post-its partout sans te demander ton avis. C'est inacceptable ! », a écrit un mainteneur sur Hacker News. Les développeurs réclament de la transparence, une activation volontaire des fonctionnalités, et un contrôle total sur leur usage.

Les rapports de bogue de mauvaise qualité générés par l'IA sont devenus un problème pour les mainteneurs de logiciels libres et open source. Ce phénomène met en évidence les défis posés par l'utilisation non encadrée de l'IA dans la détection de vulnérabilités. Selon une étude d'OpenAI, l'IA peut écrire du code, mais ne parvient pas à le comprendre. Cela suggère que les modèles d'IA actuels sont loin d'être prêts à remplacer les développeurs.

Risque de pollution des dépôts par des spams et de bruit inutile

Les développeurs craignent que les rapports générés par Copilot soient : vagues ou mal formulés, inutiles ou hors sujet, redondants avec ceux déjà existants, etc. Cette avalanche de rapport pourrait submerger les projets, en particulier les dépôts open source gérés par des bénévoles. C'est perçu comme du bruit inutile, qui ajoute du travail au lieu d'en enlever. Cette situation peut détourner les ressources limitées des développeurs bénévoles.


Elle peut aussi entraîner une perte de temps, de l'épuisement et une diminution de la motivation des contributeurs bénévoles. Mcclure, mainteneur du projet open source NFTBlocker, un plug-in de navigateur pour bloquer les utilisateurs de NFT sur Twitter, souligne les dangers liés à cette fonction :

Mcclure et les autres développeurs redoutent que Copilot produise des rapports peu pertinents ou erronés, ce qui polluerait leurs dépôts. Les mainteneurs veulent garder la main sur ce qui est ajouté à leur projet. « Je peux exécuter l'IA moi-même lorsque je le jugerai nécessaire », a écrit un mainteneur.

Les développeurs notent que l'IA est souvent hors contexte

Même les progrès récents, l'IA n'a pas toujours le contexte nécessaire pour comprendre les choix d'architecture ou les discussions passées d'un projet. Elle risque de signaler comme des problèmes ce qui est en fait délibérément conçu ainsi. Les mainteneurs s'inquiètent d'avoir à passer du temps à : trier les fausses alertes, fermer les rapports inappropriés, expliquer à d'autres contributeurs humains pourquoi une suggestion écrite par l'IA est hors sujet.

« J'ai déjà dû fermer sommairement des pull request générées par l'IA qui tentaient de corriger la grammaire tout en changeant le sens. Les auteurs les envoient à des dizaines de projets pour tenter d'augmenter leur nombre de contributions. Les rapports générés par l'IA seront tout aussi ennuyeux. Laissez les développeurs choisir par eux-mêmes s'ils veulent faire appel à l'IA ou pas. L'IA est jusqu'ici inutile dans ce rôle », a écrit un autre critique.

Une fracture entre développeurs et automatisation

Bien que l'option annoncée par GitHub dans son billet de blogue du 19 mai a disparu par la suite, la fonction souligne un écart croissant entre les outils d'IA que les grandes plateformes veulent imposer et les attentes réelles des développeurs. Certains utilisateurs reprochent à GitHub de privilégier l'automatisation « à tout prix », au détriment de la collaboration humaine. Les critiques s'adressent également à Microsoft, propriétaire de la plateforme.


Cela ravive des débats éthiques sur : le respect des communautés open source, l'appropriation du travail collectif par des outils commerciaux, et la perte de contrôle sur les environnements de travail. Mcclure suggère une fonctionnalité que les développeurs pourront choisir d'activer par eux-mêmes :

Plus de 1 300 utilisateurs de GitHub ont voté en faveur de sa proposition et environ 130 commentaires ont suivi. « Je ne veux pas d'IA dans ma vie, surtout dans mon code » ; « j'ai maintenant commencé à migrer des dépôts hors de GitHub » ; « désactiver les rapports générés par l'IA sur un dépôt ne devrait pas seulement être une option, cela devrait être la valeur par défaut » ; etc. La majorité affirme que Microsoft a mal implémenté la fonction.

« Je ne suis pas nécessairement contre l'IA, mais lui donner un accès en écriture à la plupart des bases de code critiques dans le monde, y compris les blocs de construction de l'ensemble du Web, est une décision extrêmement maladroite à ce stade précoce de l'IA », a écrit un critique. Un autre s'est plaint qu'il n'y avait aucune « indication visible » du fait qu'un problème est généré par l'IA « que ce soit dans l'interface utilisateur ou dans l'API ».

GitHub Copilot : de l'assistant à l'envahisseur ?

La réaction des utilisateurs de GitHub montre que les communautés de développement ne sont pas prêtes à déléguer aveuglément des responsabilités critiques à une IA. L'innovation ne doit pas se faire au détriment de la confiance, de la transparence et de l'autonomie. Les développeurs dénoncent également les tentatives incessantes de Microsoft pour imposer Copilot. Selon eux, cette stratégie agressive risque de nuire à Microsoft à long terme.

À l'origine, GitHub Copilot était salué comme un outil d'aide à l'écriture de code, utile pour accélérer les tâches répétitives. Toutefois, cette extension à la création de rapports de bogue et de pull request soulève une question : jusqu'où l'IA doit-elle s'impliquer dans la gestion d'un projet ?

Seth Larson, développeur de sécurité en résidence à la Python Software Foundation, a soulevé la question dans un billet de blogue en décembre dernier. Il a exhorté les personnes qui signalent des bogues à ne pas utiliser l'IA pour la chasse aux bogues. D'après lui, les systèmes d'IA actuels ne sont pas fiables dans ce contexte. Daniel Stenberg, créateur du projet open source cURL, a formellement interdit les rapports de bogues générés par l'IA.

« Nous n'avons toujours pas vu un seul rapport de sécurité valide réalisé avec l'aide de l'IA », a écrit Daniel Stenberg dans un billet de blogue publié le mois dernier. Ce phénomène augmente une charge de travail déjà lourde. Traiter des rapports inutiles prend du temps, fatigue émotionnellement et peut entraîner un épuisement professionnel. Selon Seth Larson, les rapports de mauvaise qualité doivent être traités comme s'ils étaient malveillants.

Sources : billet de blogue, GitHub

Et vous ?

Quel est votre avis sur le sujet ?
Que pensez-vous de l'utilisation de l'IA pour la détection de problèmes de sécurité dans les logiciels ?
Selon vous, les systèmes d'IA actuels sont-ils adaptés à ce cas d'utilisation ? Pourquoi ?
Pourquoi les entreprises imposent-elles l'utilisation de l'IA aux développeurs malgré les limites de la technologie ?

Voir aussi

Le projet open source cURL interdit les rapports de bogue inutiles générés par l'IA : « nous n'avons toujours pas vu un seul rapport de sécurité valide rédigé avec l'aide de l'IA »

Les mainteneurs de logiciels libres sont noyés dans des rapports de bogues inutiles rédigés par l'IA. « Ces systèmes ne sont pas encore capable de comprendre le code », estime un développeur

L'IA peut écrire du code mais ne parvient pas à le comprendre, selon une étude d'OpenAI. Testés sur des tâches réelles de programmation, les modèles les plus avancés n'ont pu résoudre qu'un quart des défis