Le projet cURL a été confronté à une avalanche de rapports de bogues générés automatiquement par l'IA ces dernières années. Ces rapports sont souvent de faible qualité, souvent incohérents ou non pertinents. Cette situation a entraîné une surcharge de travail pour les mainteneurs, qui avaient donc été contraints d'interdire les rapports de bogues générés par l'IA. Cependant, un chercheur en sécurité a récemment utilisé l'IA pour soumettre des rapports à cURL et ces rapports ont permis d'identifier environ 50 vulnérabilités dans le code. Les mainteneurs ont salué la qualité de ces découvertes, soulignant que l'IA peut aider lorsqu'elle est bien utilisée.cURL est un outil et une bibliothèque de ligne de commande essentiels pour interagir avec les ressources Internet. Le projet open source reçoit des rapports de bogues et des problèmes de sécurité par le biais de nombreux canaux, notamment HackerOne, un service de signalement qui aide les entreprises à gérer les rapports de vulnérabilité et les primes aux bogues. Mais les pratiques ont évolué au cours de ces deux dernières années.
HackerOne s'est passionné pour les outils d'IA. « Une plateforme, une force double : l'esprit humain + la puissance de l'IA », peut-on lire sur sa page d'accueil. Ainsi, les utilisateurs s'appuient de plus en plus sur les outils d'IA de la plateforme pour générer des rapports de bogue et de sécurité.
Mais il s'avère que ces rapports sont en majorité le résultat des hallucinations de l'IA, et donc inutiles. Seth Larson, expert en cybersécurité en résidence à la Python Software Foundation, a soulevé la question dans un billet de blogue viral en décembre 2024. Il a exhorté les personnes qui signalent des bogues à ne pas utiliser de systèmes d'IA pour la chasse aux bogues. Selon lui, les systèmes d'IA actuels ne sont pas fiables dans ce contexte.
Les rapports de bogues de mauvaise qualité générés par l'IA ont posé problème non seulement à cURL, mais aussi à la communauté Python, à Open Collective et au projet Mesa. Ce déluge a incité Daniel Stenberg, responsable du projet open source cURL, à publier plusieurs articles de blogue sur le sujet afin de convaincre les chasseurs de bogues de faire preuve de retenue et de ne pas faire perdre de temps aux contributeurs avec des problèmes invalides.
Impacts de rapports de mauvaise qualité sur les mainteneurs
Ce phénomène exacerbe une charge de travail déjà lourde. Beaucoup de mainteneurs sont des bénévoles qui jonglent entre leur travail, leur vie personnelle, et leurs responsabilités dans des projets open source. Traiter des rapports inutiles prend du temps, fatigue émotionnellement et peut entraîner un épuisement professionnel. Seth Larson estime que les rapports de mauvaise qualité doivent être traités comme s'ils étaient malveillants.
À titre d'exemple, Daniel Stenberg a évoqué un rapport de bogue datant du 4 mai 2025. Il suggérait un « nouvel exploit exploitant les cycles de dépendance de flux dans la pile de protocoles HTTP/3 ». La mauvaise gestion des dépendances de flux, lorsqu'un aspect d'un programme attend la sortie d'un autre aspect, peut conduire à l'injection de données malveillantes, à des conditions de course et à des plantages, ainsi qu'à d'autres problèmes.
Le rapport en question suggère que cela pourrait rendre cURL, qui est compatible avec HTTP/3, vulnérable à des exploits pouvant permettre l'exécution de code à distance. Mais comme le souligne le personnel de cURL, le correctif « configuration de serveur malveillant » soumis ne s'appliquait pas aux dernières versions d'un outil Python en question. Interrogé à ce sujet, l'auteur du signalement a répondu d'une manière étrangement prompte.
Il répondait à des questions qui n'avaient pas été posées par l'équipe de cURL et incluait ce qui semble être des instructions de base sur la manière d'utiliser l'outil git pour appliquer un nouveau correctif. L'auteur du signalement n'a pas non plus fourni le nouveau fichier correctif demandé, a cité des fonctions qui n'existent pas dans les bibliothèques sous-jacentes et a suggéré des tactiques de renforcement pour des utilitaires autres que cURL.
L'équipe de cURL a finalement fermé le rapport, mais l'a également rendu public pour servir d'exemple. Alex Rice, cofondateur, directeur technique et responsable de la sécurité des systèmes d'information de HackerOne, a déclaré que les rapports contenant « des vulnérabilités hallucinées, un contenu technique vague ou incorrect, ou d'autres formes de bruit à faible effort » sont traités comme du spam et font l'objet d'une mise en application.
Le problème viendrait des utilisateurs et non de la technologie
Ce phénomène souligne un problème plus général : les projets open source fonctionnent grâce à quelques bénévoles. L’utilisation abusive de l'IA peut nuire à l’écosystème, en gaspillant l'énergie précieuse des personnes qui le maintiennent. Les hallucinations des modèles constituent un problème majeur de l'IA générative auquel les chercheurs n'ont pas encore trouvé de solution. Selon une étude de 2024, il pourrait s'agir d'un problème insoluble.
Dans certains cas, les auteurs des signalements erronés sont des personnes novices qui testent des IA sur du code. Ou pire, elles utilisent les rapports générés par l'IA pour tenter d'obtenir des récompenses financières via des programmes de primes aux bogues sans fournir de véritables contributions.
Il apparaît désormais que le problème vient davantage des personnes que de la technologie. En septembre 2025, le projet cURL a reçu des dizaines de signalements potentiels de Joshua Rogers, un chercheur en sécurité basé en Pologne. Joshua Rogers a identifié divers bogues et vulnérabilités à l'aide de plusieurs outils d'analyse propulsés par l'IA. Ses rapports se sont révélés non seulement valables, mais également beaucoup appréciés des mainteneurs.
Dans un billet publié sur Mastodon, Daniel Stenberg a déclaré : « ce sont vraiment des découvertes impressionnantes ». Dans sa mise à jour sur la liste de diffusion du projet, il a déclaré : « la plupart d'entre eux étaient de petites erreurs et des détails insignifiants dans le style d'un analyseur de code statique ordinaire, mais il s'agissait tout de même d'erreurs qu'il valait mieux corriger. Plusieurs des problèmes détectés étaient des découvertes assez impressionnantes ».
Parmi les vulnérabilités découvertes figurait une lecture hors limites dans Kerberos5 FTP qui n'a pas été considérée comme une faille de sécurité, mais qui a néanmoins été corrigée. Selon Daniel Stenberg, une cinquantaine de corrections de bogues basées sur les rapports de Joshua Rogers avaient été fusionnées.
Il faut néanmoins rester prudent quant à la façon d'utiliser l'IA
Le principal responsable du projet cURL Daniel Stenberg a reconnu la valeur de ces signalements. Les problèmes détectés allaient de petites incohérences à des bogues réels dans le code de la bibliothèque cURL. Toutefois, Daniel Stenberg reste prudent. Il explique que ces nouveaux outils représentent une évolution utile, non pas une révolution. L’IA ne remplace pas les développeurs, mais sert d’assistant capable de repérer des zones de code problématiques.
« Je ne pense pas que cela ait beaucoup changé mon opinion sur l'IA, si ce n'est peut-être prouver qu'il existe d'excellents outils d'analyse de code basés sur l'IA. Cela souligne peut-être aussi à quel point les rapports que nous recevons encore de la part des utilisateurs les plus naïfs sont ridicules », a-t-il écrit.
Joshua Rogers a rédigé un résumé des outils d'IA d'analyse des vulnérabilités qu'il a testés. Il a conclu que ces outils (Almanax, Corgea, ZeroPath, Gecko et Amplify) sont capables de détecter de réelles vulnérabilités dans des codes complexes. « Ce type de systèmes sera probablement la technologie la plus influente, voire la plus intéressante et la plus efficace pour détecter les vulnérabilités dans un avenir proche, du genre de celles que l'on n'avait plus vues depuis 2013 environ, lorsque le fuzzing est redevenu populaire avec afl-fuzz », a-t-il écrit.
L'industrie se tourne vers la recherche de bogues assistée par l'IA
Le projet OSS-Fuzz de Google a déclaré que la recherche de bogues assistée par l'IA est efficace. Mais le message est plus crédible lorsqu'il...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.