AI Slop ? Pas cette fois. Un chercheur en sécurité utilise l'IA pour repérer une cinquantaine de bogues réels dans le code du projet open source cURLdémontrant son efficacité sous supervision humaine
Le projet cURL a été confronté à une avalanche de rapports de bogues générés automatiquement par l'IA ces dernières années. Ces rapports sont souvent de faible qualité, souvent incohérents ou non pertinents. Cette situation a entraîné une surcharge de travail pour les mainteneurs, qui avaient donc été contraints d'interdire les rapports de bogues générés par l'IA. Cependant, un chercheur en sécurité a récemment utilisé l'IA pour soumettre des rapports à cURL et ces rapports ont permis d'identifier environ 50 vulnérabilités dans le code. Les mainteneurs ont salué la qualité de ces découvertes, soulignant que l'IA peut aider lorsqu'elle est bien utilisée.
cURL est un outil et une bibliothèque de ligne de commande essentiels pour interagir avec les ressources Internet. Le projet open source reçoit des rapports de bogues et des problèmes de sécurité par le biais de nombreux canaux, notamment HackerOne, un service de signalement qui aide les entreprises à gérer les rapports de vulnérabilité et les primes aux bogues. Mais les pratiques ont évolué au cours de ces deux dernières années.
HackerOne s'est passionné pour les outils d'IA. « Une plateforme, une force double : l'esprit humain + la puissance de l'IA », peut-on lire sur sa page d'accueil. Ainsi, les utilisateurs s'appuient de plus en plus sur les outils d'IA de la plateforme pour générer des rapports de bogue et de sécurité.
Mais il s'avère que ces rapports sont en majorité le résultat des hallucinations de l'IA, et donc inutiles. Seth Larson, expert en cybersécurité en résidence à la Python Software Foundation, a soulevé la question dans un billet de blogue viral en décembre 2024. Il a exhorté les personnes qui signalent des bogues à ne pas utiliser de systèmes d'IA pour la chasse aux bogues. Selon lui, les systèmes d'IA actuels ne sont pas fiables dans ce contexte.
Les rapports de bogues de mauvaise qualité générés par l'IA ont posé problème non seulement à cURL, mais aussi à la communauté Python, à Open Collective et au projet Mesa. Ce déluge a incité Daniel Stenberg, responsable du projet open source cURL, à publier plusieurs articles de blogue sur le sujet afin de convaincre les chasseurs de bogues de faire preuve de retenue et de ne pas faire perdre de temps aux contributeurs avec des problèmes invalides.
Impacts de rapports de mauvaise qualité sur les mainteneurs
Ce phénomène exacerbe une charge de travail déjà lourde. Beaucoup de mainteneurs sont des bénévoles qui jonglent entre leur travail, leur vie personnelle, et leurs responsabilités dans des projets open source. Traiter des rapports inutiles prend du temps, fatigue émotionnellement et peut entraîner un épuisement professionnel. Seth Larson estime que les rapports de mauvaise qualité doivent être traités comme s'ils étaient malveillants.
À titre d'exemple, Daniel Stenberg a évoqué un rapport de bogue datant du 4 mai 2025. Il suggérait un « nouvel exploit exploitant les cycles de dépendance de flux dans la pile de protocoles HTTP/3 ». La mauvaise gestion des dépendances de flux, lorsqu'un aspect d'un programme attend la sortie d'un autre aspect, peut conduire à l'injection de données malveillantes, à des conditions de course et à des plantages, ainsi qu'à d'autres problèmes.
Le rapport en question suggère que cela pourrait rendre cURL, qui est compatible avec HTTP/3, vulnérable à des exploits pouvant permettre l'exécution de code à distance. Mais comme le souligne le personnel de cURL, le correctif « configuration de serveur malveillant » soumis ne s'appliquait pas aux dernières versions d'un outil Python en question. Interrogé à ce sujet, l'auteur du signalement a répondu d'une manière étrangement prompte.
Il répondait à des questions qui n'avaient pas été posées par l'équipe de cURL et incluait ce qui semble être des instructions de base sur la manière d'utiliser l'outil git pour appliquer un nouveau correctif. L'auteur du signalement n'a pas non plus fourni le nouveau fichier correctif demandé, a cité des fonctions qui n'existent pas dans les bibliothèques sous-jacentes et a suggéré des tactiques de renforcement pour des utilitaires autres que cURL.
L'équipe de cURL a finalement fermé le rapport, mais l'a également rendu public pour servir d'exemple. Alex Rice, cofondateur, directeur technique et responsable de la sécurité des systèmes d'information de HackerOne, a déclaré que les rapports contenant « des vulnérabilités hallucinées, un contenu technique vague ou incorrect, ou d'autres formes de bruit à faible effort » sont traités comme du spam et font l'objet d'une mise en application.
Le problème viendrait des utilisateurs et non de la technologie
Ce phénomène souligne un problème plus général : les projets open source fonctionnent grâce à quelques bénévoles. L’utilisation abusive de l'IA peut nuire à l’écosystème, en gaspillant l'énergie précieuse des personnes qui le maintiennent. Les hallucinations des modèles constituent un problème majeur de l'IA générative auquel les chercheurs n'ont pas encore trouvé de solution. Selon une étude de 2024, il pourrait s'agir d'un problème insoluble.
Dans certains cas, les auteurs des signalements erronés sont des personnes novices qui testent des IA sur du code. Ou pire, elles utilisent les rapports générés par l'IA pour tenter d'obtenir des récompenses financières via des programmes de primes aux bogues sans fournir de véritables contributions.
Il apparaît désormais que le problème vient davantage des personnes que de la technologie. En septembre 2025, le projet cURL a reçu des dizaines de signalements potentiels de Joshua Rogers, un chercheur en sécurité basé en Pologne. Joshua Rogers a identifié divers bogues et vulnérabilités à l'aide de plusieurs outils d'analyse propulsés par l'IA. Ses rapports se sont révélés non seulement valables, mais également beaucoup appréciés des mainteneurs.
Dans un billet publié sur Mastodon, Daniel Stenberg a déclaré : « ce sont vraiment des découvertes impressionnantes ». Dans sa mise à jour sur la liste de diffusion du projet, il a déclaré : « la plupart d'entre eux étaient de petites erreurs et des détails insignifiants dans le style d'un analyseur de code statique ordinaire, mais il s'agissait tout de même d'erreurs qu'il valait mieux corriger. Plusieurs des problèmes détectés étaient des découvertes assez impressionnantes ».
Parmi les vulnérabilités découvertes figurait une lecture hors limites dans Kerberos5 FTP qui n'a pas été considérée comme une faille de sécurité, mais qui a néanmoins été corrigée. Selon Daniel Stenberg, une cinquantaine de corrections de bogues basées sur les rapports de Joshua Rogers avaient été fusionnées.
Il faut néanmoins rester prudent quant à la façon d'utiliser l'IA
Le principal responsable du projet cURL Daniel Stenberg a reconnu la valeur de ces signalements. Les problèmes détectés allaient de petites incohérences à des bogues réels dans le code de la bibliothèque cURL. Toutefois, Daniel Stenberg reste prudent. Il explique que ces nouveaux outils représentent une évolution utile, non pas une révolution. L’IA ne remplace pas les développeurs, mais sert d’assistant capable de repérer des zones de code problématiques.
« Je ne pense pas que cela ait beaucoup changé mon opinion sur l'IA, si ce n'est peut-être prouver qu'il existe d'excellents outils d'analyse de code basés sur l'IA. Cela souligne peut-être aussi à quel point les rapports que nous recevons encore de la part des utilisateurs les plus naïfs sont ridicules », a-t-il écrit.
Joshua Rogers a rédigé un résumé des outils d'IA d'analyse des vulnérabilités qu'il a testés. Il a conclu que ces outils (Almanax, Corgea, ZeroPath, Gecko et Amplify) sont capables de détecter de réelles vulnérabilités dans des codes complexes. « Ce type de systèmes sera probablement la technologie la plus influente, voire la plus intéressante et la plus efficace pour détecter les vulnérabilités dans un avenir proche, du genre de celles que l'on n'avait plus vues depuis 2013 environ, lorsque le fuzzing est redevenu populaire avec afl-fuzz », a-t-il écrit.
L'industrie se tourne vers la recherche de bogues assistée par l'IA
Le projet OSS-Fuzz de Google a déclaré que la recherche de bogues assistée par l'IA est efficace. Mais le message est plus crédible lorsqu'il provient d'un chercheur en sécurité individuel plutôt que d'un fournisseur d'IA disposant d'énormes ressources. Dans le même temps, l'expérience rapports de mauvaise qualité prouve que l'IA est loin d'être prête à travailler de manière autonome. Joshua Rogers a particulièrement fait l'éloge de l'outil ZeroPath.
« En analysant des logiciels open source, il a littéralement trouvé des centaines de vulnérabilités et de bogues réels dans des logiciels très critiques : sudo, libwebm, Next.js, Avahi, hostap, cURL, Squid (pas si critique, mais il a littéralement trouvé plus de 200 bogues réels). Oui, enfin, l'IA a trouvé de vrais bogues dans cURL ! En effet, non seulement ZeroPath a trouvé une multitude de vulnérabilités, mais il s'est également révélé redoutablement efficace pour trouver des bogues normaux, lorsqu'on lui a donné une règle personnalisée pour le faire », a déclaré le chercheur en sécurité.
Malgré tout, ces outils ont leurs limites. Joshua Rogers a déclaré qu'aucun des outils d'IA d'analyse de code n'avait été capable de détecter un bogue de boucle infinie précédemment identifié dans le package npm image-size. Selon lui, cette vulnérabilité n'avait toujours pas été corrigée en septembre 2025, malgré un correctif soumis en avril. Là encore, c'est un problème humain.
Conclusion
Les rapports de bogue de mauvaise qualité générés par l'IA sont devenus un problème pour les mainteneurs de logiciels libres et open source. Ce phénomène met en évidence les défis posés par l'utilisation non encadrée de l'IA dans la détection de vulnérabilités. Selon Daniel Stenberg et d'autres, cela souligne la nécessité d'une approche plus rigoureuse et collaborative pour maintenir la qualité et la sécurité des projets libres et open source.
Toutefois, l’expérience de cURL montre que l’IA peut être efficace lorsqu’elle est utilisée sous supervision humaine. Ce n’est pas l’outil en lui-même qui fait la différence, mais la façon dont il est exploité. Les humains doivent toujours vérifier, filtrer et valider les rapports avant d’agir. Lorsqu'ils sont utilisés par une personne ayant une expérience significative dans le domaine, les outils d'IA peuvent être très utiles, voire surprenants.
Sources : Daniel Stenberg, responsable du projet open source cURL ; Joshua Rogers, chercheur en sécurité
Et vous ?
Quel est votre avis sur le sujet ?
Que vous inspire l'expérience de cURL ?
Que pensez-vous des outils actuels d'IA d'analyse de code ?
Ces outils pourront-ils un jour être déployés sans supervision humaine ?Voir aussi
Le projet open source cURL interdit les rapports de bogue inutiles générés par l'IA : « nous n'avons toujours pas vu un seul rapport de sécurité valide rédigé avec l'aide de l'IA »
Les mainteneurs de logiciels libres sont noyés dans des rapports de bogues inutiles rédigés par l'IA. « Ces systèmes ne sont pas encore capable de comprendre le code », estime un développeur
L'IA peut écrire du code mais ne parvient pas à le comprendre, selon une étude d'OpenAI. Testés sur des tâches réelles de programmation, les modèles les plus avancés n'ont pu résoudre qu'un quart des défis
Vous avez lu gratuitement 21 918 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
