Linus Torvalds, le créateur de Linux, n’en peut plus des rapports de bugs soumis par l’IA. Dans un billet coup de gueule, il affirme que le noyau Linux, le cœur du système d’exploitation qui fait tourner des milliards d’appareils dans le monde, est noyé sous les signalements de bugs générés par des outils d’intelligence artificielle. Approximatifs, spéculatifs, mal ciblés et parfois erronés, ces rapports monopolisent le temps des développeurs bénévoles et salariés qui maintiennent Linux en vie.
À lire aussi : Nouvelle cyberattaque sur Windows et Linux – ce logiciel gratuit, utilisé par des millions d’utilisateurs, a été piégé
Doublons, spéculations et descriptions floues
Pour l’informaticien finlandais, la liste de diffusion dédiée à la sécurité du noyau est devenue « presque entièrement ingérable » à cause de l’intelligence artificielle. Cette liste, destinée aux signalements de failles de sécurité, est saturée de doublons. Trop de chercheurs utilisent les mêmes outils d’IA, tombent sur les mêmes failles, et envoient des rapports en double, ou en triple, sans même se concerter. De facto, les développeurs Linux passent énormément de temps à faire du tri.
« Si vous avez trouvé un bug avec des outils d’IA, il y a de fortes chances que quelqu’un d’autre l’ait déjà trouvé avant vous », déclare le créateur de Linux.
Le créateur de Linus estime par ailleurs que les rapports de bugs générés par l’IA sont de piètre qualité. Bien souvent, les rapports sont incomplets. Si la description est vague, incomplète ou carrément fausse, le technicien perd son temps à comprendre ce qu’on lui raconte avant même de pouvoir commencer à réparer quoi que ce soit. Trop de rapports ne correspondent à rien de réel ou décrivent des risques de sécurité purement théoriques. Mécaniquement, la charge de travail des développeurs Linux s’est accentuée à cause de l’essor de l’IA, et de l’explosion des chercheurs en herbe, équipés des mêmes outils.
« Les développeurs passent tout leur temps à réorienter les signalements ou à répondre “ça a déjà été corrigé il y a une semaine, un mois” », regrette Linus Torvalds, évoquant « une agitation parfaitement vaine et stérile ».
À lire aussi : Cette faille Linux vieille de 9 ans touche plusieurs milliards d’appareils
Le tour de vis de Linus Torvalds
Face à ce problème grandissant, Linus Torvalds a intégré au projet Linux de nouvelles règles de documentation. Rédigées par Willy Tarreau, un développeur reconnu dans la communauté, ces règles doivent spécifier désormais très explicitement ce qui constitue une vraie faille de sécurité, et ce qui n’en est pas une.
Dorénavant, tous les rapports devront être courts, clairs, vérifiés et les failles présumées devront au préalable avoir été testées sur une vraie machine. Il ne s’agit plus de décrire ce qu’un bug pourrait théoriquement permettre sur Linux, mais ce qu’il permet réellement de faire. Les chercheurs sont également invités à utiliser l’IA pour proposer des correctifs, pas seulement pour débusquer des problèmes.
« Ne soyez pas le genre de personne qui envoie un rapport en passant, sans aucune compréhension réelle du problème », ajoute l’informaticien, encourageant les contributeurs à apporter « une réelle valeur au-delà de ce qu’a fait l’IA ».
Un phénomène qui touche tous les projets open source
Ce phénomène ne touche pas uniquement Linux. Dans un entretien accordé au Register, Greg Kroah-Hartman, l’un des principaux développeurs du noyau Linux, a assuré que tous les grands projets open source font face au même déluge de rapports incomplets et chronophages. Selon lui, « toutes les équipes de sécurité des projets open source sont touchées en ce moment » et tout s’est accéléré il y a un mois.
« Personne ne semble savoir pourquoi. Soit de nombreux outils se sont considérablement améliorés, soit des gens ont commencé à se dire : “Tiens, et si on s’y intéressait ?” », explique Greg Kroah-Hartman.
Néanmoins, l’essor de l’IA n’est pas que négatif. Ces dernières semaines, les outils d’IA ont permis de débusquer une série de failles de sécurité dans le code de Linux. C’est le cas de Copy Fail, une vulnérabilité du système d’exploitation remontant à 2017, de DirtyFrag ou encore de Fragnesia. « Les outils d’IA sont formidables, à condition qu’ils aident vraiment, et non qu’ils génèrent des souffrances inutiles et un travail fastidieux », estime d’ailleurs Linus Torvalds.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Linus Torvalds
