Ces outils d’IA qui cherchent des bugs dans Linux créent un problème que personne n’avait prévu

Des chercheurs utilisent l'IA pour traquer des failles dans Linux et noient l'équipe sous les mêmes rapports en double. Le chaos était inévitable. Linus Torvalds, fondateur du système, a décidé de mettre les choses au clair.

L'intelligence artificielle transforme le paysage de la cybersécurité à grande vitesse. Elle permet désormais de détecter des vulnérabilités en quelques secondes, là où un humain mettrait des jours. Des hackers ont déjà exploité cette capacité pour mener des campagnes d'attaques à grande échelle en un temps record. Mais les chercheurs en sécurité, eux aussi, s'en sont emparés pour traquer les failles dans les logiciels du monde entier. Linux, le système d'exploitation open source le plus utilisé au monde, n'y échappe pas.

Cette tendance prend une dimension particulière quand des centaines de chercheurs indépendants s'appuient sur les mêmes outils. On sait désormais que l'IA peut détecter des failles zero-day, ces vulnérabilités inconnues et potentiellement très dangereuses. Le problème, c'est que plusieurs personnes utilisant un outil identique finissent par identifier les mêmes bugs simultanément. Sur Linux, cette situation a pris une ampleur que personne n'avait anticipée.

La liste de sécurité de Linux est devenue ingérable à cause des rapports en double générés par l'IA

Selon The Register, Linus Torvalds a tiré la sonnette d'alarme le 17 mai 2026. Le fondateur de Linux y décrit une liste de sécurité quasi totalement ingérable. Elle est submergée par un flot de rapports identiques, produits par des outils automatisés différents. Les mainteneurs passent l'essentiel de leur temps à rediriger des doublons. Ils signalent souvent que le bug a déjà été corrigé bien avant le signalement. Pour résoudre ce problème, le projet a publié une nouvelle documentation le 16 mai 2026. Les signalements générés automatiquement doivent désormais être traités publiquement par défaut. Ce canal privé reste réservé aux failles critiques et immédiatement exploitables.

Linus Torvalds ne rejette pas ces outils pour autant. Il demande aux contributeurs de créer des correctifs, plutôt que de se contenter de rapports automatiques. Le projet n'est pas le seul concerné. En janvier 2026, les développeurs de curl ont fermé leur programme de bug bounty pour les mêmes raisons. Cet outil de transfert de données est utilisé par des milliards d'appareils. Un autre mainteneur du noyau, Greg Kroah-Hartman, nuance toutefois ce bilan. Il a récemment salué l'IA comme un atout pour la communauté du logiciel libre.