Le mainteneur du noyau Linux s’effondre ! L’IA envoie chaque jour 10 rapports de vulnérabilités, impossible même de “taper” sur une prise de poisson pour se la couler douce !

Pour investir en bourse, regardez les rapports d’analyse de l’analyste en chef Golden Kirin : faisant autorité, professionnel, opportun, complet—vous aide à découvrir des opportunités de thèmes à fort potentiel !

（Source : Zixueli）

Des mainteneurs du noyau Linux se sont effondrés.

Désormais, la vitesse à laquelle l’IA trouve des bugs est plus rapide que la façon dont ils les réparent.

Après avoir balayé au prix de longs efforts et de nuits blanches tout en ayant lutté jusqu’au bout—

On se réveille après une sieste et—

La boîte mail est de nouveau saturée par une avalanche de nouveaux rapports de vulnérabilités.

Le pire sur le plan mental, c’est que, parmi ces rapports générés par IA, la plupart sont encore… corrects. Pas moyen de trouver une excuse pour faire l’erreur, et encore moins quand le soumetteur est un « contremaître cybernétique » qui n’a pas besoin de dormir.

Impossible de finir ; le travail n’en finit vraiment pas.

Qui aurait cru que l’IA deviendrait une sorte de fouet cybernétique pour les développeurs Linux.

Mais que peut-on y faire ?

Puisque les vulnérabilités sont là, on ne peut pas faire semblant d’être mort en attendant d’être attaqué par des pirates à la maison, non ?

Il ne reste qu’à s’acharner et réparer en veillant toute la nuit.

À la fin, ce mainteneur ne peut même que lever les mains, impuissant : à court terme, il n’y a pas de solution. Il conseille à ses collègues de se préparer mentalement : tout le monde doit l’endurer ensemble.

Ce n’est pas la tristesse solitaire d’un seul mainteneur.

« Il y a quelques mois, nous avons reçu certains rapports de sécurité générés par IA, de faible qualité », se souvient Greg Kroah-Hartman, responsable du noyau Linux. « À ce moment-là, on ne l’a absolument pas pris au sérieux. »

Au début, tout le monde pensait que ce n’était qu’une autre pile de déchets générés par IA.

Qui aurait cru que, du jour au lendemain, l’IA changerait de forme : d’un coup, elle serait devenue un hacker chapeau blanc de tout premier rang.

Toutes sortes de rapports d’IA bombardent frénétiquement les boîtes mail, avec un taux de justesse extrêmement élevé—

Ouvrez-en un : ah, ce qu’il dit est plutôt logique.

Regardez le suivant : ah, celui-ci aussi dit des choses justes ? ?

Soudain, les yeux se brouillent… et c’est parti pour un patchage sans fin…

Le point de bascule arrive trop brusquement, au point même que des grosses pointures du noyau comme Greg sont restées perplexes :

Greg indique que les équipes sécurité de nombreux projets open source communiquent très fréquemment en privé, et il a été très clair : « Toutes les équipes de sécurité open source vivent actuellement cette situation. »

À ce jour, il n’a toujours pas repris ses esprits—mais quelle nouvelle IA vient d’apparaître ?

Ou bien les gens se sont soudainement connectés collectivement à l’inconscient, ont tous eu la même illumination :

« Hé, creuser des failles avec l’IA, ça a l’air super intéressant. Essayons-le ensemble. »

Quelle que soit la cause exacte, il y a une chose certaine—

Le tsunami est vraiment arrivé.

Les développeurs Linux n’en peuvent plus !

Sur LWN.net, un mainteneur du noyau Linux, portant le pseudonyme wtarreau, a publié son « moment de crise ».

L’explosion du nombre de rapports n’était qu’une apparence.

Ce qui lui a donné la chair de poule, c’est qu’il pouvait voir chaque jour des « scènes » jamais observées auparavant, se rejouer encore et encore :

Deux personnes différentes ont soumis le même rapport de vulnérabilité

À savoir : auparavant, pour trouver des failles de sécurité, il fallait généralement un haut niveau de compétences techniques. Un rapport était souvent le résultat d’une analyse approfondie réalisée manuellement.

Cela signifie aussi que chacun avait des façons de penser différentes ; tout le monde allait vers des directions différentes.

Dans un codebase Linux aussi gigantesque, retrouver à répétition la même vulnérabilité ?

La probabilité est littéralement plus faible que gagner au loto.

La seule explication : maintenant, un énorme paquet de gens qui n’étaient pas censés faire de la sécurité auparavant ont commencé à utiliser l’IA pour rechercher des vulnérabilités.

Et ils y prennent même plaisir.

Cela a fait exploser instantanément la charge de travail de wtarreau ; il a dû étendre l’équipe et recruter de l’aide.

Cela dit, wtarreau n’a pas dit qu’il se plaignait. Au contraire, il a déclaré que c’était une « joie qui fatigue ».

Mais si on y réfléchit autrement, peut-être que c’est aussi une bonne chose.

Cela a ramené wtarreau à l’époque d’avant 2000 : un âge d’or auquel les mainteneurs sécurité pensaient avec passion.

À cette époque, Internet ne s’était pas encore généralisé. Impossible de déployer des correctifs en ligne OTA comme aujourd’hui.

Le logiciel devait être gravé sur un CD ou écrit sur des millions de disquettes pour être distribué. Et si une faille de sécurité grave existait… c’était fini, terminé.

Donc, à ce moment-là, les logiciels devaient passer des milliers d’épreuves.

Désormais, l’industrie logicielle pourrait être forcée par l’IA à retrouver ces critères de contrôle qualité « anormaux ».

Le modèle de « on publie et on laisse tomber » ne marche plus du tout.

Chaque logiciel est désormais une cible vivante.

Les mécanismes de blocage ne fonctionnent plus ; si un fabricant découvre une faille, il n’a plus aucun prétexte pour « garder le silence ».

Après tout : même si quelqu’un prévient le fabricant à l’avance, qui peut garantir que des gens mal intentionnés n’utiliseront pas aussi l’IA pour découvrir le même problème, puis s’en servir pour attaquer les utilisateurs ?

Donc dès qu’un bug est signalé, les mainteneurs doivent le corriger immédiatement.

À ce sujet, wtarreau a déclaré être très enthousiaste.

Même si ça a l’air un peu effrayant et que c’est effectivement très fatigant, la qualité des logiciels pourrait connaître une amélioration sans précédent.

Mais concernant cette « joie qui fatigue », des internautes disent ne pas pouvoir s’y identifier du tout.

Il a déclaré franchement que ces développeurs Linux se contentent de s’auto-satisfaire, que certaines lacunes ne préoccupent personne et qu’une mise à niveau aveugle apporterait au contraire une catastrophe en matière de compatibilité.

Ainsi, il suggère que les mainteneurs se concentrent sur l’essentiel : ne change rien automatiquement juste parce que l’IA en dit quelque chose. Il suffit de verrouiller les failles système les plus graves.

À propos de ce point de vue, un autre internaute l’a carrément réfuté sans ménagement : c’est complètement de la pure absurdité, juste une excuse inventée.

Mais ici, il y a peut-être aussi un problème plus réaliste—

« La joie qui fatigue » pourrait être trop belle. Qui peut garantir que ce ne sera pas un enfer de sécurité sans précédent ?

La vitesse à laquelle les mainteneurs corrigent les bugs pourra-t-elle vraiment dépasser celle des criminels qui exploitent l’IA pour trouver des vulnérabilités ?

Mais au fond, ce n’est pas grave : si on ne peut pas battre, alors on rejoint.

Pour l’instant, dans le développement du noyau Linux, l’IA sert encore davantage d’assistance ; elle n’écrit pas encore officiellement tout le code.

Mais aujourd’hui, cette limite devient de plus en plus floue.

Greg, lui-même, les « gros pontes » du noyau, commence déjà à faire des expériences avec l’IA.

Même si ces correctifs doivent encore être nettoyés manuellement, avec en plus une soumission élégante, puis intégrés, il ne faut absolument pas les appeler des « déchets d’IA ».

« Ces outils sont utiles, » a reconnu Greg. « On ne peut pas faire semblant de ne pas les voir. Elles sont vraiment là, et elles deviennent de plus en plus puissantes. »

Les développeurs eux-mêmes sont aussi très honnêtes : « On a déjà vu certains correctifs qui sont effectivement générés par IA », a ajouté Greg.

Et le plus grand avantage de le faire, c’est la vitesse de réaction.

Greg a mentionné qu’aujourd’hui, nous avons beaucoup de robots qui surveillent les correctifs pour vérifier.

Si la vérification n’aboutit pas, les développeurs peuvent recevoir une réponse rapidement, et donner un retour : « D’accord, je soumets une autre version demain. »

De cette façon, la vitesse de patchage est mise au même niveau que celle à laquelle l’IA creuse.

Pour Linux, la relation avec l’IA est désormais un sujet auquel ils ne peuvent plus ne pas penser.

C’est à la fois une opportunité et un défi.

D’un côté, l’IA amène de nouvelles sources de vulnérabilités et alourdit la charge d’examen humain.

Mais de l’autre côté, l’IA aide aussi à atténuer cette pression.

Peut-être que ce à quoi les mainteneurs du noyau Linux font face aujourd’hui est justement une miniature de tout le panorama de la révolution de l’IA.

L’IA se développe à une vitesse fulgurante, et ce développement nous force aussi à l’embrasser.

Bouclez votre ceinture de sécurité.

Liens de référence :

[1]

[2]

[3]

Accès à de grandes quantités d’informations et à une interprétation précise, le tout sur l’application Sina Finance