Pendant mes études d’informatique, on parle du début des années 2000, j’avais eu des cours et des travaux pratiques sur les réseaux de neurones. On ne parlait pas encore d’IA à l’époque, de mon souvenir. Et j’avais vraiment aimé cette partie, très intéressante, à la pointe. J’ai gardé pendant longtemps cet à priori très positif de l’intelligence artificielle.
Aujourd’hui, mon avis est bien à l’opposé. Je ne vais pas m’étendre sur les soucis de l’IA aujourd’hui, écologiques (les ressources consommées), sociaux (les licenciements) et idéologiques (l’adoration par l’extrême droite pour inventer des mensonges qui les arrangent).
Mais des fois, on se rend compte que l’IA générative pose problème d’une manière plus fourbe.
Vous connaissez peut-être le logiciel libre cURL. Il s’agit d’un outil en ligne de commande qui permet de parcourir le web. Mais le sous-projet est également la bibliothèque libcurl, qui permet à d’autres logiciels de faire des requêtes HTTP sans avoir à réinventer la roue, et en s’appuyant sur une base de code qui est connue et maintenue. La libcurl est très très utilisée dans le monde du logiciel libre, mais du fait de sa licence, également dans des logiciels propriétaires, commerciaux ou non. C’est une bibliothèque qu’on retrouve partout. Si vous utilisez un logiciel qui fait des requêtes en HTTP, il y a une bonne probabilité que ça soit la libcurl derrière. Il est donc très important que la bibliothèque soit maintenue et exempte de failles. En effet, un souci de sécurité dans libcurl, et ce serait potentiellement tous les projets qui l’utilisent qui seraient vulnérables.
Pour faire en sorte que le code soit le plus vérifié possible, le projet cURL avait recours à un programme de bug bounty. Les personnes découvrant des failles dans le logiciel pouvaient donc les proposer et recevoir de l’argent en contrepartie. Ça peut sembler étrange, mais ça fonctionne assez bien. Du moins, ça fonctionnait assez bien. Mais depuis quelques mois, le projet croulait sous les rapports qui sont générés par IA. Comprendre par là que des personnes qui n’y connaissent rien, qui ne voient que le profit qu’elles pourraient obtenir, font analyser le code par une IA avec un prompt demandant de trouver les failles. Et comme d’hab, elle se plante carrément, hallucine des fonctions qui n’existent pas, ou trouve des erreurs qui n’en sont pas. L’équipe de cURL s’est retrouvée devant beaucoup de demandes de revue, dont la plupart étaient fausses. Mais qui nécessitent quand même du temps pour s’apercevoir que c’est de l’IA slop. Et tout ce temps, c’est du temps qui n’est pas investi dans le projet.
Suite à ces trop nombreuses demandes au rapport signal/bruit bien trop faible, le projet curl a décidé d’arrêter le programme de bug bounty. Ça ne peut avoir que 2 conséquences. La première étant que les vraies personnes expertes vont être moins tentées de chercher des failles dans cURL, puisqu’il n’y aura plus de compensation financière à la clé. Donc les failles seront là, mais pas remontées au projet. La deuxième conséquence c’est que les personnes qui trouvent des failles désormais, ce qui peut prendre du temps, vont quand même souhaiter rentrer dans leurs frais. Et elles vont être tentées d’aller les revendre à des personnes qui aimeraient exploiter des failles de sécurité et les garder pour elles. Dans les 2 cas, on se retrouve avec un logiciel qui est moins sûr. Pour un projet aussi utilisé que cURL, c’est un énorme problème et une épée de Damoclès au dessus de nos têtes.
Tout ça à cause de l’IA Générative et de personnes malveillantes, volontairement ou non. Vivement que cette bulle explose.