Il n’y a pas que dans les images que déferlent des (souvent mauvaises) productions d’IA: cURL, utilitaire sous licence libre MIT de transfert de données, a suspendu il y a deux semaines son programme de bug bounty, en constatant un flot de contributions de mauvaise qualité.
« Réduire le bruit »
Daniel Stenberg, responsable de la maintenance de cURL (créé par cet informaticien suédois), a expliqué cette décision il y a quelques jours: son programme a reçu sept signalements de bugs en 16 heures, portant le total des signalements depuis le début de l’année à 20. Mais si certains de ces sept signalements concernaient de véritables bugs, aucun ne révélait de vulnérabilité.
cURL a décidé de supprimer toute mention de son programme de bug bounty dans sa documentation, cela pour «dissuader les utilisateurs de nous soumettre des rapports de mauvaise qualité et mal documentés, générés par IA ou pas. Le flux actuel de signalements surcharge l’équipe de sécurité de cURL, et cette mesure vise à réduire le bruit.»
Daniel Stenberg indique avoir eu une dispute à ce propos sur Mastodon avec un de ces contributeurs sous pseudo, qui s’est lamenté que Stenberg l’ait ridiculisé publiquement dans ce réseau social. «Cela m’a permis de me rappeler que, bien souvent, ces personnes sont simplement des êtres humains ordinaires, induits en erreur, et qu’elles pourraient tirer des leçons de cette expérience et peut-être même changer», commente Stenberg.
« Ne jamais signaler sans comprendre réellement »
Son interlocuteur a déclaré que sa vie professionnelle était ruinée par cette mise en cause. À quoi le responsable de cURL répond: «Je pense que c’est exagéré, car je ne connais ni le vrai nom de la personne, ni sa localisation, ni sa langue, ni son sexe, ni même son continent. Tout ce que nous savons, c’est un pseudonyme de pirate informatique utilisé une fois, dans un rapport. Et comme il y en a eu tellement de ridicules, vous ne pouvez même pas savoir de quel utilisateur je parle…»
Et il justifie sa démarche de «name and shame»: «Il s’agit bien sûr de trouver un juste milieu, mais je continue de croire que dénoncer, discuter et ridiculiser ceux qui nous font perdre notre temps est l’un des meilleurs moyens de faire passer le message: il ne faut JAMAIS signaler un bug ou une vulnérabilité à moins de la comprendre réellement et de pouvoir la reproduire. Si vous le faites malgré tout, je crois que j’ai le droit de me moquer de la personne concernée et d’être en colère contre elle.»
Comme le note le site itpro.com, en janvier 2024 déjà, Stenberg s’était inquiété du nombre croissant de rapports de mauvaise qualité, d’apparence crédible grâce à des IA, qui faisaient ensuite perdre un temps précieux aux équipes de maintenance: «Lorsque des rapports sont falsifiés pour paraître plus convaincants et pertinents, il nous faut plus de temps pour les examiner et finalement les rejeter. Chaque rapport de sécurité doit être analysé par une personne afin d’en évaluer la signification.»
« Comme pour les spammeurs »
Il écrivait alors: «Avec la multiplication de ces signalements, je pense que nous apprendrons à mieux détecter les signaux générés par l’IA et à les rejeter en conséquence. Ce sera évidemment regrettable lorsque l’IA sera utilisée pour des tâches appropriées, comme la traduction ou l’aide à la formulation. (…)
Je suis convaincu que, même à l’avenir, certains continueront de chercher des raccourcis. Je suis certain qu’ils chercheront toujours à obtenir des gains rapides. Comme pour les spammeurs, c’est le destinataire qui en subira les conséquences. La facilité d’utilisation et le large accès aux puissants programmes de marketing d’influence sont tout simplement trop tentants. Je crains fort que nous ne recevions davantage de contenus inutiles générés par ces programmes dans nos boîtes de réception HackerOne» [plateforme de bug bounty]
Deux ans après, ses craintes apparaissent fondées. Dans des échanges sur GitHub, Daniel Stenberg a écrit cette semaine: «Il existe aussi un risque que cette initiative soit inefficace et que le flot de problèmes et d’horreurs nous suive. Nous ne sommes qu’un petit projet open source, avec une poignée de contributeurs actifs. Nous n’avons aucun pouvoir sur le fonctionnement de ces gens et de leurs systèmes défaillants [traduction Google de l’anglais, «slop machines», slop pour la bouillie numérique telle que les vidéos synthétiques pourries et autres fléaux d’IA décérébrantes, NDLR]. Nous devons agir pour assurer notre survie et préserver notre santé mentale.»
Illustration: Mohamed_hassan / Pixabay
Lire aussi
6 astuces pour arrêter de nettoyer les scories de l’IA – et de conserver vos gains de productivité – 20 janvier 2026
Pourquoi l’open source pourrait ne pas survivre à l’essor de l’IA générative – 27 octobre 2025
Focus métier : Chasseuse de failles, « au début, ça me paraissait inaccessible » – 4 avril 2024
Découverte d’un bug désastreux dans l’utilitaire Linux curl, et déploiement de correctifs – 12 octobre 2023