C’est le retour du Linus Torvalds des grands jours. Connu pour son franc-parler légendaire, le créateur du noyau GNU/Linux n’a pas caché son agacement lors de l’annonce de la quatrième version candidate du noyau Linux 7.1. Dans un e-mail envoyé à la liste de diffusion lkml, le « parrain » de l’open source a révélé que la liste de diffusion privée dédiée à la sécurité du système était devenue « presque entièrement ingérable ».
La cause de ce chaos ? Un tsunami de rapports de vulnérabilités automatisés, générés en masse par des chercheurs armés d’outils d’intelligence artificielle, qui saturent les mainteneurs sous une charge administrative stérile.
L’enfer des doublons et du « travail fictif »
Le problème ne vient pas de la pertinence des failles découvertes, mais de la méthode. Des dizaines de chercheurs utilisent simultanément les mêmes outils d’IA sur le code source du noyau. Résultat : ils découvrent tous exactement les mêmes bugs, souvent le même jour, et s’empressent de les envoyer individuellement sur la liste de sécurité privée.
Puisque cette liste est secrète, les rapporteurs ne peuvent pas voir les soumissions des autres. Les mainteneurs bénévoles de Linux passent donc un temps infini à faire de la conciliation de serveurs, à transférer des e-mails ou à répondre inlassablement que « ce bug a déjà été corrigé il y a une semaine ou un mois ».
Un brassage de vent qualifié par Torvalds de « perte de temps absolument inutile ».
« Les outils d’IA sont formidables, mais seulement s’ils apportent une aide concrète, plutôt que de causer des souffrances inutiles et un travail fictif sans intérêt. »
— Linus Torvalds
La réplique technique : les bugs IA sont désormais publics par défaut
Pour stopper l’hémorragie, la communauté Linux a réagi immédiatement. Linus Torvalds a validé l’intégration d’une nouvelle documentation officielle au sein du commit de correctifs de la version 7.1. Rédigé par le développeur français Willy Tarreau, ce texte formalise des règles drastiques pour encadrer l’usage de l’IA.
Désormais, tout bug découvert par un outil d’IA doit être considéré comme public par défaut. La liste de sécurité privée est strictement sanctuarisée pour les failles urgentes et exploitables en production. Les simples défauts de code trouvés par les LLM doivent passer par le processus de signalement public normal. De plus, Anbernic, Debian ou Linux exigent désormais des rapports concis, en texte brut, et surtout accompagnés d’un script de reproduction testé par l’humain.
Quand l’IA devient trop efficace pour les humains
Ce coup de gueule intervient alors que l’IA a franchi un cap technologique majeur. En mars dernier, Greg Kroah-Hartman notait que les rapports générés par IA étaient passés du statut de « bruit de fond stupide » à de véritables découvertes de haut niveau. C’est d’ailleurs une IA qui avait permis de dénicher en à peine une heure la faille critique Copy Fail (CVE-2026-31431), tapie dans le code depuis neuf ans.
Mais cette efficacité brute se retourne aujourd’hui contre le modèle open source : l’IA génère du volume à une vitesse que la structure humaine de relecture ne peut tout simplement plus suivre. Linus Torvalds a conclu son message par un avertissement clair aux chasseurs de primes aux bugs : « Ne soyez pas le genre de personne qui envoie un rapport au hasard sans comprendre ce qu’elle fait. Si vous trouvez un bug avec l’IA, ajoutez de la vraie valeur : écrivez le patch de correction. »
