Linus Torvalds, créateur du noyau Linux et responsable de son développement depuis 1991, assure que la liste de sécurité du projet est “presque totalement ingérable”. La cause en est l’arrivée massive de rapports de vulnérabilités générés avec des outils d’intelligence artificielle (IA).
Le problème, selon un article du 17 mai de Torvalds sur la Linux Kernel Mailing List (LKML), n’est pas l’IA elle-même mais le modèle d’utilisation : différents chercheurs appliquent les mêmes programmes automatisés sur le même code source et signaler indépendamment les mêmes échecs.
Le résultat est une accumulation de doublons dans la liste de sécurité privée du projet, où les responsables ne peuvent pas voir ce qui a déjà été soumis par d’autres.
Le noyau Linux est le cœur du système d’exploitation qui prend en charge les serveurs d’entreprise et les appareils Android. aux infrastructures critiques dans le cloud.
Torvalds coordonne son développement sur une base volontaire avec des milliers de collaborateurs mondiaux. Vos décisions en matière de politique et de flux de travail ont un impact direct sur la sécurité de millions de systèmes.
Cependant, tous les responsables du noyau ne partager la même vision. Greg Kroah-Hartman, commandant en second du projet et responsable de la branche stable, a noté que l’IA est devenue « un outil de plus en plus utile » pour la communauté open source.
Pour Kroah-Hartman, même s’ils ont initialement généré beaucoup de bruit, les outils d’IA produisent déjà des rapports réels et précieux, à condition qu’ils soient utilisés de manière appropriée.
Linux dicte des règles pour régler le problème
Malgré le contraste des idées, Torvalds a maintenu sa position et a accompagné ses critiques avec la sortie de la quatrième release candidate de Linux 7.1. Il a noté que l’équipe avait publié une documentation officielle pour réglementer ce type de reporting.
Selon Torvalds, Les bogues trouvés à l’aide d’outils d’IA doivent être traités comme une divulgation publique et envoyé directement aux responsables de chaque composant, et non à la liste de sécurité privée.
La documentation publiée indique que les rapports doivent être concis, rédigés en texte brut et inclure un joueur vérifié confirmant l’échec.
Torvalds Il a également soutenu que les chercheurs qui souhaitent contribuer efficacement Ils doivent aller au-delà des rapports automatisés : on s’attend, comme il l’a noté, à ce qu’ils développent et envoient des correctifs avec la correction.
Ledger, Google et Linux montrent une autre facette de l’IA
L’avertissement de Torvalds ne se produit pas en vase clos. En avril 2026, Charles Guillemet, directeur technique de Ledger, a noté que la barrière à l’entrée pour les attaquants s’effondre à mesure que les modèles linguistiques vous permettent d’analyser les différences entre les versions de logiciels et de générer des exploits plus rapidementmoins cher et efficace qu’avant.
Guillemet a spécifiquement ciblé les exploits dits d’un jour : des bugs avec des correctifs disponibles qui continuent d’être exploités car les utilisateurs ne mettent pas à jour leurs systèmes avec une vitesse suffisante.
Le cas le plus récent et le plus spécifique a été documenté par Google. Le 11 mai 2026, le Google Threat Intelligence Group (GTIG) a révélé avoir détecté le premier cas documenté d’une vulnérabilité zero-day développée avec l’aide de l’intelligence artificielle, interceptant l’ordinateur.faire campagne avant qu’il puisse être exécuté.
Parmi les preuves trouvées dans le code, les chercheurs ont identifié des commentaires excessivement explicatifs, une structure considérée comme très caractéristique des modèles de langage et même un score de gravité inventé, un trait associé aux hallucinations des systèmes génératifs.
John Hultquist, analyste en chef chez GTIG, a déclaré que cette affaire ne représente probablement que la pointe de l’iceberg de la manière dont les acteurs criminels et les groupes soutenus par l’État conduisent l’utilisation offensive de l’intelligence artificielle.
Le problème que Torvalds souligne dans le noyau Linux – l’IA en tant que génératrice de bruit massif dans les flux de sécurité – ; et celle documentée par Ledger et Google – l’IA comme accélérateur d’attaques réelles – mettent en évidence deux faces d’un même phénomène : les systèmes de sécurité logiciels, publics et privés, sont mis sous pression simultanément par le volume et par la vitesse à laquelle l’automatisation l’intelligence rend cela possible.
De cette manière, l’avertissement de Linus Torvalds met en évidence l’un des grands défis de l’ère de l’IA : la différence entre automatiser la détection des problèmes et maintenir la capacité humaine à les gérer.
