Linus Torvalds fustige les rapports de bogues générés par l'IA qui perturbent le développement du noyau Linux avec la version 7.1 RC4, notamment un flot chaotique de rapports en double générés par l'IA

Linus Torvalds fustige les rapports de bogues générés par l'IA qui perturbent le développement du noyau Linux avec la version 7.1 RC4, notamment un flot chaotique de rapports en double générés par l'IA

Linus Torvalds met en garde contre le fait que les rapports de bogues générés par l'IA submergent la liste de diffusion sur la sécurité Linux de doublons et de bruit. La liste de diffusion sur la sécurité Linux est désormais « presque totalement ingérable », a averti le responsable principal Linus Torvalds. « Le flot continu de rapports générés par l'IA a rendu la liste de sécurité pratiquement ingérable, avec d'énormes doublons dus au fait que différentes personnes trouvent les mêmes choses avec les mêmes outils », a-t-il déclaré. Torvalds a souligné que ces rapports constituent « un gaspillage de temps totalement inutile », car la plupart des bogues détectés par les outils d’IA sont « par définition, loin d’être secrets », et que les signaler « ne fait qu’aggraver les doublons ».

Le noyau Linux est un noyau libre et open source de type Unix utilisé dans de nombreux systèmes informatiques à travers le monde. Le noyau a été créé par Linus Torvalds en 1991 et a rapidement été adopté comme noyau du système d'exploitation GNU, conçu pour remplacer librement Unix. Depuis la fin des années 1990, il est intégré à de nombreuses distributions de systèmes d'exploitation, dont beaucoup sont appelées Linux. Android, utilisé dans de nombreux appareils mobiles et embarqués, est l'un de ces systèmes d'exploitation basés sur le noyau Linux.

Linus Benedict Torvalds, né le 28 décembre 1969, est un ingénieur logiciel finlandais et américain, créateur et développeur principal du noyau Linux depuis 1991. Il a également créé le système de contrôle de version distribué Git. Torvalds a été l'un des lauréats du Prix Millennium Technology 2012 « en reconnaissance de sa création d'un nouveau système d'exploitation open source pour ordinateurs ayant conduit au noyau Linux largement utilisé ». En 2006, environ 2 % du noyau Linux avait été écrit par Torvalds. Malgré les milliers de personnes qui y ont contribué, son pourcentage reste l'un des plus élevés. Cependant, il a déclaré en 2012 que sa contribution personnelle consistait désormais principalement à fusionner du code écrit par d'autres, avec peu de programmation. Il conserve la plus haute autorité pour décider quel nouveau code est intégré au noyau Linux standard.


Les mainteneurs jouent un rôle essentiel dans l'univers de l'open source. Ces bénévoles consacrent leur temps et leur expertise à maintenir des projets utilisés par des millions de personnes à travers le monde. Pourtant, un phénomène inquiétant perturbe leur travail : une multiplication des rapports de bogues de mauvaise qualité générés par des intelligences artificielles (IA). Les soumissions de vulnérabilités logicielles générées par des modèles d'IA ont inauguré une « nouvelle ère de rapports de sécurité bâclés pour l'open source » et les développeurs qui maintiennent ces projets souhaiteraient que les chasseurs de bogues s'appuient moins sur les résultats produits par les assistants d'apprentissage automatique.

Seth Larson, développeur de sécurité en résidence à la Python Software Foundation, avait notamment exhorté les personnes qui signalent des bogues à ne pas utiliser de systèmes d'IA pour la chasse aux bogues. En 2024, il a déclaré : « Récemment, j'ai remarqué une augmentation des rapports de sécurité de qualité extrêmement médiocre, spammés et hallucinés par LLM dans les projets open source. Ces rapports semblent à première vue potentiellement légitimes et nécessitent donc du temps pour être réfutés ». Larson a estimé que les rapports de mauvaise qualité doivent être traités comme s'ils étaient malveillants.

Récemment, Linus Torvalds a fait des déclarations similaires. En effet, la liste de diffusion sur la sécurité Linux est désormais « presque totalement ingérable », depuis que les chercheurs ont commencé à utiliser l’IA pour l’inonder de rapports inutiles, a averti le responsable principal Linus Torvalds. Après avoir qualifié la dernière version candidate de « relativement normale » dans son dernier billet hebdomadaire sur l’état du noyau, abordant des sujets tels que les pilotes, la mise en réseau, le noyau central et bien d’autres, Torvalds a souligné que « certaines mises à jour de la documentation mériteraient d’être mises en avant ».

« Le flot continu de rapports générés par l'IA a rendu la liste de sécurité pratiquement ingérable, avec d'énormes doublons dus au fait que différentes personnes trouvent les mêmes choses avec les mêmes outils », a-t-il déclaré. « Les gens passent tout leur temps à simplement transférer des informations aux bonnes personnes ou à dire « cela a déjà été corrigé il y a une semaine/un mois » et à renvoyer vers la discussion publique ». Torvalds a souligné que ces rapports constituent « un gaspillage de temps totalement inutile », car la plupart des bogues détectés par les outils d’IA sont « par définition, loin d’être secrets », et que les signaler « ne fait qu’aggraver les doublons ».

Au-delà de ses critiques, Torvalds a également donné quelques conseils concrets, invitant les chercheurs à utiliser l’IA « d’une manière productive et qui améliore l’expérience » : « La documentation est peut-être un peu moins directe que moi, mais c’est l’essentiel », a-t-il conclu. « Si vous voulez vraiment apporter une valeur ajoutée, lisez la documentation, créez aussi un correctif, et ajoutez une réelle valeur *en plus* de ce que l’IA a fait. Ne soyez pas le genre de personne qui passe en coup de vent pour « envoyer un rapport au hasard sans véritable compréhension ». »

Cette déclaration rappelle un rapport de CodeRabbit, qui a révélé que le code généré par l'IA présente nettement plus de défauts que le code écrit par des humains dans les principales catégories de qualité logicielle. Le rapport a révélé que les pull requests générées par l'IA contiennent en moyenne environ 1,7 fois plus de problèmes que celles écrites uniquement par des humains. Il a également identifié des taux plus élevés de défauts critiques et majeurs dans le code impliquant des outils d'IA.


Voici la déclaration de Linus Torvalds :

Vous connaissez tous la chanson désormais : une nouvelle semaine, une nouvelle version candidate.

La situation semble rester relativement normale (où « normale » désigne la « nouvelle normalité », avec tout de même pas mal de changements). Les pilotes représentent environ la moitié du patch, les pilotes GPU occupant comme d’habitude la première place. Mais on trouve un peu de tout dans le domaine des pilotes.

Le reste concerne principalement les réseaux, le noyau central, les systèmes de fichiers et les mises à jour des architectures.

Certaines mises à jour de la documentation méritent d'être soulignées : le flot continu de rapports AI a rendu la liste de sécurité pratiquement ingérable, avec d'énormes doublons dus au fait que différentes personnes trouvent les mêmes choses avec les mêmes outils. Les gens passent tout leur temps à simplement transférer les informations aux bonnes personnes ou à dire « ça a déjà été corrigé il y a une semaine/un mois » en renvoyant vers la discussion publique.

Tout cela n'est qu'une agitation totalement inutile, et nous affirmons clairement que les bogues détectés par l'IA ne sont, par définition, pas secrets, et que les traiter sur une liste privée est une perte de temps pour toutes les personnes concernées — et ne fait qu'aggraver ces doublons, car les rapporteurs ne peuvent même pas voir les rapports des uns et des autres.

Les outils d'IA sont formidables, mais seulement s'ils aident réellement, plutôt que de causer des tracas inutiles et un travail fictif sans intérêt. N'hésitez pas à les utiliser, mais faites-le de manière productive et de façon à améliorer l'expérience.

La documentation est peut-être un peu moins directe que moi, mais c'est là l' essentiel. Donc, pour que ce soit bien clair : si vous avez trouvé un bug à l'aide d'outils d'IA, il y a de fortes chances que quelqu'un d'autre l'ait trouvé aussi. Si vous voulez vraiment apporter une valeur ajoutée, lisez la documentation, créez un correctif vous aussi, et ajoutez une réelle valeur *en plus* de ce que l'IA a fait. Ne soyez pas le genre de personne qui « envoie un rapport au hasard sans vraiment comprendre ». D'accord ?

Linus

Source : Message de Linus Torvalds

Et vous ?

Pensez-vous que cette déclaration est crédible ou pertinente ?
Quel est votre avis sur le sujet ?

Voir aussi :

Linus Torvalds refuse de transformer la documentation du kernel en champ de bataille idéologique « anti-IA » : arrêtez de faire toute une histoire de « l'IA slop » dans la documentation du noyau

Un mainteneur propose d'ajouter un « kill switch » au noyau Linux après la divulgation récente de plusieurs vulnérabilités critiques, mais son impact sur la stabilité du système suscite un débat

Linux fixe les règles en matière de code généré par IA : Oui à Copilot, les humains endossent les erreurs. Après des mois de débats acharnés, Torvalds et les mainteneurs parviennent à un accord.