Depuis quelques mois, on assiste à une explosion spectaculaire du nombre de vulnérabilités (CVE) publiées et patchées dans les produits les plus populaires et dans de nombreux projets open source. L’origine de cette vague, c’est l’intelligence artificielle (IA) puisqu’elle assiste désormais les chercheurs dans la découverte des failles de sécurité.

Une explosion des CVE portée par les nouveaux modèles d’IA

L’année 2026 est marquée par une hausse fulgurante des divulgations de CVE chez de nombreux éditeurs de logiciels. Je suis tombé sur un rapport publié par VulnCheck à ce sujet et il permet de constater des augmentations impressionnantes au niveau des volumes de failles découvertes. Ainsi, en comparaison de l’année dernière (du 1er janvier 2026 à la mi-mai 2026 en comparaison de la même période en 2025), voici ce qui a été constaté :

• Chrome : +563,2 %
• GitHub : +476,07 %
• VMware : +180,9 %
• Apache : +170,3 %
• Mozilla : +156,9 %
• HPE : +132,3 %
• F5 : +113,8 %

Autant vous dire qu’il y a eu un réel engorgement des backlogs pour la mise au point de ces correctifs…

Cette hausse significative s’explique par l’utilisation de l’intelligence artificielle pour assister la découverte de failles de sécurité. Pour les partenaires d’Anthropic, cela s’explique aussi (et surtout) aux travaux effectués dans le cadre du Projet Glasswing et de l’utilisation du modèle Claude Mythos Preview. Ce modèle a déjà permis d’identifier des centaines de vulnérabilités zero-day dans les produits des partenaires d’Anthropic. On peut citer notamment Mozilla (Claude Mythos a permis de découvrir des vulnérabilités dans Firefox), mais aussi Google, Apple, Palo Alto Networks, la fondation Apache Software ou encore Microsoft.

L’image ci-dessus met en évidence une hausse de 563 % des divulgations pour Google Chrome. D’ailleurs, utiliserait une combinaison du modèle Mythos et de ses propres intelligences artificielles pour l’identification des vulnérabilités. L’évolution en comparaison des années précédentes est flagrante et nous ne sommes pas encore à la moitié de l’année 2026 !

Du côté des projets open source, il y a eu un réel impact également. L’augmentation des signalements sur GitHub est globale et ne provient pas d’une source unique. Madison Oliver Ficorilli, de GitHub, l’explique ainsi : “Aucun signaleur individuel ne représente plus de ~3 % du volume, et aucun projet unique ne représente plus de ~7 %. Il ne s’agit pas d’une seule personne ou d’un seul outil, c’est un changement systémique dans la façon dont le signalement des vulnérabilités se produit à travers l’écosystème.”

Il faut dire que les projets open source sont un terrain de jeux idéal pour l’IA puisque le code est public…

La gestion des vulnérabilités : une vraie difficulté

Dans le rapport de VulnCheck, ce qui est intéressant au-delà de ces chiffres et de cette tendance qui se confirme, c’est que la qualité des CVE soumises évolue aussi. Il est vrai qu’au début, l’IA pouvait remonter tout et n’importe quoi, ce qui compliquait la tâche des développeurs (et c’était aussi énervant, il faut le dire).

Désormais, la qualité globale semble s’améliorer : “Notre service de signalement de vulnérabilités a été submergé par un afflux de signalements qui, pour être franc, étaient au départ de piètre qualité. Mais au cours des derniers mois, la qualité des signalements reçus s’est nettement améliorée, sans que le volume global ne diminue pour autant.”, précise le rapport publié par VulnCheck.

Toutefois, ce n’est pas encore parfait. D’ailleurs, Daniel Stenberg, le mainteneur de Curl, a tendance à nuancer le succès immédiat de la découverte de failles par l’IA en rappelant que sur cinq vulnérabilités “confirmées” rapportées initialement par Mythos, une seule s’est avérée être un CVE valide après examen par un humain.

Ce pic est-il temporaire ou se maintiendra-t-il encore à un tel niveau pendant plusieurs mois ou années ? L’avenir nous le dira. Ce qui est certain, c’est que le volume de vulnérabilités à traiter n’a jamais été aussi élevé. Terminons par ce beau visuel de VulnCheck qui illustre bien la situation.