Ce dimanche 17 mai 2026, à l’occasion de la publication du noyau Linux 7.1-rc4, Linus Torvalds a tapé du poing sur la table. La raison ? La mailing list dédiée à la sécurité du noyau Linux est en train de craquer sous le poids des rapports de bugs automatisés par intelligence artificielle. La situation est alarmante.

Bugs dans le noyau Linux : des doublons à la pelle…

L’utilisation massive des outils IA pour la détection de bugs dans le noyau Linux rend la situation compliquée, je dirais même ingérable, pour reprendre les propos de Linus Torvalds. En effet, dans le message qui accompagne la sortie de Linux 7.1-rc4, il affirme : “Le flot incessant de rapports IA a rendu la liste de sécurité pratiquement ingérable, avec d’énormes redondances dues au fait que différentes personnes identifient les mêmes problèmes avec les mêmes outils. Les gens passent tout leur temps à simplement transférer les informations aux bonnes personnes ou à répondre « cela a déjà été corrigé il y a une semaine/un mois » en renvoyant vers la discussion publique.”.

Ce qui résume bien la situation. Certaines personnes analysent le code du noyau Linux, identifient une faille de sécurité et pensent qu’elle est exclusive. Néanmoins, il est probable qu’une personne ait fait la même découverte quelques heures plus tôt… Tout cela crée des signalements en doublons, voire en triplons.

Chaque chercheur envoie son rapport, certainement en pensant bien faire, mais derrière il y a des humains en souffrance. Ce n’est pas surprenant puisqu’il n’y a jamais eu autant de rapports soumis, le modèle actuel pour les gérer n’est donc pas adapté.

Ainsi, une poignée d’humains en grande partie bénévoles passent du temps à trier ces montagnes de messages plutôt que de se consacrer réellement sur le développement du noyau Linux en lui-même.

De nouvelles règles à respecter

Willy Tarreau, développeur du projet, a mis à jour la documentation associée à cette nouvelle version du noyau Linux. Il a ajouté plusieurs sections et informations intéressantes à propos de l’utilisation de l’IA.

Il explique que les rapports doivent être clairs, concis, et surtout être vérifiés sur une véritable machine. Il ne faut pas que ce soit théorique en se disant que les mainteneurs feront les vérifications nécessaires. En réalité, le problème actuellement, c’est que certaines personnes soumettent des bugs découverts par l’IA alors qu’elles ne comprennent même pas ce qu’elles font…!

Actuellement, il y aurait entre 5 et 10 rapports par jour, tandis qu’il y a 2 ans, il était question de 2 à 3 rapports par semaine. “De nombreux outils d’IA sont en réalité plus efficaces pour écrire du code que pour l’évaluer. Demandez à votre outil de proposer une correction et de la tester avant de signaler le problème. Si la correction ne peut pas être testée parce qu’elle repose sur du matériel rare ou des protocoles réseau pratiquement disparus, il ne s’agit probablement pas d’un bug de sécurité.”, précise-t-il.

Désormais, il est indispensable de respecter les nouvelles règles décrites sur cette page de la documentation officielle. Ce que demande Linus Torvalds, c’est une démarche d’ingénieur : lire la documentation, analyser le contexte et concevoir un patch pour apporter une réelle valeur ajoutée au-dessus du travail de la machine.

Enfin, ce phénomène n’est pas spécifique au noyau Linux. De nombreux projets open source subissent des vagues similaires, tandis que l’utilisation de l’IA a fait exploser la découverte de failles de sécurité chez de nombreux éditeurs.