L'IA détecte les bugs en quelques minutes. Prouver qu'ils sont réels, c'est encore du ressort des humains.
Les équipes de sécurité sont submergées par des rapports de vulnérabilités générés par l'IA qui semblent convaincants mais s'effondrent dès qu'on tente de les reproduire. La règle ancienne tient toujours : documentez votre travail ou abandonnez.

Points clés
- Les outils de sécurité assistés par l'IA peuvent analyser une base de code entière en quelques minutes, une tâche qui autrefois prenait une semaine à un analyste expérimenté.
- Les plateformes de bug bounty, qui versent des récompenses en espèces aux chercheurs qui trouvent de vrais défauts logiciels, signalent un afflux de rapports générés par l'IA qui s'avèrent être des fabrications.
- Le responsable du projet open-source curl a publiquement décrit être submergé par des rapports de bugs soignés qui ne résistent pas aux tests.
- Une découverte de sécurité valide nécessite une démonstration fonctionnelle, pas seulement une description écrite, et cela a toujours été le cas.
- Les petits propriétaires d'entreprises qui reçoivent des e-mails non sollicités concernant des « failles critiques » doivent demander une démonstration en direct sur un compte de test avant de prendre toute mesure.
Comme le rapporte en premier ThreatVectr, le monde de la recherche en sécurité se heurte de plein fouet à un problème simple : les outils d'IA sont très doués pour sembler confiants, et la confiance n'est pas la même chose que la correction.
Voici à quoi ressemble le nouveau flux de travail. Un chercheur en sécurité ouvre un outil assisté par l'IA, qui utilise un grand modèle de langage (le même type de technologie qui alimente les chatbots comme ChatGPT) pour lire le code logiciel. L'outil résume ce que le programme fait, signale les fonctions qui semblent suspectes et rédige même des attaques d'exemple, appelées charges utiles, que le chercheur peut utiliser sur un système en direct. Ce qui prenait autrefois des jours prend maintenant un après-midi.
Cette vitesse est véritablement utile. Personne ne le conteste.
Le problème est ce qui se passe ensuite. Un grand modèle de langage ne sait pas quand il devine. Il décrira une vulnérabilité dans un langage technique confiant, inventera un nom de fonction qui n'existe pas dans le code réel et proposera une attaque qui n'a jamais été testée sur un système réel. Chacun de ces rapports aboutit ensuite dans la boîte de réception de quelqu'un.
Quel coût cela représente-t-il pour les gens?
Cela coûte du temps, la seule ressource que les équipes de sécurité ont le moins. Chaque rapport erroné doit être trié, ce qui signifie qu'un analyste humain doit s'asseoir, le lire attentivement, tenter de reproduire le défaut décrit, puis répondre en expliquant pourquoi il n'existe pas. Multipliez cela par des centaines de soumissions générées par l'IA chaque semaine et vous avez épuisé la ressource même que vous tentiez de protéger.
Les bénévoles qui maintiennent les logiciels open-source populaires, des outils que des millions de personnes et d'entreprises utilisent chaque jour, ressentent cela le plus durement. Le responsable de curl, un outil de transfert de données largement utilisé, a déclaré publiquement que les hallucinations générées par l'IA (des fabrications qu'un modèle produit avec une totale confiance) empiètent sur le temps disponible pour le vrai travail.
Les plateformes de bug bounty signalent le même schéma. Payez les chercheurs pour de vrais résultats et soudain il y a une raison financière d'inonder la file d'attente avec des suppositions rédigées par l'IA.
La norme qui compte réellement n'a pas changé. Une découverte valide signifie une démonstration fonctionnelle : étapes exactes, version exacte du logiciel et idéalement une preuve de concept, un court morceau de code ou une séquence d'entrée spécifique qui déclenche de manière fiable le défaut. De la prose sans preuve n'est que supposé portant une blouse de laboratoire.
La seule conclusion honnête : si quelqu'un envoie un e-mail à votre entreprise affirmant avoir trouvé une faille critique sur votre site web, demandez-lui de la démontrer sur un environnement de test. Les chercheurs légitimes s'attendent à cette demande. Les gens qui cherchent un paiement rapide suivent rarement jusqu'au bout.



