Sécurité open source : les créateurs de l'IA mettent 12,5 millions de dollars sur la table pour éponger les dégâts

Le pompier pyromane a sorti le chéquier — Anthropic, AWS, GitHub, Google, Google DeepMind, Microsoft et OpenAI viennent de mettre collectivement 12,5 millions de dollars dans un fonds destiné à aider les mainteneurs open source.

Leur problème ? Les rapports de sécurité générés par les IA qui inondent leurs boîtes de réception. La source de ces rapports ? Tout simplement les outils d'IA mis au point par ces mêmes entreprises.

Quand l'IA noie ceux qu'elle est censée aider

Le constat est simple et documenté depuis des mois : les outils d'IA accélèrent massivement la découverte de vulnérabilités dans le code open source.

En théorie, c'est plutôt une bonne chose. En pratique, les mainteneurs (souvent bénévoles, parfois seuls sur leur projet) se retrouvent ensevelis sous des centaines de rapports de sécurité automatisés, dont la majorité ne sont que du bruit pur — du faux positif en masse, impossible à trier sans y passer des heures.

La Python Software Foundation avait déjà tiré la sonnette d'alarme fin 2024. Plus récemment, Daniel Stenberg, le mainteneur de cURL, a carrément fermé le programme de bug bounty de son projet : trop de rapports générés par IA, pas assez de signal — selon lui, à peine 5 % des soumissions étaient légitimes. GitHub lui-même a planché sur un "kill switch" pour les pull requests générées par IA, preuve que le problème remonte jusqu'à la plateforme qui les héberge.

12,5 millions c’est bien, mais pour quoi faire ?

Le fonds sera géré par deux entités de la Linux Foundation : Alpha-Omega, qui finance des audits de sécurité et embarque des experts directement dans les projets, et l'OpenSSF (Open Source Security Foundation), qui pilote les standards et la formation sécurité à l'échelle de l'écosystème open source mondial.

Alpha-Omega n'est pas un nouveau venu : le projet cumule déjà plus de 70 subventions et 20 millions de dollars investis dans des écosystèmes critiques (Rust, Node.js, PyPI). En 2025, il a financé 14 projets open source et mené plus de 60 audits de sécurité. L'objectif de cette nouvelle enveloppe est de développer des outils qui aident les mainteneurs à trier, prioriser et traiter le flot de rapports (dont ceux générés par IA), sans que ça leur cannibalise tout leur temps libre.

Parce que le message qui ressort du communiqué de la Linux Foundation est assez limpide : l'argent seul ne résoudra rien si personne ne construit les bons outils et ne les met entre les mains des bonnes personnes.

Chez GitHub, l'effort prend une forme complémentaire. Le Secure Open Source Fund ajoute 5,5 millions de dollars en crédits Azure et en financement pour de la formation et de l'expertise sécurité, avec des nouveaux partenaires comme Datadog et OWASP.

Le GitHub Security Lab améliore aussi son système de Private Vulnerability Reporting pour réduire le bruit des rapports de faible qualité. La logique est simple : quand on donne aux mainteneurs du temps, des outils et un peu de soutien au lieu de les laisser seuls face à une avalanche de tickets, la sécurité s'améliore pour tout le monde en bout de ligne.

Le fond du problème

Ce qui rend cette bonne initiative quelque peu ironique, c'est que les sept entreprises signataires sont précisément celles qui développent les modèles d'IA à l'origine du problème.

Anthropic fabrique Claude, OpenAI est derrière Codex, Google derrière Gemini, et Microsoft finance Copilot via GitHub. Ce sont leurs outils qui permettent à n'importe qui de générer des rapports de sécurité en masse et de les envoyer à des mainteneurs déjà débordés.

Que ces entreprises mettent la main à la poche est une bonne chose (et 12,5 millions de dollars, c'est quand même un beau budget). Mais ça s’apparente quand même un peu à payer pour le nettoyage d'une marée noire qu'on a soi-même provoquée.