Le 8 mai, l’ingénieur logiciel Jeff Kaufman (jefftk) a publié l’article « AI is Breaking Two Vulnerability Cultures ». Il affirme que l’IA brise en même temps deux cultures de traitement des vulnérabilités qui coexistent depuis longtemps : la divulgation coordonnée (coordinated disclosure) et les « bugs are bugs » (la correction silencieuse). Dans les deux stratégies, l’argument clé est que les « attaquants détectent lentement » — une hypothèse que la technologie de balayage automatique par l’IA a déjà remise en cause. Le billet du blog de Kaufman a été repris sur Hacker News et a dépassé 200 points, ce qui en fait l’un des articles d’observation sur la cybersécurité les plus discutés par la communauté des développeurs cette semaine.
Deux cultures de vulnérabilités : divulgation coordonnée vs « bugs are bugs »
Les deux cadres culturels présentés par Kaufman :
Divulgation coordonnée (coordinated disclosure) — le découvreur notifie les mainteneurs en privé, fournit une fenêtre de correction typique de 90 jours, puis rend la divulgation publique. Hypothèse sous-jacente : l’attaquant doit prendre du temps pour découvrir indépendamment la même vulnérabilité.
« Bugs are Bugs » (correction silencieuse) — une pratique courante dans des projets open source comme Linux : lors de la correction, on ne marque pas particulièrement celle-ci comme une correction de sécurité ; on « noie » les correctifs de cybersécurité en s’appuyant sur le volume des contributions, afin d’éviter d’attirer l’attention des attaquants.
Ces deux cultures ont pu coexister par le passé, car les attaquants n’avaient pas d’outils « rapides, automatisés et à faible coût » pour scanner tous les historiques de commits ou chercher simultanément la même vulnérabilité. L’IA change cette hypothèse.
L’impact de l’IA sur la « correction silencieuse » : scanner les commits devient bon marché
Impact concret de l’IA sur les projets open source de style Linux :
Avant : l’attaquant devait examiner un par un les commits, ce qui exigeait beaucoup de main-d’œuvre et de temps ; « noyer » les correctifs dans le flux des contributions était une couverture efficace
Maintenant : l’IA peut scanner à faible coût l’historique des commits, identifier automatiquement des commits « qui ressemblent à des correctifs de sécurité », même si l’auteur ne l’a pas explicitement indiqué
Effet : la discrétion des corrections silencieuses perd rapidement en efficacité ; la période tampon « en attendant le déploiement » se trouve compressée
Kaufman cite un cas concret : « examiner les commits » devient de plus en plus attrayant, car l’évaluation de chaque changement « devient de moins en moins chère, et de plus en plus efficace » avec l’IA. Cela signifie que, à l’avenir, les projets open source ne pourront plus s’appuyer sur l’avantage traditionnel « corriger plus vite que l’attaquant ne remarque ».
L’impact de l’IA sur la divulgation coordonnée : la période de 90 jours d’embargo devient contre-productive
Le cœur de la culture de divulgation coordonnée, c’est la « période d’embargo » : le découvreur s’engage à ne rien publier avant que les mainteneurs aient eu le temps de corriger. Mais l’IA permet à plusieurs équipes de scanner en parallèle la même vulnérabilité :
Cas concret : une vulnérabilité signalée par le chercheur Hyunwoo Kim, retrouvée de façon indépendante seulement 9 heures plus tard
Plusieurs équipes avec l’aide de l’IA coordonnent leurs opérations : une longue période d’embargo donne au contraire un « faux sentiment de non-urgence »
Si d’autres peuvent la trouver en 9 heures, un embargo de 90 jours offre alors aux véritables attaquants une fenêtre d’attaque de 89 jours et 23 heures
La conclusion de Kaufman : à l’avenir, il faudrait adopter des « embargos très courts », et les raccourcir d’autant plus que les capacités de l’IA progressent. L’essentiel : l’accélération apportée par l’IA ne profite pas unilatéralement aux attaquants — les défenseurs peuvent aussi utiliser l’IA pour accélérer la correction et le déploiement, en mettant les deux parties en concurrence dans une fenêtre de temps compressée.
Événements à suivre ensuite : si de grands projets comme Linux Kernel et Project Zero mettront à jour leurs directives de calendrier de divulgation ; l’avancement de la commercialisation des outils d’automatisation de balayage des vulnérabilités par l’IA (Semgrep, CodeQL, etc.) ; et les stratégies concrètes que les équipes de cybersécurité en entreprise mettront en place face à ce « double tranchant » de l’IA.
Cet article de Jeff Kaufman : L’IA brise simultanément deux cultures de vulnérabilités en cybersécurité, et un embargo de 90 jours devient contre-productive est apparu pour la première fois sur Chaîne News ABMedia.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
