L’infrastructure FOSS est attaquée par les entreprises d’IA
(thelibre.news)- De nombreuses infrastructures FOSS comme SourceHut, KDE GitLab, GNOME GitLab, LWN, Fedora, Inkscape, Diaspora et Read the Docs subissent des pannes, des blocages et une charge d’exploitation accrue à cause des crawlers d’IA et des rapports de sécurité générés par l’IA
- Les crawlers ignorent
robots.txtou sollicitent de façon répétée des endpoints coûteux commegit blame, les logs Git ou les pages de commit, et tentent de se fondre dans le trafic normal avec des dizaines de milliers d’IP et des User-Agent usurpés - GNOME a introduit la preuve de travail Anubis, mais sur environ 81 000 requêtes en 2 h 30, seules 3 % sont passées, ce qui suggère que la majeure partie du trafic était probablement composée de bots
- Blocage de versions d’Edge, restrictions pour les utilisateurs non connectés, blocage de sous-réseaux ou de pays, listes d’IP bloquées,
robots.txtet.htaccesspour les crawlers d’IA : les contre-mesures se multiplient, et les vrais utilisateurs subissent eux aussi des lenteurs ou des blocages d’accès - Les projets open source qui reposent sur la collaboration publique ont une surface d’exposition plus large que les services privés, si bien que le scraping par l’IA et les rapports de sécurité hallucinés par les LLM grignotent directement le temps et les capacités opérationnelles des mainteneurs
Pannes répétées sur plusieurs infrastructures FOSS
- Drew DeVault, fondateur et CEO de SourceHut, critique les entreprises de LLM qui crawlaient les données sans respecter
robots.txt, provoquant de graves perturbations sur SourceHut - L’infrastructure KDE GitLab a été surchargée par des crawlers d’IA provenant d’adresses IP de la plage Alibaba, empêchant temporairement les développeurs KDE d’accéder à GitLab
- Sur GNOME GitLab, un écran de chargement par défaut du challenger de preuve de travail Anubis a commencé à apparaître pour bloquer les scrapers d’IA à l’origine des incidents
- À mesure que les cas s’accumulent, l’agressivité des scrapers d’IA augmente et la charge d’exploitation des communautés FOSS fondées sur la collaboration publique s’alourdit aussi
Mode de fonctionnement des crawlers et difficulté du blocage
- Selon Drew DeVault, les crawlers de LLM ne respectent pas les consignes de
robots.txtet parcourent l’ensemble des dépôts, y compris les pages les plus coûteuses- Parmi les cibles figurent
git blame, toutes les pages de logs Git et tous les commits d’un dépôt - Les crawlers utilisent des User-Agent aléatoires depuis des dizaines de milliers d’IP, chaque IP n’envoyant qu’une requête HTTP ou moins pour se mêler au trafic utilisateur
- Parmi les cibles figurent
- Cette méthode rend les mesures d’atténuation difficiles à mettre en place, et sur SourceHut, des tâches prioritaires ont été retardées de plusieurs semaines ou mois
- Comme il est difficile de distinguer les bots des humains, de vrais utilisateurs ont aussi été affectés par intermittence, ce qui a conduit aux pannes de SourceHut
- Drew ne distingue pas si toutes les entreprises d’IA traitent
robots.txtou la déclaration du User-Agent de la même manière
Réponse de KDE et GNOME
- Selon Ben, de l’équipe sysadmin de KDE, les IP ayant provoqué un DDoS sur KDE GitLab prétendaient toutes être MS Edge, et le problème venait d’entreprises chinoises d’IA
- Ben estime que les opérateurs occidentaux de LLM comme OpenAI et Anthropic configurent au moins un User-Agent correct
- La solution temporaire consistait à bloquer la version d’Edge revendiquée par les bots
- Comme les bots ont tendance à changer de User-Agent pour se fondre dans le trafic, cette approche est difficile à utiliser comme solution définitive
- GNOME subissait le problème depuis novembre dernier et a mis en place une limitation de débit empêchant les utilisateurs non connectés de voir les merge requests et les commits
- Cette mesure a aussi posé problème à de vrais utilisateurs non connectés
- GNOME est ensuite passé à Anubis
- Anubis soumet au navigateur un problème de calcul, et l’accès est autorisé une fois la solution renvoyée au serveur après un certain temps de calcul
- Un développeur a décrit cela comme une « mesure proche de l’option nucléaire », estimant que ce choix avait été imposé par le fait que les scrapers d’IA ne respectent pas des standards comme
robots.txt
- Anubis a aussi eu un impact côté utilisateur
- Quand beaucoup de personnes ouvrent un lien depuis le même endroit, un défi plus difficile peut être proposé
- Un utilisateur a subi 1 minute de retard, un autre environ 2 minutes d’attente sur mobile
- Cela s’est produit quand des liens GitLab étaient collés dans des salons de discussion ou quand la merge request GNOME Triple Buffering a attiré l’attention sur Hacker News
- Selon les chiffres partagés par le sysadmin GNOME Bart Piotrowski, sur un total de 81 000 requêtes en environ 2 h 30, seuls 3 % ont passé la preuve de travail Anubis
- Taux de réussite Anubis : {p:3}
- Cela suggère que 97 % du trafic pourrait être composé de bots
Cas de blocage chez LWN, Fedora et Inkscape
- Jonathan Corbet, qui gère LWN, a averti les utilisateurs que le site pouvait « parfois être lent » en raison d’un DDoS causé par des bots de scraping d’IA
- Selon lui, le trafic destiné à de vrais lecteurs humains ne représente qu’une petite partie du total
- À un moment, les bots accédaient au site simultanément depuis des centaines d’IP, sans se présenter comme bots, et sans même lire
robots.txt
- Kevin Fenzi, sysadmin du projet Fedora, a lui aussi subi le problème des scrapers d’IA
- Il y a un mois, il a dû intervenir pour maintenir
pagure.ioen ligne - La situation s’est ensuite aggravée, conduisant au blocage de plusieurs sous-réseaux, avec un impact sur de vrais utilisateurs
- Dans une situation jugée désespérée, le Brésil entier a été bloqué, et ce blocage serait toujours en place
- Il y a un mois, il a dû intervenir pour maintenir
- Neal Gompa souligne que même le blocage d’un pays entier a ses limites, et que l’infrastructure Fedora est « régulièrement tombée en panne pendant des semaines » à cause des scrapers d’IA
- Inkscape a connu le même problème la semaine dernière
- Martin Owens estime qu’il ne s’agissait pas du DDoS chinois habituel de l’an dernier, mais de plusieurs entreprises ignorant les réglages des spiders et usurpant des informations de navigateur
- Il a créé la liste de blocage Prodigius et indique que si vous travaillez dans une grande entreprise active dans l’IA, vous pourriez ne plus pouvoir accéder au site d’Inkscape
Listes de blocage IP et tentatives de réponse collective
- BigGrizzly, de Frama software, a lui aussi été inondé par de mauvais crawlers de LLM et a constitué une liste de blocage de 460 000 IP utilisant des User-Agent usurpés
- Il dit pouvoir partager cette liste
- Le projet
ai.robots.txtest une tentative plus large de créer une liste publique des crawlers web liés aux entreprises d’IA- Il fournit un
robots.txtimplémentant le Robots Exclusion Protocol - Il fournit aussi un fichier
.htaccessqui renvoie une page d’erreur aux requêtes provenant des crawlers d’IA figurant dans la liste
- Il fournit un
Chiffres de trafic chez Diaspora et Read the Docs
- L’analyse de Dennis Schubert sur l’infrastructure Diaspora montre qu’une part importante du trafic web total provient de bots d’entreprises d’IA
- Les bots avec User-Agent OpenAI représentent un quart du trafic web total
- Amazon représente 15 %, Anthropic 4,3 %
- Au total, environ 70 % des requêtes proviennent d’entreprises d’IA
- Schubert explique que ces bots ne crawlaient pas une fois pour repartir, mais revenaient toutes les 6 heures, sans se soucier de
robots.txt- Quand on applique une limitation de débit, ils basculent sur d’autres IP
- Quand on les bloque par chaîne User-Agent, ils passent à des User-Agent non identifiés comme bots
- Il décrit cela comme un DDoS à l’échelle de tout l’Internet
- Dans un article intitulé « AI crawlers need to be more respectful », Read the Docs indique qu’après avoir bloqué tous les crawlers d’IA, son trafic a baissé de 75 %
- Taux de baisse du trafic : {p:75}
- Le trafic est passé de 800 Go par jour à 200 Go
- Cela a permis d’économiser environ 1 500 dollars par mois
- Dans certains cas, les crawlers téléchargeaient plusieurs dizaines de To de données en quelques jours
- Comme ils utilisent plusieurs IP, il est difficile de les bloquer complètement
- Selon Schubert, même réunis, les crawlers « légitimes » comme Google et Bing représentent moins de 1 % du trafic
La charge de maintenance créée par les rapports de sécurité générés par l’IA
- Le problème ne s’arrête pas au scraping et s’étend aussi aux rapports de bugs générés par l’IA
- Daniel Stenberg, du projet Curl, traite du problème des rapports de bugs générés par l’IA dans son article « The I in LLM stands for Intelligence »
- Curl exploite un programme de bug bounty
- Récemment, de nombreux rapports de bugs ont été générés par l’IA et, en apparence, semblaient plausibles, ce qui oblige les développeurs à y consacrer du temps
- Mais ces rapports contiennent les hallucinations typiques qu’on attend de l’IA
- Seth Larson, membre des équipes de triage des rapports de sécurité pour CPython, pip, urllib3 et Requests, rencontre un problème similaire
- Les projets open source reçoivent de plus en plus de rapports de sécurité d’une qualité extrêmement faible, assimilables à du spam et issus d’hallucinations de LLM
- Comme ces rapports peuvent sembler légitimes au premier regard, il faut du temps pour les réfuter
- Le traitement des rapports de sécurité est coûteux, et répondre à des rapports de bugs plausibles mais fabriqués impose une lourde charge supplémentaire aux mainteneurs
- Larson demande de ne pas utiliser l’IA ou des systèmes LLM pour la détection de vulnérabilités
- Selon lui, les systèmes actuels ne peuvent pas comprendre le code, alors que la détection de vulnérabilités exige une compréhension du code ainsi que de concepts de niveau humain comme l’intention, les usages courants et le contexte
Une charge structurelle plus forte pour le FOSS
- Les projets FOSS disposent souvent de moins de ressources que les produits commerciaux
- Dans les projets pilotés par la communauté, une plus grande partie de l’infrastructure est publique et donc exposée aux crawlers
- Comme ils ont besoin d’infrastructures publiques pour les issues, les rapports de sécurité et la collaboration, les scrapers d’IA et les issues générées par l’IA deviennent une double charge
- Au final, la réponse aux incidents, les politiques de blocage, l’atténuation des dommages pour les utilisateurs et l’examen des faux rapports de sécurité consomment le temps des mainteneurs open source
1 commentaires
Avis sur Hacker News
Il y a aussi cet exemple : https://about.readthedocs.com/blog/2024/07/ai-crawlers-abuse... C’est un article également cité dans le texte original, et les personnes que je connais qui exploitent de grandes infrastructures Internet vivent toutes des choses similaires.
Cet article rassemble bien ces cas au même endroit. Comme je le disais en l’écrivant, ils sont tout simplement en train de brûler entièrement leur capital de confiance.
L’une des principales startups du secteur a travaillé directement avec nous, nous a remboursé les coûts et a corrigé le bug de son crawler. Facebook, en revanche, n’a pas répondu aux e-mails, et le lien dans le User Agent renvoyait une 404. Un ingénieur de l’entreprise a vu l’article et nous a indiqué la bonne adresse e-mail, mais même après trois messages envoyés là-bas, nous n’avons reçu aucune réponse.
Leur attitude, c’est que, qu’on le veuille ou non, l’IA sera intégrée à tous les produits, et qu’elle absorbera toutes les données, qu’on le veuille ou non.
J’exploite une infrastructure qui traite plusieurs centaines de To de trafic par mois, surtout sur des serveurs dédiés, et le coût du trafic est grosso modo de 0,50 à 3 dollars par To. Cela varie selon les régions, mais le coût du trafic sortant AWS est vraiment délirant.
Voir mon projet apparaître comme ça dans l’image d’aperçu, c’est vraiment irréel. Impressionnant ! Si vous voulez l’essayer, c’est ici : https://github.com/TecharoHQ/anubis
D’après ce que j’ai vu jusqu’ici, ça semble vraiment fonctionner. Je l’ai déployé en production sur xeiaso.net pour voir comment il échoue en conditions réelles sur mon blog.
Il y a bien une sorte de widget avec une animation de chargement, mais quand je l’ai vu pour la première fois il y a quelques semaines sur le tracker d’issues de Gnome, la preuve de travail prenait environ 20 secondes et je ne comprenais pas ce qui se passait. Au début, j’ai cru que j’étais bloqué ou que le CAPTCHA ne s’était pas chargé.
Maintenant je sais ce que c’est, mais prise isolément, la page « vérification que vous n’êtes pas un bot » ne me semble pas claire à 100 %.
C’est une bonne façon, pour ceux qui veulent continuer à laisser leur site ouvert gratuitement, de transférer la charge économique aux crawlers. S’ils veulent les données, que ce soient eux qui paient.
L’inconvénient est qu’on peut disparaître des moteurs de recherche, mais rien n’empêche d’inscrire le service dans un indexeur global ou P2P.
Et à propos de https://news.ycombinator.com/item?id=43422781, si on ajoutait un mécanisme qui calcule une infime fraction de la shitcoin de votre choix, cela pourrait donner à la cryptomonnaie un cas d’usage réellement utile de plus.
À ce rythme, ce n’est pas seulement un problème propre aux infrastructures libres et open source. Bien sûr, elles sont le canari dans la mine de charbon, donc cela résonne particulièrement, mais au bout du compte, c’est un problème qui concerne tout l’accès anonyme à Internet
On peut placer un site derrière un mur d’authentification, mais les nouveaux bots, contrairement aux anciens, résolvent les captchas et imitent de vrais utilisateurs. C’est d’autant plus vrai quand ils utilisent des IP résidentielles et de faux User-Agent, voire de vrais User-Agent reliés à des outils comme Playwright, comme dans l’article
Au final, que restera-t-il, à part voir les sites commencer à exiger une carte bancaire, Worldcoin ou une alternative tout aussi déprimante ?
Ils utilisent Facebook, Instagram, X, etc. comme cartes de visite numériques. Je n’utilise pas Facebook ni Instagram au quotidien, j’ai aussi quitté X et je n’ai pas de compte ; quand je suis ces liens, je ne vois qu’une partie des informations avant qu’une boîte de dialogue me demande de créer un compte ou de partir, ou bien qu’une erreur obscure apparaisse
Rejoindre des communautés privées, pourquoi pas, mais voir ce genre de barrières se dresser devant des informations publiées en pensant qu’elles seraient visibles publiquement, c’est vraiment agaçant
Un site finit par disparaître pour toujours à cause de la hausse des coûts ? Excellent, les gens devront utiliser l’IA pour toute documentation. On recule devant les captchas et on force les gens à donner une carte bancaire ou un numéro de téléphone ? Excellent, l’anonymat sur Internet recule d’autant
Les fuites de données augmentent les arnaques ? Excellent, il faudra de l’IA pour les empêcher. Pour les acteurs malveillants, c’est une partie où presque tout le monde gagne
La balkanisation d’Internet est un sujet discuté depuis longtemps. On pourrait penser que cette menace, ou le fait qu’Internet soit déjà une décharge hors de contrôle, inciterait à une certaine prudence avant d’empirer la situation, mais pousser les limites du harcèlement et des frictions que les gens peuvent supporter n’a de toute façon pas vraiment d’importance. Parce qu’ils n’ont pas de vrai choix
Le taux d’inscription n’a pas non plus changé de manière notable. C’est vrai à la fois pour le jeu et pour le wiki, et le trafic de scraping s’est surtout concentré sur le wiki. Si le scraping ne diminue pas, il est très probable que le wiki doive être placé presque entièrement derrière un mur d’authentification
Si un Internet où le fait d’avoir trop de visiteurs devient une menace existentielle pour un site web, alors l’Internet dans lequel nous vivons n’est pas conçu pour survivre longtemps
À l’époque où les moteurs de recherche provoquaient ce genre de problème, le secteur s’était mis d’accord pour éviter la mise en place d’une réglementation juridique, et a créé la spécification robots.txt. Résultat, aucun cadre légal n’a été créé
Aujourd’hui, il existe une nouvelle génération d’indexeurs affamés qui n’a pas pris part à cet accord, qui cherche à aspirer autant de données que possible sous la pression concurrentielle, et qui ignore tout simplement robots.txt
De toute façon, il aurait fallu légiférer, et ceux qui ignorent robots.txt auraient dû être bloqués, sanctionnés par des amendes, limités en débit, etc.
Il existe d’autres options qu’une interdiction totale
J’ai moi aussi été attaqué récemment [0]. C’est une petite instance Forgejo où j’héberge le code de plusieurs paquets open source, donc elle doit rester publique, mais elle a été complètement mise à mal et le disque s’est rempli d’archives ZIP générées
Je ne suis pas le seul à avoir vécu la même chose. Dans mon cas, le blocage des plages d’IP d’Alibaba Cloud a, pour l’instant, fait retomber l’attaque
Si vous exploitez une instance Forgejo, je recommande fortement de définir DISABLE_DOWNLOAD_SOURCE_ARCHIVES sur true. Le crawler continuera à accaparer le CPU, mais au moins le disque ne se remplira pas de fichiers ZIP
[0] https://blog.nytsoi.net/2025/03/01/obliterated-by-ai
Une conception qui génère un fichier ZIP, l’écrit entièrement sur le disque, puis l’envoie d’un coup au client est totalement horrible et inutilisable. Une bonne conception devrait générer progressivement le contenu et l’envoyer au client en utilisant un minimum de mémoire et sans utiliser le disque du tout
L’existence d’une conception aussi absurde indique que les développeurs ont largement ignoré l’efficacité, et qu’il y a probablement tout un tas de problèmes critiques similaires
Par exemple, en jetant un œil rapide au code source de Forgejo, on dirait qu’il lance des processus « git » pour toutes les opérations Git au lieu d’utiliser une bibliothèque dédiée. Je n’ai pas vérifié, mais je ne serais pas surpris que ces opérations soient très loin de la façon la plus efficace d’effectuer ces tâches
Quand on fait tourner un logiciel aussi extrêmement mal conçu, il n’est pas surprenant que le CPU reste bloqué à 100 % et que le serveur devienne inutilisable
La grande conclusion ici, c’est que la domination du Web par Google et la publicité en général est en train de disparaître
Le seul moyen de bloquer les bots, c’est le CAPTCHA, mais dans ce cas les indexeurs de recherche ne peuvent plus non plus indexer le site. Au final, les moteurs de recherche ne peuvent plus indexer les sites et ne fournissent plus de valeur
Il y aura sans doute un léger décalage avant que les connaissances présentes dans les LLM actuels ne se tarissent, mais plus personne ne pourra scraper le Web de manière automatisée
Tout semble destiné à brûler
Quand la population d’IA diminue, le contenu humain augmente, ce qui donne davantage de nourriture à l’IA et la fait remonter. Alors l’expression humaine est noyée, et les humains deviennent plus silencieux. Quand la nourriture de l’IA se raréfie et que l’IA décline, le bruit diminue et les humains regagnent de l’importance. Ce cycle se répète jusqu’à l’écœurement
Nous sommes coincés dans une alternative pénible : veut-on des acteurs historiques solidement installés, ou un hébergement bon marché et ouvert ?
Une bonne partie des sites financés par la publicité vont s’éteindre. Les seuls visiteurs seront des bots
Avec un outil simple, la plupart n’autoriseront que Google, Bing, et peut-être un ou deux autres au maximum
Si quelqu’un s’intéresse aux petits actes de sabotage, je pense avoir réussi à « noyer » dans une certaine mesure les vraies informations de mon microblog
Avec LLaMa, j’ai généré des dizaines de billets contradictoires pour chaque vrai billet, puis je les ai liés de façon invisible pour éviter que les humains ne cliquent dessus. C’est, pour ainsi dire, la méthode Bannon consistant à inonder la zone de déchets
On référence explicitement des chemins qu’un humain ne peut pas réellement voir, et le trafic qui les appelle est considéré comme venant de bots. Les bots ne peuvent pas s’en empêcher
Cela ne marchera pas sur des sites bien structurés où le bot connaît l’endpoint exact qu’il veut scraper, mais ça pourrait ralentir les threads de spiders plus exploratoires
[0] https://libraryofbabel.info/
Ici VideoLAN
Nous aussi, nos forums et notre GitLab se font pilonner par des bots d’entreprises d’IA
La plupart ne respectent pas robots.txt
C’est délirant. Je me demande si l’on finira par avoir une version du Web qui ne soit pas indexée par les moteurs de recherche. Un Web plus proche de la navigation des années 90, où les sites devaient se lier les uns aux autres pour être découverts
J’aime bien l’idée que la solution au scraping par les LLM consiste à demander au navigateur une preuve de travail avant d’autoriser l’accès. Je me demande si de nouveaux sites vont commencer à adopter ça
Ils ne seraient alors pas indexés par les moteurs de recherche, mais cela aiderait à protéger la propriété intellectuelle
Je n’y avais jamais pensé jusqu’ici, mais c’est fou que les entreprises qui proposent à la fois des produits LLM et des services de cloud computing puissent gagner deux fois
Elles obtiennent un produit LLM vendable, et en même temps encaissent les coûts de trafic sortant et de calcul liés à la charge accrue. Vu comme ça, quel intérêt auraient-elles à se soucier d’un scraping LLM inefficace ? Plus elles laissent le bazar perdurer, plus elles gagnent de l’argent via l’autre empire, celui des frais de trafic sortant du stockage cloud