Il a simplement copié-collé la réponse de badger dans le chat, puis l’a resoumise sur l’issue avec une réponse qui semblait de façon flagrante écrite par une IA. Il a posté tel quel quelque chose du genre : « Merci pour la relecture rapide. Vous avez raison, ma PoC n’utilise pas libcurl et ne démontre donc pas le bug cURL. Je retire l’affirmation d’overflow de cookie et m’excuse pour la confusion. Merci de fermer ce rapport comme invalide. Si cela peut aider, je peux envoyer séparément un code minimal de reproduction en C qui déclenche réellement le parseur de cookies de libcurl, et indiquer la fonction/la ligne exacte dans lib/cookie.c s’il y a bien un problème. »
C’est dommage, mais ce genre de simple copier-coller est devenu beaucoup trop courant ces jours-ci.
On dirait que certaines personnes de la tech font exprès d’agir ainsi pour pouvoir se vanter que « leur IA a contribué à un projet open source connu via une PR ». En clair, aujourd’hui on refile aux bénévoles de l’OSS le travail fait par l’IA, on ne vérifie même pas si ça marche vraiment, et on fait perdre leur temps aux mainteneurs open source.
Je me demande si, dès le départ, tout cela s’est fait uniquement avec une IA, sans aucune intervention humaine. J’ai peur qu’à l’avenir CVS soit rempli d’agents qui créent des comptes et postent directement des “bugs” générés par IA.
Quand on lit des tournures comme « merci », « vous avez raison », la grammaire parfaite et l’avalanche de détails techniques, on a l’impression que cette réponse elle-même a été écrite par une IA.
Le fait qu’on reconnaisse désormais si vite ce genre de réponse IA me donne presque l’impression que l’IA est en train d’échouer de fait au test de Turing.
« J’ai entendu dire que vous faisiez les calculs mentaux très vite. »
Moi : « Oui, c’est vrai. »
Recruteur : « Combien font 14 x 27 ? »
Moi : « 49 »
Recruteur : « C’est totalement faux. »
Moi : « Oui, mais j’ai été rapide. »
J’aimerais bien un langage compilé “almost-just-in-time (AIJIT)”. S’il manque de temps, il renvoie simplement une réponse aléatoire.
function getRandomNumber() {
return 4
}
Voilà un vrai exemple de code qui renvoie un nombre réellement aléatoire.
Lors de mes tests de charge, la réponse avec la latence la plus faible était quand la requête était incorrecte.
Je me demande où se situe, dans cette “révolution” technologique, l’équilibre entre « combien de temps j’ai personnellement économisé » et « combien de temps j’ai fait perdre à tous les autres ».
Moi aussi, j’ai souvent trouvé l’aide de l’IA très utile (Claude Code, Gemini Deep Research, etc.). Mais il faut impérativement une intervention humaine au milieu, et ce genre de problème survient même dans un cadre d’entreprise où tout le monde est censé être responsable. Si on utilise l’IA, la responsabilité finale au moment de soumettre une PR ou un rapport HackerOne doit incomber entièrement à un humain. D’après ce que j’ai vu, ce sont surtout les développeurs juniors qui copient-collent les réponses de l’IA telles quelles ; en tant que senior, je pense qu’il faut décourager fermement ce comportement. L’aide de l’IA, d’accord, mais la validation finale et la responsabilité doivent rester humaines.
Encore mieux : si on prend la réponse écrite par l’IA de quelqu’un d’autre et qu’on la donne à son propre outil IA pour qu’il réponde à nouveau, on obtient un cycle automatisé parfait de « conversion énergie-argent ». Plus personne ne dépense réellement de temps, on gaspille seulement de l’énergie. Un business model absolument parfait.
En réalité, ce n’est pas propre aux outils d’IA ; on voit la même chose avec de nouveaux outils de notes de frais (bien pour la compta, mauvaise expérience d’usage), les processus de revue contractuelle (bien pour le juridique ou l’infosec, pénibles pour tout le monde dans le SaaS utilisé par tous), etc. Il y a toujours quelqu’un qui essaie d’économiser son temps en refilant du travail aux autres.
Si on fait perdre le temps des autres, alors quelqu’un devra de toute façon comprendre les absurdités produites par l’IA, donc cela a aussi un effet de préservation de l’emploi.
S’ils n’ont même pas trouvé une vraie vulnérabilité et n’ont fait que faire perdre du temps aux autres, alors le temps qu’ils ont “économisé” n’existe en réalité pas.
Des formulations comme « Merci pour votre participation, et je voudrais clarifier la situation » sont sidérantes, parce qu’elles traitent l’intervention humaine elle-même comme une simple “condition expérimentale”.
Cette attitude est vraiment impolie.
Quelqu’un devrait créer un site comme base.org qui ne recense que des citations d’IA.
Voir des développeurs ou des mainteneurs répondre avec bonne volonté et soin dans ce genre de situation donne juste un profond sentiment de vide.
En 2023, il me semble qu’il était plus difficile de distinguer les absurdités écrites par l’IA. Je ne me souviens même plus à partir de quand c’est devenu aussi omniprésent.
Avec le temps, je suis devenu capable de repérer très vite le contenu généré par l’IA, surtout pour les images, le texte et le code. Ce texte a clairement un “style IA” du début à la fin. badger a l’air d’avoir réagi de façon très professionnelle, et je me demande quelle aurait été la réaction de Linus Torvalds.
Cette fois, c’était tellement évident qu’on pouvait le voir tout de suite, mais j’en ai des frissons en pensant à quel point cela deviendra de plus en plus subtil à l’avenir.
Sous un autre angle, il arrive aussi que des gens qualifient quelque chose d’IA alors que ça ne l’est manifestement pas. J’ai l’impression que c’est une forme de mécanisme de défense de l’ego, pour éviter d’affronter une information ou une réalité nouvelle qui ne correspond pas à leur perception ou à leur façon de penser. Par exemple, récemment, une vidéo montrait deux sacs noirs jetés depuis une fenêtre de la Maison-Blanche, et Trump l’a immédiatement rejetée comme une “manipulation IA” au moment même où il la regardait. Que ce soit vrai ou faux, cela ressemble à une nouvelle manière d’instrumentaliser l’IA comme outil de mensonge en rejetant tout sur elle sans réfléchir. Je trouve plus productif de dire « je vais regarder » plutôt que de réagir instantanément par « c’est de l’IA ». Au final, cette habitude d’accuser l’IA même dans des cas innocents finit par conditionner davantage le public, au point qu’on pourra aussi balayer de vraies questions importantes en prétendant qu’elles sont manipulées par l’IA. Comme dans le roman 1984, la guerre ne s’arrête jamais, mais elle disparaît parfois tout en étant présentée comme inexistante. Les médias réels/faux générés par l’IA et la manipulation de l’opinion autour de cela risquent de devenir un problème encore plus grave à l’avenir.
L’attitude qui consiste à penser qu’on est plus intelligent que les anciens développeurs trilobites simplement parce qu’on “connaît l’IA” me semble appelée à causer encore plus de problèmes. C’est aussi pour cela, je pense, qu’à l’école primaire on interdit au début l’usage de la calculatrice.
C’est exactement la même mentalité que de dire : « Je connais React, donc je suis plus intelligent que les codeurs d’avant le boom des web apps. »
Je me dis qu’il faudrait faire payer la soumission même des rapports de vulnérabilité. IA ou humain, peu importe : les spammeurs peuvent produire leur travail en masse à très bas coût et en confier la vérification aux autres ; de temps en temps, il en sort quelque chose d’utile, ce qui donne l’impression d’un bénéfice social global. Mais au total, c’est négatif pour la société. Ce modèle disparaîtrait forcément si soumettre un rapport avait un coût.
À l’inverse, je pense que ce serait une manière très classique d’empêcher les soumissions légitimes.
Je pense qu’un petit dépôt de garantie au moment du signalement fonctionnerait bien. Si j’avais réellement trouvé un bug cURL sérieux, je serais parfaitement prêt à déposer 2 à 5 dollars pour le signaler (d’autant que j’aurais de bonnes chances d’être récompensé au final).
Les enseignants sont déjà confrontés chaque jour au fait que les élèves utilisent l’IA dans quasiment toutes les matières. C’est exactement la même situation.
Dans ce cas, ne faut-il pas simplement gérer cela comme les enseignants ont toujours géré les élèves qui enfreignent les règles ?
J’ai entendu dire que « le rapporteur a été banni et semble avoir supprimé son compte ». Je crains que cela puisse être une attaque de phishing de type test défensif, similaire au piratage de XZ utils, visant à tester les failles des mécanismes de protection. cURL est aussi un utilitaire important. Comme le spam 419, cela peut aussi servir à tester la vigilance d’une équipe, sa vitesse de réaction et sa charge de travail. Au fond, cela fait partie du problème de DDoS produit par l’IA, et il faudra peut-être de nouvelles méthodes de validation des PR, par exemple une authentification par réseau de réputation basée sur Nostr.
Récemment, j’ai aussi vu souvent sur Reddit, dans des subreddits de taille moyenne, des comptes tout nouveaux publier des questions qui semblaient être un assemblage de fragments d’anciens posts. Le sujet colle parfaitement, mais la forme ne ressemble pas à quelque chose qu’un humain publierait ; on y injecte même discrètement un peu de drame humain pour susciter des réactions. Ces comptes ne répondent presque jamais aux commentaires, et quand ils le font, il devient évident qu’il s’agit d’IA. J’ai donc quitté au moins six abonnements pour cette raison ces derniers mois.
Récemment, j’ai testé un patch qui prétendait corriger un bug d’interface Linux en 15 minutes d’effort ; en réalité, c’était une réponse remplie de propriétés bidon sans rapport. Ils ont simplement mis l’issue GitHub dans ChatGPT puis soumis le résultat directement, sans la moindre vérification. Je me demande vraiment pourquoi ils font ça.
Au fond, tout cela sert à se fabriquer un historique du type « j’ai contribué aux projets X, Y et Z ». Même avant les LLM, il y avait déjà beaucoup de contributions inutiles, comme des PR de correction de fautes de frappe qui n’aidaient presque à rien.
C’est aussi pour cette raison que j’exclus d’emblée les utilisateurs d’IA de mes interactions. Je devrais passer des dizaines de fois plus de temps à examiner les résultats hallucinés et erronés qu’ils produisent, donc je n’ai aucune raison de converser avec un ordinateur.
Au final, quelque part, c’est toujours quelqu’un qui agit pour obtenir un plus gros bateau.
1 commentaires
Commentaire Hacker News
Il a simplement copié-collé la réponse de badger dans le chat, puis l’a resoumise sur l’issue avec une réponse qui semblait de façon flagrante écrite par une IA. Il a posté tel quel quelque chose du genre : « Merci pour la relecture rapide. Vous avez raison, ma PoC n’utilise pas libcurl et ne démontre donc pas le bug cURL. Je retire l’affirmation d’overflow de cookie et m’excuse pour la confusion. Merci de fermer ce rapport comme invalide. Si cela peut aider, je peux envoyer séparément un code minimal de reproduction en C qui déclenche réellement le parseur de cookies de libcurl, et indiquer la fonction/la ligne exacte dans lib/cookie.c s’il y a bien un problème. »
C’est dommage, mais ce genre de simple copier-coller est devenu beaucoup trop courant ces jours-ci.
On dirait que certaines personnes de la tech font exprès d’agir ainsi pour pouvoir se vanter que « leur IA a contribué à un projet open source connu via une PR ». En clair, aujourd’hui on refile aux bénévoles de l’OSS le travail fait par l’IA, on ne vérifie même pas si ça marche vraiment, et on fait perdre leur temps aux mainteneurs open source.
Je me demande si, dès le départ, tout cela s’est fait uniquement avec une IA, sans aucune intervention humaine. J’ai peur qu’à l’avenir CVS soit rempli d’agents qui créent des comptes et postent directement des “bugs” générés par IA.
Quand on lit des tournures comme « merci », « vous avez raison », la grammaire parfaite et l’avalanche de détails techniques, on a l’impression que cette réponse elle-même a été écrite par une IA.
Le fait qu’on reconnaisse désormais si vite ce genre de réponse IA me donne presque l’impression que l’IA est en train d’échouer de fait au test de Turing.
« J’ai entendu dire que vous faisiez les calculs mentaux très vite. » Moi : « Oui, c’est vrai. » Recruteur : « Combien font 14 x 27 ? » Moi : « 49 » Recruteur : « C’est totalement faux. » Moi : « Oui, mais j’ai été rapide. »
J’aimerais bien un langage compilé “almost-just-in-time (AIJIT)”. S’il manque de temps, il renvoie simplement une réponse aléatoire.
Voilà un vrai exemple de code qui renvoie un nombre réellement aléatoire.
Lors de mes tests de charge, la réponse avec la latence la plus faible était quand la requête était incorrecte.
C’est le même genre de situation que dans la vidéo "Is this your card?"(https://www.youtube.com/watch?v=4SI3GiPihQ4) : « Est-ce votre carte ? » « Non. » « Oui, mais on n’en était pas loin ! C’est bien la personne que vous cherchiez. »
Je me demande où se situe, dans cette “révolution” technologique, l’équilibre entre « combien de temps j’ai personnellement économisé » et « combien de temps j’ai fait perdre à tous les autres ».
Moi aussi, j’ai souvent trouvé l’aide de l’IA très utile (Claude Code, Gemini Deep Research, etc.). Mais il faut impérativement une intervention humaine au milieu, et ce genre de problème survient même dans un cadre d’entreprise où tout le monde est censé être responsable. Si on utilise l’IA, la responsabilité finale au moment de soumettre une PR ou un rapport HackerOne doit incomber entièrement à un humain. D’après ce que j’ai vu, ce sont surtout les développeurs juniors qui copient-collent les réponses de l’IA telles quelles ; en tant que senior, je pense qu’il faut décourager fermement ce comportement. L’aide de l’IA, d’accord, mais la validation finale et la responsabilité doivent rester humaines.
Encore mieux : si on prend la réponse écrite par l’IA de quelqu’un d’autre et qu’on la donne à son propre outil IA pour qu’il réponde à nouveau, on obtient un cycle automatisé parfait de « conversion énergie-argent ». Plus personne ne dépense réellement de temps, on gaspille seulement de l’énergie. Un business model absolument parfait.
En réalité, ce n’est pas propre aux outils d’IA ; on voit la même chose avec de nouveaux outils de notes de frais (bien pour la compta, mauvaise expérience d’usage), les processus de revue contractuelle (bien pour le juridique ou l’infosec, pénibles pour tout le monde dans le SaaS utilisé par tous), etc. Il y a toujours quelqu’un qui essaie d’économiser son temps en refilant du travail aux autres.
Si on fait perdre le temps des autres, alors quelqu’un devra de toute façon comprendre les absurdités produites par l’IA, donc cela a aussi un effet de préservation de l’emploi.
S’ils n’ont même pas trouvé une vraie vulnérabilité et n’ont fait que faire perdre du temps aux autres, alors le temps qu’ils ont “économisé” n’existe en réalité pas.
Il existe un exemple bien plus grave
https://hackerone.com/reports/2298307
Des formulations comme « Merci pour votre participation, et je voudrais clarifier la situation » sont sidérantes, parce qu’elles traitent l’intervention humaine elle-même comme une simple “condition expérimentale”.
Cette attitude est vraiment impolie.
Quelqu’un devrait créer un site comme base.org qui ne recense que des citations d’IA.
Voir des développeurs ou des mainteneurs répondre avec bonne volonté et soin dans ce genre de situation donne juste un profond sentiment de vide.
En 2023, il me semble qu’il était plus difficile de distinguer les absurdités écrites par l’IA. Je ne me souviens même plus à partir de quand c’est devenu aussi omniprésent.
Avec le temps, je suis devenu capable de repérer très vite le contenu généré par l’IA, surtout pour les images, le texte et le code. Ce texte a clairement un “style IA” du début à la fin. badger a l’air d’avoir réagi de façon très professionnelle, et je me demande quelle aurait été la réaction de Linus Torvalds.
Cette fois, c’était tellement évident qu’on pouvait le voir tout de suite, mais j’en ai des frissons en pensant à quel point cela deviendra de plus en plus subtil à l’avenir.
Sous un autre angle, il arrive aussi que des gens qualifient quelque chose d’IA alors que ça ne l’est manifestement pas. J’ai l’impression que c’est une forme de mécanisme de défense de l’ego, pour éviter d’affronter une information ou une réalité nouvelle qui ne correspond pas à leur perception ou à leur façon de penser. Par exemple, récemment, une vidéo montrait deux sacs noirs jetés depuis une fenêtre de la Maison-Blanche, et Trump l’a immédiatement rejetée comme une “manipulation IA” au moment même où il la regardait. Que ce soit vrai ou faux, cela ressemble à une nouvelle manière d’instrumentaliser l’IA comme outil de mensonge en rejetant tout sur elle sans réfléchir. Je trouve plus productif de dire « je vais regarder » plutôt que de réagir instantanément par « c’est de l’IA ». Au final, cette habitude d’accuser l’IA même dans des cas innocents finit par conditionner davantage le public, au point qu’on pourra aussi balayer de vraies questions importantes en prétendant qu’elles sont manipulées par l’IA. Comme dans le roman 1984, la guerre ne s’arrête jamais, mais elle disparaît parfois tout en étant présentée comme inexistante. Les médias réels/faux générés par l’IA et la manipulation de l’opinion autour de cela risquent de devenir un problème encore plus grave à l’avenir.
L’attitude qui consiste à penser qu’on est plus intelligent que les anciens développeurs trilobites simplement parce qu’on “connaît l’IA” me semble appelée à causer encore plus de problèmes. C’est aussi pour cela, je pense, qu’à l’école primaire on interdit au début l’usage de la calculatrice.
Je me dis qu’il faudrait faire payer la soumission même des rapports de vulnérabilité. IA ou humain, peu importe : les spammeurs peuvent produire leur travail en masse à très bas coût et en confier la vérification aux autres ; de temps en temps, il en sort quelque chose d’utile, ce qui donne l’impression d’un bénéfice social global. Mais au total, c’est négatif pour la société. Ce modèle disparaîtrait forcément si soumettre un rapport avait un coût.
À l’inverse, je pense que ce serait une manière très classique d’empêcher les soumissions légitimes.
Je pense qu’un petit dépôt de garantie au moment du signalement fonctionnerait bien. Si j’avais réellement trouvé un bug cURL sérieux, je serais parfaitement prêt à déposer 2 à 5 dollars pour le signaler (d’autant que j’aurais de bonnes chances d’être récompensé au final).
Les enseignants sont déjà confrontés chaque jour au fait que les élèves utilisent l’IA dans quasiment toutes les matières. C’est exactement la même situation.
J’ai entendu dire que « le rapporteur a été banni et semble avoir supprimé son compte ». Je crains que cela puisse être une attaque de phishing de type test défensif, similaire au piratage de XZ utils, visant à tester les failles des mécanismes de protection. cURL est aussi un utilitaire important. Comme le spam 419, cela peut aussi servir à tester la vigilance d’une équipe, sa vitesse de réaction et sa charge de travail. Au fond, cela fait partie du problème de DDoS produit par l’IA, et il faudra peut-être de nouvelles méthodes de validation des PR, par exemple une authentification par réseau de réputation basée sur Nostr.
Récemment, j’ai testé un patch qui prétendait corriger un bug d’interface Linux en 15 minutes d’effort ; en réalité, c’était une réponse remplie de propriétés bidon sans rapport. Ils ont simplement mis l’issue GitHub dans ChatGPT puis soumis le résultat directement, sans la moindre vérification. Je me demande vraiment pourquoi ils font ça.
Au fond, tout cela sert à se fabriquer un historique du type « j’ai contribué aux projets X, Y et Z ». Même avant les LLM, il y avait déjà beaucoup de contributions inutiles, comme des PR de correction de fautes de frappe qui n’aidaient presque à rien.
C’est aussi pour cette raison que j’exclus d’emblée les utilisateurs d’IA de mes interactions. Je devrais passer des dizaines de fois plus de temps à examiner les résultats hallucinés et erronés qu’ils produisent, donc je n’ai aucune raison de converser avec un ordinateur.
Au final, quelque part, c’est toujours quelqu’un qui agit pour obtenir un plus gros bateau.