L'open source croule sous le code IA : la Linux Foundation sort 12,5M$
Le workslop a quitté les bureaux. Il s'attaque maintenant aux fondations du logiciel libre. La Linux Foundation mobilise 12,5 millions de dollars. Financés par ceux qui vendent les outils à l'origine du problème.
Du workslop au codeslop
On parlait récemment du workslop, ce contenu IA qui ressemble à du vrai travail mais qui fait avancer rien du tout. Le rapport de 15 pages que personne a vraiment pensé, les mails polis par ChatGPT qu'on se refile comme un ballon. Le truc, c'est que ce phénomène a débordé des bureaux. Il a atteint les fondations du logiciel que tu utilises chaque jour sans le savoir.
12,5 millions de dollars pour éteindre l'incendie
Ce 18 mars, la Linux Foundation a annoncé un programme de 12,5 millions de dollars pour protéger les mainteneurs open source du déluge de contributions IA. Le projet s'appuie sur Alpha-Omega et l'OpenSSF, deux initiatives de sécurité qui existent déjà. Jusque-là, rien de choquant. C'est quand on regarde la liste des financeurs que ça devient intéressant : Anthropic, AWS, GitHub, Google, Microsoft, OpenAI.
Six entreprises. Les six qui vendent les outils de génération de code responsables du problème. C'est comme si les fabricants de fast-food finançaient une campagne contre l'obésité. Techniquement vertueux. Structurellement absurde.
Les mainteneurs au bord de la rupture
Pour comprendre pourquoi c'est urgent, il faut regarder ce qui se passe sur le terrain. Les cas concrets sont édifiants.
cURL, la bibliothèque réseau utilisée par à peu près tous les appareils connectés de la planète : Daniel Stenberg, son créateur, a fermé son programme de bug bounty en janvier 2026. Après 86 000 dollars de récompenses versées au fil des années. Pourquoi ? En 2025, 20% des soumissions étaient générées par IA. Le taux de validité est tombé à 5%. En janvier, 20 rapports en quelques jours, sept soumissions en 16 heures. Certains mentionnaient de vrais bugs. Aucun n'identifiait une vraie vulnérabilité. Le signal noyé dans le bruit.
Ghostty, le terminal de Mitchell Hashimoto (co-fondateur de HashiCorp) : code IA banni. Sa justification tient en une phrase : "C'est pas une position anti-IA, c'est une position anti-idiot."
tldraw, l'outil de dessin collaboratif : Steve Ruiz a activé la fermeture automatique de toutes les pull requests externes. Plus de filtre humain, le volume l'a rendu impossible.
Flux CD, l'outil de déploiement Kubernetes : Stefan Prodan résume la situation en cinq mots. "Le slop IA fait un déni de service sur les mainteneurs open source." C'est pas une métaphore technique gratuite. C'est littéralement ce qui se passe : un volume de requêtes qui paralyse le système.
Pourquoi c'est grave, y compris pour toi
Ces mainteneurs sont souvent des bénévoles. Ils maintiennent des logiciels critiques sur leur temps libre, pour zéro euro. cURL tourne sur des milliards d'appareils. Le noyau Linux fait fonctionner la majorité des serveurs web, des téléphones Android, des objets connectés. Quand ces gens-là craquent, c'est pas un projet GitHub qui ferme. C'est une couche de l'infrastructure numérique mondiale qui se fragilise.
Et l'effet domino est déjà visible. Stack Overflow a perdu 25% de son activité dans les six mois qui ont suivi le lancement de ChatGPT. Tailwind CSS, un framework web massivement utilisé : les téléchargements montent, le trafic sur la documentation baisse de 40%, les revenus chutent de 80%. Les gens utilisent le code sans comprendre le code. Quand ça casse, ils ouvrent un ticket. Gentoo Linux et NetBSD ont pris les devants en bannissant les contributions IA. Linus Torvalds lui-même a dû intervenir sur les patchs bidons qui arrivent sur le noyau Linux.
Les pompiers pyromanes
Revenons à ces 12,5 millions. Greg Kroah-Hartman, mainteneur du noyau Linux, a eu la réaction la plus lucide : "Les subventions seules ne résoudront pas le problème que les outils IA causent aujourd'hui."
Et il a raison. Le problème est structurel. Le coût de production d'un bug report, d'une pull request, d'un bout de code est tombé à zéro. N'importe qui peut demander à un LLM de "trouver des vulnérabilités" dans un projet et soumettre le résultat. Ça prend trois minutes. Le coût de vérification, lui, n'a pas bougé. Il faut toujours un humain compétent pour lire, comprendre, tester, valider. Cette asymétrie est le cœur du problème, et aucun grant ne la corrige.
C'est exactement le même mécanisme que le workslop en entreprise. Produire coûte rien. Vérifier coûte tout. Et entre les deux, un océan de bruit que quelqu'un doit trier.
Le vrai coût du "vibe coding"
Une étude de la CEU et du Kiel Institute a modélisé ce que les développeurs appellent le "vibe coding", coder avec l'IA sans vraiment comprendre ce qu'on produit, et ses conclusions sont sobres. Le modèle économique crée une boucle de feedback négative : plus c'est facile de contribuer, plus le volume monte, plus les mainteneurs s'épuisent, plus la qualité des filtres baisse, plus les projets se dégradent.
La Linux Foundation met 12,5 millions sur la table. C'est un pansement. Un pansement utile, sur une blessure qui continue de s'élargir. Le vrai chantier, c'est repenser la façon dont on produit et on filtre le code. Pas juste financer ceux qui trient les décombres.
