AI is breaking two vulnerability cultures
Il y a une semaine, la vulnérabilité dite Copy Fail a été découverte et Hyunwoo Kim a rapidement publié un correctif tout en informant en privé une liste restreinte d'ingénieurs sécurité du noyau Linux, suivant la pratique courante de corriger publiquement mais de communiquer l'impact de façon restreinte pour préserver un embargo. Une autre personne a repéré la modification, en a compris les implications de sécurité et l'a rendue publique, ce qui a mis fin à l'embargo et permis la publication des détails complets. L'article met en contraste la culture de la divulgation coordonnée, qui vise à laisser le temps aux mainteneurs de corriger une faille avant sa révélation, et la culture « bugs are bugs » du noyau Linux, qui privilégie la correction rapide et discrète des bogues sans attirer l'attention. Avec l'amélioration des outils d'intelligence artificielle, l'examen automatique des commits devient plus efficace et moins coûteux, ce qui augmente la probabilité que des correctifs ou des diffs soient identifiés comme vulnérabilités et réduit l'efficacité des longs embargos. L'auteur note que les embargos longs sont désormais plus risqués, citant un cas où une vulnérabilité a été signalée indépendamment neuf heures après la première notification, et il propose que des embargos très courts, soutenus par des outils d'IA pour accélérer les réparations, pourraient être une piste à explorer.