En juin 2026, Filippo Valsorda, responsable de la sécurité sur le projet Go, attire l'attention sur un changement de paradigme fondamental dans la gestion des vulnérabilités logicielles. Depuis des décennies, les chercheurs en sécurité bénéficiaient d'un statut privilégié dans l'écosystème open source. En échange d'une divulgation confidentielle, les mainteneurs s'engageaient à réagir rapidement, à valider les rapports et à accorder une attribution officielle. Cette norme reposait sur un échange clair : les experts fournissaient une expertise rare permettant de corriger les failles avant leur exploitation par des acteurs malveillants. Cette dynamique est aujourd'hui bouleversée par la maturité des intelligences artificielles génératives. Les grands modèles de langage atteignent un niveau d'analyse technique équivalent à celui de nombreux spécialistes de la sécurité. Les mainteneurs comme les attaquants peuvent désormais les exécuter indépendamment, ce qui a rendu l'information technique moins exclusive. Le véritable défi n'est plus la détection des anomalies, mais leur évaluation et leur priorisation. Sans une collaboration préalable, l'intervention de chercheurs externes sur le triage des rapports devient difficile à intégrer, le flux d'alertes ressemblant de plus en plus aux sorties automatisées des modèles. Cette évolution réduit également la pertinence des embargos et des procédures de divulgation coordonnée. Les acteurs malveillants disposent des mêmes outils d'analyse et n'ont plus besoin d'attendre une publication officielle pour identifier et exploiter des faiblesses. Filippo Valsorda rappelle que cette transition marque la fin du traitement sélectif des signalements. La responsabilité des équipes de maintenance doit désormais se recentrer sur un triage rigoureux, une correction accélérée et une prévention robuste. Pour s'adapter à cette réalité, il préconise l'intégration systématique d'analyses automatisées dans les environnements de développement continu. Cette approche permettra de traiter les alertes à grande échelle tout en libérant les ressources humaines pour les décisions critiques, transformant ainsi la gestion de la sécurité d'une pratique réactive en un processus industriel automatisé.