Rsync, le logiciel de sauvegarde culte sous Linux, mis à jour avec de l’IA et ça déclenche une vraie colère
rsync vient de sortir sa version 3.4.3, un correctif censé boucher plusieurs trous de sécurité. Sauf que pour une partie des utilisateurs, leurs sauvegardes incrémentales se sont mises à mal fonctionner juste après la mise à jour.
En fouillant le code, certains ont remarqué un détail qui ne leur a pas plu. Depuis la version 3.4.1, des dizaines de modifications (des “commits”, les unités de changement de code) sont signées “tridge and claude”. Comprendre Andrew Tridgell, le créateur historique de rsync, et Claude, l’assistant IA d’Anthropic, le concurrent direct d’OpenAI.
Pour situer, rsync est un outil de synchronisation et de sauvegarde de fichiers qui tourne sur les serveurs Unix et Linux depuis les années 90. Une brique discrète mais utilisée par d’innombrables entreprises, hébergeurs et services informatiques. Quand il déraille, ce sont des sauvegardes entières qui sautent.
D’où la réaction épidermique. Sur GitHub, la plateforme où vit le code source, quelqu’un a ouvert un message au titre sans équivoque, “Please Do Not Vibe Fuck Up This Software”. En clair, prière de ne pas bousiller ce logiciel à coups de “vibe coding”, cette mode qui consiste à confier des bouts de code à une IA et à faire confiance au résultat sans trop vérifier.
Tridgell a reconnu les régressions. Elles touchent surtout des configurations bien précises, le mode serveur avec l’option chroot désactivée, qu’il décrit comme des “cas d’usage valides mais inhabituels” que la suite de tests du projet ne couvrait tout simplement pas.
Sauf que voilà, il refuse l’étiquette du développeur qui aurait bâclé. “Je n’ai pas juste vibe-codé la conversion de la suite de tests en Python. Je suis un ingénieur logiciel avec 40 ans d’expérience”, a-t-il écrit dans un billet intitulé “rsync and outrage”.
Concrètement, l’IA a surtout servi à réécrire la vieille batterie de tests, jusque-là en scripts shell, vers le langage Python, pour pouvoir mieux vérifier la sécurité du code. Un travail de fond fastidieux.
Tridgell affirme avoir conçu lui-même l’architecture du nouveau système, utilisé Claude mais aussi Codex d’OpenAI et Gemini de Google pour abattre le gros du débroussaillage répétitif, puis relu et validé chaque ligne produite à la main.
Et il n’a aucune intention d’arrêter. Une version 3.4.4 pourrait corriger les régressions, à moins qu’il ne passe directement à la 3.5, plus ambitieuse côté sécurité. Avec les mêmes outils IA.
Au passage, il rappelle un truc que les mainteneurs de logiciels libres vivent au quotidien, ils croulent sous les signalements de failles de sécurité, dont une bonne partie sont eux-mêmes pondus par des IA. L’IA crée la charge et propose dans la foulée de la résorber.
Source :
The Register
Leave a Comment