AI Slopageddon : quand le code IA menace vos outils open source

En janvier 2026, Daniel Stenberg a fermé le programme de bug bounty de cURL — l’un des logiciels les plus utilisés au monde, présent dans la quasi-totalité des serveurs web. La raison : 20 % des soumissions étaient générées par IA, de mauvaise qualité, et coûtaient plus de temps à trier qu’elles n’en faisaient gagner.

Un mois plus tard, GitHub envisage un « kill switch » pour désactiver les pull requests sur les dépôts open source. Le phénomène a un nom : AI Slopageddon.

Ce qui se passe concrètement

Le terme « AI slop » désigne le contenu généré par IA de faible qualité qui inonde les plateformes. Sur GitHub, ce sont des pull requests rédigées par des LLM, souvent sans compréhension réelle du code, soumises en masse par des contributeurs qui cherchent à gonfler leur profil ou à décrocher des bug bounties.

cURL ferme son bug bounty. En une seule semaine de janvier 2026, le projet a reçu sept rapports de sécurité en seize heures. Aucun n’identifiait une vraie vulnérabilité. Daniel Stenberg a tranché : « L’objectif est de supprimer l’incitation à soumettre du contenu médiocre et mal recherché. » Le programme a fermé le 31 janvier 2026.

Godot, Ghostty, tldraw : la contagion. Le moteur de jeu Godot croule sous les contributions IA. Ghostty (terminal de Mitchell Hashimoto, co-fondateur de HashiCorp) a adopté une politique de tolérance zéro : soumettre du code IA de mauvaise qualité entraîne un bannissement permanent. Steve Ruiz, créateur de tldraw, a annoncé la fermeture automatique de toutes les pull requests externes.

GitHub réagit. La plateforme évalue plusieurs mesures : désactiver les pull requests, les limiter aux collaborateurs de confiance, déployer des outils de triage IA, et ajouter une attribution pour signaler l’utilisation d’IA. Certaines fonctionnalités sont déjà disponibles pour les projets pilotes.

Pourquoi votre PME est concernée

Vous ne contribuez probablement pas à des projets open source. Mais vous en dépendez. Votre stack technique repose sur des dizaines, voire des centaines de bibliothèques open source maintenues par des équipes souvent réduites.

Le risque supply chain. Quand les mainteneurs sont submergés par l’AI slop, ils passent moins de temps sur les vraies corrections de bugs et les mises à jour de sécurité. Un mainteneur épuisé, c’est un projet qui ralentit — et des vulnérabilités qui restent ouvertes plus longtemps.

Le risque qualité. Si du code IA de mauvaise qualité passe les mailles du filet et se retrouve dans une version publiée, ce sont vos outils qui héritent de bugs ou de failles de sécurité. Le cas OpenClaw — où 135 000 machines ont été exposées sur internet à cause de code généré par IA non supervisé — illustre ce risque à grande échelle.

Le risque de burnout. Seth Larson, responsable sécurité pour plusieurs projets open source, alerte : le torrent de rapports IA augmente le burnout des mainteneurs. Des projets critiques pourraient être abandonnés si la tendance continue — comme on l’a vu avec MinIO qui passe en maintenance mode ou les changements de licence de Redis et HashiCorp.

Le paradoxe du vibe coding

Le vibe coding — coder avec l’IA comme co-pilote — est un outil puissant quand il est bien utilisé. Nous l’avons exploré dans notre article sur le parcours du solopreneur qui code avec l’IA. Le problème n’est pas l’IA elle-même, mais l’absence de supervision humaine.

Un développeur expérimenté qui utilise l’IA pour accélérer son travail produit du code de qualité. Un débutant qui soumet du code généré sans le comprendre produit de l’AI slop. La différence, c’est la compétence de relecture et la responsabilité du contributeur.

Ce phénomène confirme un constat que nous avions déjà posé : l’IA ne remplace pas l’expertise humaine, elle l’amplifie — dans le bon comme dans le mauvais sens.

Trois mesures pour protéger votre stack

1. Auditez vos dépendances. Identifiez les projets open source critiques dans votre stack. Vérifiez qu’ils sont activement maintenus : fréquence des commits, nombre de mainteneurs actifs, temps de réponse sur les issues de sécurité. Un projet avec un seul mainteneur qui ne répond plus depuis trois mois est un signal d’alerte.

2. Verrouillez vos versions. Ne mettez pas à jour automatiquement vers la dernière version sans vérification. Utilisez des fichiers de verrouillage (lock files) et testez les mises à jour dans un environnement de staging avant de les déployer en production. C’est une pratique de base, mais elle devient critique dans un contexte où la qualité des contributions est en baisse.

3. Privilégiez les projets avec une gouvernance solide. Les projets qui ont adopté des politiques claires sur les contributions IA (comme Ghostty ou Blender) montrent qu’ils prennent la qualité au sérieux. C’est un bon indicateur de maturité — et de pérennité.

Un équilibre fragile à surveiller

L’AI Slopageddon est un symptôme d’un problème plus large : l’écosystème open source, dont dépend l’essentiel de l’infrastructure numérique mondiale, repose sur des modèles de contribution et de financement fragiles. L’IA accélère cette fragilité en augmentant le volume de bruit sans augmenter les ressources des mainteneurs.

Pour votre PME, la leçon est double. D’abord, ne prenez pas vos dépendances open source pour acquises — elles nécessitent une vigilance active. Ensuite, quand vous utilisez l’IA pour développer vos outils, assurez-vous qu’un professionnel supervise le résultat. C’est la différence entre contribuer à la solution et alimenter le problème.