L'IA vient de tuer l'Open Source tel que nous le connaissons

Cal.com.com, la plateforme de planification open source bien connue, a provoqué un choc sismique au sein de la communauté des développeurs les 14 et 15 avril 2026. Après cinq ans à défendre la transparence, l'entreprise a brusquement annoncé sa décision de faire passer sa base de code de production principale de l'open source au code source fermé. Ce changement sans précédent a immédiatement déclenché un débat féroce sur l'avenir des logiciels open source dans un paysage dominé par l'IA.

Le PDG Bailey Pumfleet a articulé la justification sans équivoque : l'IA a fondamentalement brisé le modèle de sécurité de l'open source. Pumfleet a déclaré que maintenir une base de code ouverte équivaut désormais à « distribuer le plan d'un coffre-fort bancaire » à « 100 fois plus de hackers », un risque que l'entreprise ne pouvait plus justifier pour ses clients commerciaux. Les outils de sécurité basés sur l'IA, a-t-il soutenu, peuvent désormais scanner les dépôts à grande échelle, découvrant des vulnérabilités 5 à 10 fois plus rapidement dans les projets open source que dans les alternatives à code source fermé.

Cette capacité alarmante est devenue terrifiante de réalité le 7 avril 2026, avec la révélation publique de Anthropic's Mythos Preview. Ce modèle d'IA a démontré une capacité inégalée à trouver et à exploiter les vulnérabilités zero-day. Mythos a notamment découvert un bug de déni de service vieux de 27 ans dans l'implémentation TCP SACK d'OpenBSD, une faille que les experts humains avaient négligée pendant des décennies. La découverte a coûté environ 20 000 $ pour une campagne de découverte complète d'Anthropic, le coût de l'exécution spécifique du modèle étant inférieur à 50 $.

Mythos a identifié des milliers de vulnérabilités zero-day jusqu'alors inconnues à travers les principaux systèmes d'exploitation et navigateurs web. De manière cruciale, il a pu reproduire ces vulnérabilités et développer des exploits fonctionnels dans plus de 83 % des cas. Une telle efficacité modifie fondamentalement le calcul des risques pour les bases de code accessibles au public, les transformant en cibles privilégiées pour des attaques sophistiquées et accélérées par l'IA.

Suite à ce changement, le produit principal de Cal.com.com, qui gère des données d'entreprise à enjeux élevés et des fonctionnalités commerciales critiques, est devenu privé. Cela inclut des composants vitaux tels que : - Gestion des organisations multi-locataires - Infrastructure de facturation - Systèmes d'authentification - Logique de traitement des données de base

Au lieu de cela, Cal.com.com a introduit Cal.com.diy, un fork sous licence MIT de sa base de code héritée. Ce projet s'adresse spécifiquement aux amateurs et aux auto-hébergeurs, leur permettant de continuer à expérimenter et à déployer l'ancienne version ouverte de la plateforme. Cette décision signale clairement un avenir bifurqué pour l'entreprise, séparant ses racines communautaires de ses impératifs de sécurité commerciale.

Le pivot spectaculaire de Cal.com.com, d'un éminent défenseur de l'open source à une entité à code source fermé, envoie un message glaçant à travers l'industrie technologique. Il soulève de profondes questions sur la viabilité à long terme des modèles open source pour les projets gérant des données sensibles ou opérant à l'échelle de l'entreprise. La décision de l'entreprise force une remise en question : l'IA a-t-elle vraiment rendu l'open source trop dangereux pour le monde commercial moderne ?

Le PDG de Cal.com.com, Bailey Pumfleet, a articulé une nouvelle réalité brutale : l'open source équivaut désormais à distribuer le plan d'un coffre-fort bancaire à l'ère de l'IA. Ce n'est pas une analogie anodine ; elle sous-tend le changement radical de l'entreprise. En publiant le code principal, Cal.com.com soutient que cela arme « 100 fois plus de hackers » avec les connaissances précises nécessaires pour exploiter les vulnérabilités à une échelle et une vitesse sans précédent.

La recherche en sécurité soutient directement cette affirmation alarmante. Des études indiquent que les logiciels open-source deviennent 5 à 10 fois plus faciles à pirater lorsque les attaquants exploitent des outils assistés par l'IA. Le modèle Mythos AI d'Anthropic, par exemple, a démontré cette capacité de manière spectaculaire, identifiant des milliers de vulnérabilités zero-day jusqu'alors inconnues à travers les principaux systèmes d'exploitation et navigateurs web. Mythos a notamment découvert une faille de déni de service vieille de 27 ans dans l'implémentation TCP SACK d'OpenBSD, une faille qui avait échappé aux experts humains pendant des décennies, coûtant environ 20 000 $ pour la campagne de découverte et moins de 50 $ pour l'exécution spécifique du modèle.

Ce changement de paradigme anéantit la théorie de longue date des « nombreux yeux », qui postulait que plus de développeurs examinant le code conduisait intrinsèquement à une plus grande sécurité. Bien que historiquement bénéfique, la capacité de l'IA à effectuer une analyse automatisée et hostile surcharge cet avantage. Une vulnérabilité ne nécessite plus un examen humain minutieux ; les outils d'IA peuvent scanner des dépôts entiers en quelques instants, trouvant des failles bien plus rapidement que les mainteneurs humains ne peuvent les corriger.

L'IA automatise et intensifie l'analyse hostile, supprimant les contraintes pratiques qui protégeaient autrefois le code ouvert. L'analyse de sécurité traditionnelle exigeait un temps, une expertise et un effort manuel considérables de la part des attaquants. Les outils d'IA éliminent ces barrières, permettant même aux acteurs moins sophistiqués de parcourir de vastes bases de code à la recherche de faiblesses exploitables, développant des exploits fonctionnels dans plus de 83 % des cas. La friction autrefois protectrice de la reconnaissance à l'échelle humaine a disparu, remplacée par une efficacité pilotée par les machines, axée sur la découverte et l'exploitation.

La préversion de Mythos d'Anthropic, dévoilée le 7 avril 2026, fournit la preuve la plus frappante à ce jour du potentiel disruptif de l'IA pour la sécurité open-source. Ce modèle avancé démontre concrètement la capacité non seulement à identifier, mais aussi à exploiter des vulnérabilités zero-day à une échelle sans précédent, modifiant fondamentalement le paysage de la cybersécurité. Son émergence valide les inquiétudes croissantes parmi les mainteneurs open-source.

Mythos a notamment découvert une vulnérabilité de déni de service vieille de 27 ans cachée au plus profond de l'implémentation TCP SACK d'OpenBSD. Cette faille critique avait persisté, indétectée, malgré des décennies d'examen humain méticuleux par certains des experts en sécurité les plus rigoureux de l'industrie. La longévité du bug souligne les limites des processus d'audit humain les plus dévoués face à un code complexe et profondément intégré.

La découverte illustre de manière frappante les prouesses analytiques surhumaines de l'IA, surpassant de loin les capacités humaines en matière d'audit de code. Mythos a analysé systématiquement de vastes bases de code, identifiant des milliers de vulnérabilités zero-day jusqu'alors inconnues à travers les principaux systèmes d'exploitation et navigateurs web, démontrant son impact large et puissant. De manière cruciale, il a pu reproduire ces vulnérabilités et développer des exploits fonctionnels dans plus de 83 % des cas, passant de la détection théorique à l'armement pratique.

Une telle découverte sophistiquée de vulnérabilités s'accompagne d'une rentabilité stupéfiante, amplifiant exponentiellement la menace pour les projets open-source. Alors qu'une campagne de découverte Anthropic entière menant au bug d'OpenBSD a coûté environ 20 000 $, l'exécution spécifique du modèle responsable de la localisation de cette faille vieille de 27 ans a entraîné une dépense de moins de 50 $. Ce coût minimal démocratise l'exploitation de haut niveau, rendant les attaques avancées accessibles à un éventail beaucoup plus large d'acteurs.

Cette combinaison sans précédent de profondeur analytique, de vitesse et d'accessibilité redéfinit fondamentalement le calcul de sécurité pour les projets open source. Elle valide la préoccupation principale de Cal.com.com : le code open source, autrefois un bastion de transparence et de sécurité collaborative, présente désormais un plan inévitable pour les attaquants basés sur l'IA, ce qui en fait une responsabilité critique pour les applications commerciales traitant des données sensibles. Pour plus d'informations sur le passage décisif de Cal.com.com au code source fermé, lisez Cal.com.com Goes Closed Source: Why AI Security Is Forcing Our Decision | Cal.com.com - Scheduling Software for Online Bookings.

La décision alarmante de Cal.com.com, bien que spécifique à leur plateforme, reflète une tendance plus large et plus insidieuse qui balaie l'écosystème open source. Mythos Preview n'a offert qu'une démonstration frappante des capacités de l'IA ; le paysage réel des menaces englobe un déluge de vulnérabilités en rapide escalade, impactant les projets de manière générale. Il ne s'agit pas d'un incident isolé, mais d'un défi systémique aux fondements mêmes du développement de code collaboratif.

Le récent rapport de la OpenJS Foundation souligne cette crise croissante, documentant une augmentation significative des soumissions de vulnérabilités assistées par l'IA. Les mainteneurs de projets, déjà débordés, sont désormais confrontés à un volume sans précédent de rapports de bugs très sophistiqués, générés par l'IA. Ces soumissions identifient souvent des failles obscures, submergeant la capacité humaine d'analyse et de correction en temps voulu.

D'autres preuves émergent du rapport Black Duck OSSRA. Leur analyse révèle une augmentation stupéfiante de 107% des vulnérabilités par base de code d'une année sur l'autre. Cette escalade dramatique est directement corrélée à l'adoption généralisée de scanners de sécurité IA avancés et d'outils de génération d'exploits, qui ciblent systématiquement les projets open source. La transparence, autrefois une pierre angulaire de la sécurité open source, fournit désormais aux attaquants un plan clair.

Un cercle vicieux exacerbe encore le problème : les assistants de code IA eux-mêmes contribuent à ce déluge. Les développeurs s'appuient fréquemment sur ces assistants pour le code passe-partout et les recommandations de dépendances. Malheureusement, ces outils suggèrent souvent des packages vulnérables ou obsolètes, intégrant par inadvertance de nouvelles faiblesses dans les projets dès leur conception. Cela crée une dette de sécurité auto-propagatrice.

La double nature de l'IA signifie qu'elle peut à la fois découvrir et introduire des failles à grande échelle. Bien que des outils de défense basés sur l'IA existent, la trajectoire actuelle montre les attaquants prendre un avantage significatif. Le volume et la complexité des vulnérabilités découvertes par l'IA mettent à rude épreuve les ressources des mainteneurs, modifiant fondamentalement le calcul de sécurité pour les logiciels open source. L'approche des « nombreux yeux » peine face à une armée de bots alimentés par l'IA.

Le sombre pronostic de Cal.com.com pour la sécurité open source, tout en soulignant de réelles menaces basées sur l'IA, néglige un aspect critique de ce changement technologique : l'IA est une formidable épée à double tranchant. Les mêmes modèles d'IA sophistiqués capables de découvrir des vulnérabilités vieilles de plusieurs décennies équipent également les développeurs et les équipes de sécurité pour fortifier leurs bases de code à un rythme sans précédent. Cette dualité remodèle fondamentalement le paysage de la cybersécurité, rendant la situation bien plus nuancée qu'un simple déluge de vulnérabilités.

Les mainteneurs exploitent désormais des outils basés sur l'IA avancés, tels que ceux conceptuellement similaires à « OpenClaw » mentionnés par les experts, pour scanner, identifier et corriger les failles de sécurité avec une rapidité remarquable. Au lieu de simplement exposer les faiblesses, ces technologies permettent un cycle robuste d'itération rapide et de durcissement continu du code. La défense basée sur l'IA transforme la détection des menaces d'une tâche réactive en un processus proactif et automatisé, accélérant considérablement la réponse aux vulnérabilités nouvellement découvertes. Cette agilité est un puissant contrepoids aux attaques basées sur l'IA.

Cependant, la décision de passer au code source fermé, comme l'a fait Cal.com.com, introduit ses propres risques distincts et potentiellement graves. Sans l'examen transparent et collaboratif d'une communauté mondiale de développeurs, les entreprises peuvent ignorer silencieusement les vulnérabilités critiques ou simplement ne pas les découvrir du tout. Le principe inhérent des « nombreux yeux » de l'open source, qui a historiquement renforcé la sécurité grâce à une surveillance collective et des correctifs rapides, disparaît entièrement lorsqu'une base de code devient propriétaire.

Une base de code fermée élimine la responsabilité publique, créant un environnement dangereux où « personne ne surveille » les failles cachées. Ce manque de validation externe permet aux failles zero-day non découvertes de s'aggraver, posant potentiellement une menace à long terme plus grande et plus insidieuse pour les utilisateurs que les vulnérabilités open source exposées publiquement mais rapidement corrigées. Les incitations financières à corriger les failles sans pression publique peuvent également diminuer.

En fin de compte, le paradigme de sécurité en évolution n'est pas un choix binaire entre open source et code source fermé. Au lieu de cela, il représente une course aux armements croissante, une compétition dynamique entre l'offensive basée sur l'IA et une défense basée sur l'IA tout aussi avancée. L'avenir de la sécurité logicielle dépend de la capacité de chaque camp à innover plus rapidement et plus efficacement, et non pas simplement de la dissimulation ou de la révélation des plans. Ce sprint technologique continu définit désormais le nouveau champ de bataille pour la sécurité et la confiance numériques.

Le scepticisme a immédiatement accueilli le pivot spectaculaire de Cal.com.com de l'open source vers le code source fermé. De nombreux observateurs se sont rapidement demandé si la sécurité de l'IA à elle seule avait alimenté ce changement abrupt, suggérant des motivations stratégiques plus profondes pour une entreprise fonctionnant en open source depuis cinq ans. Ce changement, après une période de contribution communautaire, laisse entrevoir une réévaluation de son modèle économique fondamental.

Un facteur important découle probablement des défis inhérents à la monétisation des logiciels open source commerciaux (COSS). Les projets open source sont fréquemment confrontés à des concurrents qui dupliquent leur base de code, créent des produits rivaux et érodent la part de marché du créateur original. Prévenir cette menace concurrentielle directe, en sécurisant la propriété intellectuelle de Cal.com.com, devient un objectif commercial primordial pour la durabilité et la croissance à long terme.

La décision envoie également un signal marketing puissant, en particulier aux clients d'entreprise. Alors que la communauté open source défend la transparence comme une caractéristique de sécurité, de nombreuses grandes organisations assimilent toujours une base de code fermée à un contrôle, une responsabilité et une « sécurité de niveau entreprise » accrus. Cette perception est cruciale pour obtenir des contrats de grande valeur, en particulier lors du traitement de données clients sensibles et de la démonstration d'une conformité robuste.

La réduction de la responsabilité légale a également probablement été prise en compte dans le calcul de Cal.com.com. En contrôlant étroitement son code de production principal, Cal.com.com atténue potentiellement l'exposition aux problèmes découlant de modifications tierces ou de vulnérabilités introduites par des contributeurs externes. C'est un domaine complexe en matière de licences et de responsabilités open source, où un modèle fermé permet un contrôle plus rationalisé et centralisé des correctifs de sécurité, des corrections de bugs et des cadres de conformité légale.

En fin de compte, bien que l'IA présente indubitablement de nouveaux défis de sécurité en évolution rapide, le pivot de Cal.com.com semble être une décision commerciale multifacette. Elle répond stratégiquement aux pressions concurrentielles, améliore le positionnement sur le marché des entreprises et renforce la gestion des risques, en plus de la menace de l'AI déclarée. Pour en savoir plus sur les implications stratégiques de ce changement significatif pour l'écosystème open-source plus large, voir Cal.com.com goes private: A security reckoning for open source - The New Stack.

Les leaders de la communauté ont immédiatement contesté les conclusions catégoriques de Cal.com.com, affirmant la résilience continue et les avantages inhérents de l'open-source dans un monde piloté par l'AI. Sam Saffron, co-fondateur de Discourse, une plateforme de forum open-source de premier plan, a formulé un contre-argument essentiel : la transparence reste un atout de sécurité puissant. Il a souligné qu'au lieu d'être une faiblesse, le code ouvert favorise un environnement collaboratif où les failles sont souvent identifiées et corrigées plus rapidement par une communauté mondiale d'experts que dans les systèmes fermés, où les vulnérabilités peuvent s'envenimer sans être vues.

Les critiques soulignent également une faille fondamentale dans la métaphore du « plan » de Cal.com.com pour l'open-source. Les capacités analytiques de l'AI s'étendent bien au-delà du simple code source ; des modèles sophistiqués peuvent efficacement rétro-ingénier et analyser des binaires compilés. Cela signifie que les logiciels closed-source n'offrent qu'une augmentation marginale, voire aucune, de protection contre les attaques sophistiquées pilotées par l'AI, sapant ainsi l'idée que le code propriétaire offre un bouclier parfait contre la découverte automatisée de vulnérabilités. L'obfuscation fournie par la compilation offre un ralentisseur, pas une barrière impénétrable.

De plus, les projets open-source bénéficient d'un vaste réseau distribué de chercheurs en sécurité, de hackers éthiques et de contributeurs passionnés qui examinent activement le code à la recherche de vulnérabilités. Cette intelligence collective agit comme un audit continu et gratuit, une ressource critique qui manque intrinsèquement aux projets fermés. Sans le bénéfice de milliers d'yeux externes, les logiciels propriétaires peuvent silencieusement héberger des vulnérabilités critiques pendant de longues périodes, pouvant potentiellement entraîner des brèches catastrophiques qui passent inaperçues par les équipes internes jusqu'à ce que l'exploitation se produise. Cette vigilance communautaire conduit souvent à une détection et une résolution plus rapides.

L'argument en faveur du closed source comme panacée de sécurité s'effondre davantage sous le poids de la recherche, y compris les découvertes d'AISLE. Ces études corroborent que la capacité à trouver des vulnérabilités avec l'AI n'est pas exclusive aux opérations à grande échelle et fortement financées. Même des modèles d'AI plus petits et plus accessibles peuvent identifier des failles significatives. Par exemple, l'exécution spécifique du modèle qui a identifié une vulnérabilité de déni de service vieille de 27 ans dans l'implémentation TCP SACK d'OpenBSD, un bug qui avait échappé aux experts en sécurité humaine pendant des décennies, a coûté moins de 50 $. Cette barrière à l'entrée incroyablement basse signifie que l'avantage de la découverte de vulnérabilités alimentée par l'AI est démocratisé, rendant la sécurité par l'obscurité une stratégie de plus en plus intenable pour *n'importe quelle* base de code, ouverte ou fermée, dans le paysage des menaces moderne.

Alors que Cal.com.com tirait la sonnette d'alarme sur le potentiel destructeur de l'IA, l'industrie mobilise rapidement une contre-offensive robuste. Anthropic, la même entreprise derrière l'IA puissante de détection de vulnérabilités Mythos, dirige maintenant Project Glasswing, une initiative ambitieuse visant à exploiter l'IA pour la défense mondiale de la cybersécurité. Cet effort collaboratif conteste directement le récit selon lequel l'IA ne fait qu'habiliter les attaquants, la positionnant plutôt comme un gardien indispensable contre les menaces émergentes.

Project Glasswing unit une formidable coalition de géants de la technologie engagés à sécuriser l'infrastructure logicielle critique. Les participants incluent des mastodontes de l'industrie tels que : - Amazon Web Services (AWS) - Apple - Microsoft - Google - IBM - Meta Cette alliance représente un front unifié sans précédent contre la sophistication croissante des cyberattaques alimentées par l'IA.

La mission principale du projet consiste à déployer une IA avancée, spécifiquement des versions améliorées de Mythos, pour analyser et renforcer de manière proactive les logiciels les plus vitaux du monde. Au lieu d'attendre les brèches, les agents d'IA de Glasswing parcourent de vastes bases de code à la recherche de vulnérabilités latentes, reproduisant le processus de découverte qui a trouvé un bug vieux de 27 ans dans OpenBSD. Cette stratégie défensive vise à identifier et à corriger des milliers de zero-day flaws auparavant inconnues avant que des acteurs malveillants ne puissent les exploiter.

Glasswing témoigne puissamment de la double nature de l'IA, démontrant sa capacité à faire un bien profond. En tirant parti de la vitesse analytique et de l'échelle inégalées de l'IA, ce consortium construit efficacement un bouclier alimenté par l'IA, transformant les outils autrefois redoutés en défenseurs ultimes. Cette approche proactive offre un contrepoint convaincant aux préoccupations de Cal.com.com, prônant l'itération rapide et le durcissement du code grâce à l'automatisation intelligente.

Votre flux de travail de développement quotidien opère désormais sous une menace constante et accrue. Chaque ligne de code, chaque bibliothèque importée et chaque suggestion assistée par l'IA introduit un vecteur potentiel pour des attaques sophistiquées et alimentées par l'IA. Il ne s'agit pas seulement de vulnérabilités à grande échelle ; il s'agit de l'impact immédiat et granulaire sur la façon dont les ingénieurs construisent et maintiennent les logiciels.

Les assistants de code IA, tout en augmentant la productivité, modifient fondamentalement le paysage de la sécurité. Des outils comme GitHub Copilot pourraient générer des extraits qui, à l'insu du développeur, contiennent des failles subtiles mais exploitables. Les développeurs doivent désormais auditer de manière critique non seulement leur propre code, mais aussi la sortie de l'IA, en recherchant des vulnérabilités que même des yeux humains expérimentés pourraient manquer.

La pression monte sur les équipes d'ingénierie pour gérer un graphe de dépendances en constante expansion. Les applications modernes intègrent régulièrement des centaines de packages externes, chacun étant un point d'entrée potentiel pour la découverte d'exploits pilotée par l'IA. Cela crée un déluge accablant d'alertes de sécurité, faisant de la priorisation et du patching une tâche herculéenne pour les développeurs individuels et les responsables de la sécurité.

Même les organismes officiels peinent à suivre le rythme. La National Vulnerability Database (NVD), maintenue par le NIST, a récemment été confrontée à d'importants défis opérationnels, notamment un arriéré substantiel de Common Vulnerabilities and Exposures (CVEs) non traitées. Ce goulot d'étranglement souligne le volume considérable de failles nouvellement identifiées, démontrant que même les institutions bien dotées en ressources sont submergées par le rythme accéléré de la découverte de vulnérabilités.

Mythos, par exemple, a révélé un bug OpenBSD vieux de 27 ans, dont la découverte a coûté environ 20 000 $. Les implications sont claires pour les développeurs, qui sont désormais confrontés à un environnement où l'IA peut rapidement découvrir des failles qui ont échappé à l'œil humain pendant des décennies. Pour en savoir plus sur l'ampleur de ces découvertes pilotées par l'IA, consultez Mythos autonomously exploited vulnerabilities that survived 27 years of human review. Security teams need a new detection playbook | VentureBeat. Cette nouvelle réalité exige une réévaluation complète de l'hygiène de sécurité et de la gestion des risques dans le développement logiciel.

L'ère de la confiance implicite dans l'open source, où les « nombreux yeux » suffisaient à garantir la sécurité, est révolue. Le pivot drastique de Cal.com, qui a déplacé son produit principal vers le code source fermé après cinq ans, souligne un changement fondamental. L'avertissement clair du PDG Bailey Pumfleet — le code ouvert est désormais un « plan de coffre-fort » pour « 100x plus de hackers » — reflète une nouvelle réalité où les logiciels open source sont 5 à 10 fois plus faciles à pirater avec des outils d'attaque assistés par l'IA. Ce changement profond exige une réévaluation des principes fondamentaux régissant le développement collaboratif, dépassant une dépendance à la surveillance passive.

L'avenir de l'open source exige un modèle de confiance mais vérification avec l'IA. Les organisations doivent cesser d'exposer passivement leur code et exploiter activement l'intelligence artificielle pour une surveillance continue et agressive

Pourquoi Cal.com est-il passé à un modèle de code source fermé ?

Cal.com a déclaré que les outils d'IA avancés peuvent désormais scanner les dépôts open source pour trouver et exploiter des vulnérabilités à une échelle sans précédent, ce qu'ils ont jugé trop risqué pour les données sensibles de leurs clients.

Qu'est-ce que Mythos AI ?

Mythos est un modèle d'IA d'Anthropic conçu pour trouver et exploiter de manière autonome des vulnérabilités zero-day. Il a acquis une notoriété en découvrant un bug vieux de 27 ans dans OpenBSD qui avait échappé aux experts humains pendant des décennies.

L'IA rend-elle les logiciels open source obsolètes ?

Le débat est en cours. Si l'IA accélère la découverte de vulnérabilités pour les attaquants, elle fournit également des outils puissants aux défenseurs pour corriger les failles plus rapidement. La communauté open source est maintenant aux prises avec la manière de s'adapter à cette nouvelle réalité.

Comment l'IA affecte-t-elle la sécurité du code source fermé ?

Les partisans soutiennent que le code source fermé limite l'accès des attaquants au « plan » du code. Les critiques avertissent que sans examen public, les entreprises pourraient ignorer silencieusement les vulnérabilités, et l'IA peut toujours analyser les binaires compilés pour trouver des faiblesses.