Carnet souverain

Note

🤖 “Open source” ne veut pas toujours dire “souverain”.

🤖 “Open source” ne veut pas toujours dire “souverain”.

LinkedIN Archivesouveraineté
🤖 “Open source” ne veut pas toujours dire “souverain”.

🤖 “Open source” ne veut pas toujours dire “souverain”.

J’ai testé Strix, le pentester IA open source qui fait beaucoup parler de lui en ce moment. Sur le papier, la promesse est énorme : un agent IA capable d’explorer une application, manipuler un navigateur, - lancer des commandes, tester des entrées, trouver des vulnérabilités et produire des preuves d’exploitation.

Bref, le pentester junior infatigable.

Mais j’avais une seule question : 👉 Est-ce que je peux le faire tourner chez moi, sur mes GPU, sans envoyer mon code source et mes vulnérabilités dans un cloud américain ?

Parce qu’un outil de sécurité qui lit votre code, découvre vos failles, extrait des secrets ou produit des PoC, ce n’est pas un outil comme les autres. C’est exactement le type de donnée qu’on veut garder sous contrôle.

J’ai donc testé Strix en local avec Ollama, puis avec vLLM, tool calling activé, contexte étendu, gros modèle de code, H100, tout ce qu’il faut pour lui donner une chance.

Résultat : l’agent boucle. Il démarre, mais n’aboutit pas. Le problème n’est pas seulement la puissance GPU. Il est dans le pilotage agentique : Strix attend un comportement très strict du modèle, que les modèles locaux ne tiennent pas encore assez bien.

Pour être juste, avec un modèle frontière, l’outil fonctionne très bien. Sur ma cible de test, il a trouvé les failles, les a qualifiées, et les a prouvées.

Mais c’est précisément là que se trouve le paradoxe : la version qui marche vraiment est celle qui envoie le code, les failles et les preuves chez un fournisseur tiers.

Donc oui, Strix est impressionnant. Oui, c’est probablement un aperçu très concret de ce que les agents IA vont apporter à la sécurité offensive. Mais aujourd’hui, pour du code sensible, je reste prudent. Open source, ce n’est pas suffisant.

Il faut aussi maîtriser :

  • le modèle ;
  • l’infĂ©rence ;
  • les donnĂ©es envoyĂ©es ;
  • les coĂ»ts ;
  • les logs ;
  • la disponibilitĂ© ;
  • le comportement rĂ©el de l’agent.

J’ai documenté le test complet, les échecs, les commandes, les limites et le verdict ici 👇

https://lnkd.in/e7yxGTyk

#IA #Pentest #DevSecOps #Cybersécurité #OpenSource #SouverainetéNumérique #LLM #vLLM

Commentaires

RĂ©ponses imbriquĂ©es possibles. Vous commentez en tant qu'invitĂ© : choisissez un pseudo, et c'est tout. ModĂ©ration a posteriori : tout est publiĂ© immĂ©diatement, je peux retirer si besoin.

Ce carnet vous parle ?

Chaque jeudi matin, un digest des notes publiées dans la semaine sur la souveraineté numérique, le logiciel libre et l'IA en Europe. Les semaines sans publication, vous ne recevez rien. Pas de pub, pas de bruit.

Désinscription en un clic. Données hébergées en Europe, jamais revendues, jamais partagées.