Les nouvelles règles pour le code assisté par IA dans le noyau Linux : ce que tout développeur doit savoir

Linus Torvalds et les mainteneurs du noyau Linux viennent de finaliser la première politique officielle sur les contributions de code assistées par intelligence artificielle. L’objectif : accepter l’usage des outils IA comme aide au développement tout en protégeant la qualité, la traçabilité juridique et la sécurité du noyau. Cette synthèse reprend les éléments clés et propose des actions concrètes pour les développeurs.

Résumé des points essentiels

• La politique officielle est disponible : https://docs.kernel.org/process/coding-assistants.html
• Trois principes fondamentaux :
• Les agents IA ne peuvent pas apposer de Signed-off-by. Seuls des humains peuvent signer la Developer Certificate of Origin (DCO). Voir : https://wiki.linuxfoundation.org/dco
• Toute contribution ayant utilisé une IA doit inclure une balise Assisted-by précisant le modèle/agent et les outils utilisés (ex. Assisted-by: Claude:claude-3-opus coccinelle sparse).
• La responsabilité finale du code revient au contributeur humain : relecture, tests, conformité des licences, et responsabilité en cas de bogues ou de failles.

Contexte et origine de la règle

La controverse a éclaté après qu’un ingénieur (Sasha Levin, chez Nvidia) ait soumis un patch totalement généré par IA pour Linux 6.15 sans le déclarer. Même si le code avait été testé et revu par lui, l’absence de transparence a provoqué des débats sur la confiance et l’éthique.

Initialement discutée autour d’un tag « Co-developed-by » ou « Generated-by », la communauté a adopté Assisted-by pour refléter le rôle d’outil d’assistance (autocomplete, refactor, génération de tests) plutôt que de co-auteur.

Pourquoi cette approche pragmatique ?

• L’IA offre désormais des aides réellement utiles (analyse de sécurité, génération de tests, suggestions de refactorings). Les mainteneurs veulent permettre ces gains tout en évitant le contournement des responsabilités humaines.
• Plutôt que d’essayer de détecter automatiquement l’usage d’IA, la stratégie repose sur la transparence et des contrôles humains (revue experte, compilation, style, tests) et sur des sanctions dissuasives en cas de tricherie.

Les limites et les vrais risques

• Le plus grand danger n’est pas le « slop » maladroit généré par IA, mais des patches crédibles qui compilent et respectent le style mais introduisent des bugs subtils ou un coût de maintenance à long terme.
• La détection automatique d’IA n’est pas la solution principale ; la revue technique et l’examen approfondi restent cruciaux.

Impacts pour les développeurs

• Obligation de déclarer l’usage d’IA via Assisted-by et de conserver une traçabilité des outils et prompts utilisés.
• Les humains conservent la responsabilité légale et technique : signer la DCO reste indispensable.
• Attente d’une vigilance accrue des mainteneurs ; un patch signalé comme assisté peut être soumis à une revue renforcée.

Bonnes pratiques recommandées (check-list rapide)

Avant soumission :

• Documenter précisément quels modèles/outils ont été utilisés (nom, version, paramètres) et inclure la balise Assisted-by.
• Garder un historique des prompts/inputs et des itérations significatives (utile en cas d’examen).
• Revoir manuellement tout code généré : comprendre la logique, vérifier les limites, valider les interactions avec le reste du code.
• Ajouter et exécuter des tests unitaires/validation fonctionnelle et des contrôles de sécurité.
• Vérifier la conformité des licences pour tout contenu d’origine externe.

Pendant la revue :

• Être prêt à expliquer pourquoi la solution générée est correcte et maintenable.
• Fournir preuves de tests et de benchmarks si pertinent.

Si vous êtes mainteneur :

• Traiter les patches Assisted-by comme un signal pour une revue plus approfondie, pas comme une stigmatisation automatique.

Conséquences pour l’écosystème open source

• Transparence accrue devrait encourager une adoption responsable des outils IA.
• Les projets sérieux pourraient adopter des pratiques similaires : attribution, traçabilité, responsabilité humaine.
• Les développeurs qui essaient de dissimuler l’usage d’IA s’exposent à des sanctions de réputation et d’accès aux projets.

Conclusion / Message clé

La nouvelle politique du noyau Linux marque une étape importante : l’IA est reconnue comme un outil légitime, mais elle ne remplace pas la responsabilité humaine. Pour rester contributeur crédible, il faudra adopter des pratiques de transparence, renforcer la relecture technique et documenter l’usage des outils IA.

Ressources utiles

• Politique officielle (coding-assistants) : https://docs.kernel.org/process/coding-assistants.html
• Developer Certificate of Origin (DCO) : https://wiki.linuxfoundation.org/dco
• Article original analysé (ZDNET) : https://www.zdnet.com/article/linus-torvalds-and-maintainers-finalize-ai-policy-for-linux-kernel-developers/
• Contexte (patch IA de Sasha Levin) : https://lwn.net/Articles/1026558/

Source : https://www.zdnet.com/article/linus-torvalds-and-maintainers-finalize-ai-policy-for-linux-kernel-developers/