Nicholas Carlini, chercheur chez Anthropic, a utilisé Claude Code pour débusquer un débordement de tampon dans le pilote NFS du noyau Linux, une faille exploitable à distance qui dormait depuis 23 ans. Au total, cinq vulnérabilités ont été confirmées dans le noyau à l'issue de cette session de recherche assistée par IA. C'est la première fois qu'un agent de codage IA est crédité d'une découverte de cette envergure dans un logiciel aussi fondamental.
Pendant ce temps, Microsoft révèle avoir corrigé en janvier une faille baptisée ShareLeak dans Copilot Studio, sa plateforme d'agents IA pour entreprises. Référencée CVE-2026-21520 avec un score CVSS de 7.5, la vulnérabilité permettait une injection de prompt qui a effectivement conduit à l'exfiltration de données avant que le correctif ne soit déployé. La découverte, signée par la société Capsule, rappelle que les agents IA déployés en entreprise élargissent la surface d'attaque de façon encore mal maîtrisée.
Le rapport AI Index 2026 de Stanford vient compléter ce tableau avec une stat qui fait réfléchir : les meilleurs modèles du marché échouent encore environ une fois sur trois en conditions réelles, selon le benchmark τ-bench. L'écart entre États-Unis et Chine s'est réduit sur les performances brutes, mais pas sur l'IA responsable. Trois signaux qui convergent vers la même question : l'IA progresse vite, mais la maîtrise des risques, qu'ils soient sécuritaires, opérationnels ou éthiques, court derrière.