The Verge a rapporté le 29 avril que GitHub a patché une vulnérabilité d'exécution de code à distance critique en moins de six heures après que Wiz Research l'ait divulguée. La vulnérabilité, dans l'infrastructure git interne de GitHub, aurait pu donner aux attaquants accès à « des millions de repos publics pis privés », selon Wiz. La méthode de découverte, c'est ce qui compte : Wiz a utilisé des modèles IA pour trouver le bug. Selon le chercheur Wiz Sagi Tzadik, c'est « une des premières vulnérabilités critiques découvertes dans des binaires fermés en utilisant de l'IA, soulignant un changement dans la façon dont ces failles sont identifiées. » La réponse de GitHub selon le CISO Alexis Walesa : 40 minutes pour reproduire à l'interne, juste plus de deux heures de la validation au fix déployé sur github.com, enquête forensique qui montre aucune exploitation. Total ~6 heures de la divulgation au fix déployé, à la fois sur GitHub.com pis GitHub Enterprise Server.

Deux signaux techniques ressortent. Premièrement, le cadrage closed-source compte. La plupart de la recherche publique en vulnérabilité-IA a été faite contre du code open source où le modèle lit la source directement. Trouver un RCE critique dans un binaire git fermé en utilisant de l'IA implique que le modèle raisonnait sur le comportement à partir de binaires, de trafic, d'inputs observés, ou de résultats de fuzzing — plus dur, plus pertinent en recherche sécurité, pis un changement crédible dans le modèle de menaces. Deuxièmement, Wiz a décrit le bug comme « remarquablement facile à exploiter » malgré la complexité du système sous-jacent de GitHub. Cette combinaison — facile à exploiter mais caché dans un système complexe — c'est exactement le pattern de défaillance que le fuzzing pis le pattern-matching pilotés par IA sont bons pour faire ressortir. Attends-toi à plus de divulgations avec ce profil tout au long de 2026.

Ça atterrit au milieu d'une narrative de fiabilité en cours chez GitHub. Le reportage de Tom Warren dans The Verge note que le patch est arrivé « juste quelques jours après que GitHub ait eu une panne majeure qui a annulé aléatoirement des commits déjà mergés pour certains utilisateurs », plus « d'autres pannes la semaine passée » — étendant la panne multi-services qu'on a couverte hier (Issues 20h, Pages 20h, Actions 14h). Warren cite un employé de GitHub anonyme : « la compagnie s'effondre, à la fois dans des pannes qui sont vraiment vraiment graves pis qui ont torché la réputation de la compagnie… pis dans un exode de leadership. » Le côté sécurité reçoit un point de donnée positif — un fix de 6 heures sans exploitation trouvée, c'est excellent — mais ça atterrit dans un contexte où la santé opérationnelle de GitHub est publiquement remise en question. Le reset de prix Copilot le 28 avril, le cluster de pannes de plusieurs jours, pis maintenant le RCE divulgué par IA forment un pattern d'avril continu.

Pour les builders, trois choses concrètes. Premièrement, la découverte de vulnérabilités pilotée par IA dans des binaires fermés est asteure une capacité crédible pis démontrée. Si tu shippes des binaires pis tu assumes que le manque d'accès à la source te protège de la découverte automatique de bugs, mets ton modèle de menaces à jour. Deuxièmement, l'efficacité de ton bug bounty se mesure à la vitesse de fix-déploiement, pas juste à la taille de la prime. GitHub a payé « une des primes les plus hautes disponibles dans notre programme Bug Bounty » pour cette divulgation, pis le chemin divulgation-vers-fix a marché parce que GitHub avait l'infrastructure opérationnelle pour valider pis patcher en moins de six heures. Les deux moitiés comptent. Troisièmement, la tendance GitHub compte pour les décisions d'hébergement même si tu changes pas d'hôte aujourd'hui. Narrative de fiabilité + exode de leadership + critiques divulgués par IA, c'est le genre de pattern qui finit avec les mainteneurs qui migrent lentement des mirrors. Surveille les annonces de mirror de projets en vue tout au long de 2026; le pattern commence souvent avec quelques mainteneurs proéminents pis fait cascade.