Le 17 mars, Google a annoncé qu'il se joindrait à un certain nombre de grandes entreprises technologiques pour mener une nouvelle série d'investissements à grande échelle dans la sécurité des logiciels open source afin d'améliorer la stabilité et la sécurité de la communauté open source. Dans sa déclaration, Google a décrit les logiciels open source comme « l'épine dorsale du réseau moderne » et a souligné qu'il est crucial d'assurer la sécurité de l'infrastructure open source à une époque où les « menaces basées sur l'IA » deviennent de plus en plus importantes.

En tant que membre fondateur du projet Alpha-Omega de la Linux Foundation, Google a annoncé qu'il s'engagerait à financer un total de 12,5 millions de dollars auprès d'entreprises telles qu'Amazon, Anthropic, Microsoft/GitHub et OpenAI pour « investir davantage dans la stabilité et la sécurité de la communauté open source ». Ce fonds sera géré par Alpha-Omega et OpenSSF, et sera principalement utilisé pour aider les responsables de projets open source à faire face à la nouvelle génération de menaces de sécurité basées sur l'IA, à passer de la simple découverte de vulnérabilités à des réparations réelles, et à mettre des outils de sécurité plus avancés directement entre les mains des responsables, transformant ainsi les résultats de sécurité massifs générés par l'IA en actions rapidement exécutables.

En parlant de « découvertes de sécurité générées par l’IA », Google a spécifiquement mentionné les résultats de ses outils internes d’agent de sécurité IA. Dès juillet 2025, l'agent d'IA de Google, Big Sleep, a découvert et bloqué une vulnérabilité Zero Day de SQLite avant que les pirates informatiques ne puissent l'utiliser comme arme. Au cours des mois suivants, Google a discrètement lancé un agent d'IA appelé "CodeMender", qui peut non seulement marquer les failles de sécurité, mais aussi réécrire automatiquement le code pour terminer le travail de correctif. Google a déclaré que des outils comme Big Sleep et CodeMender "démontrent le potentiel transformateur de l'IA dans la protection de l'écosystème open source plus large".

Le contexte de ce cycle de financement est que les responsables d'un grand nombre de projets open source importants souffrent d'une « lassitude face aux alertes ». Dans des projets populaires tels que Python et React, les responsables sont confrontés chaque jour à des milliers de rapports de vulnérabilité générés automatiquement par l’IA, ce qui est consommateur d’énergie et extrêmement difficile à contrôler pour en vérifier la qualité. Certains projets ont été contraints d’ajuster leurs stratégies. Par exemple, l'outil réseau largement utilisé cURL a choisi de fermer le programme de primes aux bogues après que ses responsables ont été inondés de « rapports indésirables » d'IA de mauvaise qualité soupçonnés d'être générés pour des primes pendant une longue période, essayant de couper les incitations économiques pour les mauvais acteurs à soumettre des rapports invalides à la source.

L'engagement financier de Google, lancé par plusieurs géants de la technologie, vise à apporter un soutien plus direct et durable à ces équipes de maintenance open source qui subissent une pression énorme. Du point de vue de l'industrie, il ne s'agit pas seulement d'une sorte de « retour d'information » sur l'infrastructure open source dont dépendent fortement les grands fabricants de cloud et d'IA, mais aussi d'une tentative d'empêcher l'ensemble de l'écosystème open source d'être déséquilibré par le flot d'alarmes et la pression de sécurité après que l'IA ait apporté des capacités de test et d'exploration automatisées sans précédent.