- ▸ Le constat
- ▸ La thèse
- ▸ Un blogueur, 1 500 dollars, et la fin d'un récit
- ▸ Le récit du « remplacement » détourne le regard
Un homme a dépensé 1 500 dollars pour qu’une dizaine d’IA tentent de pirater son application. Le résultat tient en une ligne : la plupart ont échoué. Et ce résultat, pourtant modeste, en dit long.
Points clés – Kasra a publié le 3 juin 2026 une expérience à 1 500 dollars : 13 modèles d’IA face à une application volontairement vulnérable. – Les modèles les plus chers échouent souvent ; un modèle à 0,19 dollar de coût moyen réussit 3 fois sur 10. – L’IA n’est pas une force naturelle qui « déferle » : elle est un outil construit, financé, paramétré par des humains. – Le vrai débat n’est pas « va-t-elle nous remplacer », mais « qui décide de ce qu’elle peut et ne peut pas faire ». – Un modèle a refusé de continuer l’attaque en écrivant : « This would affect the live database so I’m not going to do that. »
Le constat
Le 3 juin 2026, un développeur indépendant nommé Kasra a publié sur son blog personnel un compte rendu d’expérience que je n’arrive pas à oublier. Le titre est sans détour : « I built a vulnerable app and spent $1,500 seeing if LLMs could hack it. » Le protocole, lui, est d’une simplicité chirurgicale. Il a construit une application contenant des failles. Il a lâché treize grands modèles de langage dessus, chacun avec dix tentatives, un budget plafonné à 10 dollars par tentative, et deux heures de temps imparti. Il voulait savoir si les IA dont on nous dit qu’elles vont « remplacer les hackers humains » étaient capables d’enfoncer une porte qu’il avait lui-même laissée entrouverte.
Les résultats sont là. Bruts. Désordonnés. Et profondément instructifs. Un modèle baptisé deepseek-v4-pro, à 19 centimes de coût moyen par tentative, a trouvé l’exploit 3 fois sur 10. Le très onéreux claude-opus-4-8, lui, plafonne à 2 réussites sur 10, pour un coût moyen de 3,23 dollars la tentative. Le minimax-m3 et l’owl-alpha n’ont jamais trouvé. Et au total, environ la moitié du budget de 1 500 dollars est partie en fumée dans des « test runs » et des « failed runs » que l’auteur a explicitement exclus de son tableau final.
La thèse
Je crois que cette petite expérience à 1 500 dollars dit quelque chose d’énorme. Pas sur les capacités des modèles. Sur nous.
Nous parlons de l’intelligence artificielle comme nous parlons de la météo. Elle « arrive ». Elle « déferle ». Elle « bouleverse ». Comme si elle était une force naturelle, indifférente à nos choix. C’est faux. Et c’est dangereux. L’IA n’est pas un climat. C’est un objet. Construit par des humains, financé par des fonds, déployé par des entreprises, paramétré par des prompts. Le vrai sujet n’est pas « va-t-elle nous remplacer », il est ailleurs : qui décide de ce qu’elle fait, contre qui, pour combien, avec quels garde-fous.
Un blogueur, 1 500 dollars, et la fin d’un récit
Reprenons les chiffres de Kasra, parce qu’ils valent mieux que n’importe quel discours. Le modèle le plus performant de son benchmark coûte 19 centimes par tentative et réussit 3 fois sur 10. Un autre, claude-opus-4-8, coûte dix-sept fois plus cher et réussit deux fois moins souvent. Le très attendu deepseek-v4-flash : 0 réussite sur 10. Le 1-pro-preview : 0 sur 10. Owl-alpha : 0 sur 10. Sur six tentatives, le 7-max ne trouve rien. Le minimax-m3, sur trois tentatives : zéro. Et l’auteur précise lui-même que « Modal preempted ~10% of the runners causing me to lose the run », c’est-à-dire que l’infrastructure de cloud computing a interrompu un dixième des essais avant la fin.
Ce que nous avons sous les yeux, ce n’est pas le récit d’une IA toute-puissante qui démolit les systèmes humains à la chaîne. C’est l’inverse. C’est une technologie inégale, instable, dépendante de son orchestration, infiniment plus chère que prévu, et qui produit régulièrement des phrases comme : « Exploit could not be found, API seems secure. » Or l’exploit existait. Il avait été planté là pour être trouvé. Et la machine n’a pas vu. Voilà la réalité que les communiqués de presse n’aiment pas raconter. Voilà ce que les acteurs économiques savent et taisent. L’IA actuelle, en 2026, est un outil puissant mais inégal — un outil qu’il faut piloter, payer, surveiller. Pas un destin.
Le récit du « remplacement » détourne le regard
Il faut comprendre à qui profite l’idée que l’IA est une force naturelle. Tant que nous parlons d’elle comme on parle d’un tsunami, nous ne parlons pas des trois groupes qui décident. Premier groupe : les laboratoires américains qui fixent les capacités des modèles et leur prix. Deuxième groupe : la Commission européenne et ses régulateurs nationaux, qui fixent les usages autorisés. Troisième groupe : les directions des ressources humaines, les directions financières, les directions générales, qui décident ici, maintenant, dans chaque entreprise, qui sera « augmenté » et qui sera « remplacé ».
Ces trois groupes ne sont pas des phénomènes météorologiques. Ce sont des humains, avec des adresses, des budgets, des conseils d’administration et des arbitrages. Le récit du « remplacement inéluctable » est un alibi formidable pour ne pas avoir à les nommer. C’est aussi un alibi pour ne pas avoir à expliquer pourquoi un modèle qui coûte 9,15 dollars la tentative et réussit 2 fois sur 10 serait considéré comme une menace pour le métier d’analyste sécurité, alors que le même expert humain, à la même heure de travail, ne produit pas de phrases comme « Found Firebase but tried using it with the API not Firebase directly ». L’expérience de Kasra montre des modèles qui se trompent de cible, qui rebroussent chemin, qui hallucinent des chemins d’attaque. Ce ne sont pas les symptômes d’une force inéluctable. Ce sont les symptômes d’un outil jeune, perfectible, et — surtout — pilotable.
L’objection
Je sens l’objection venir, et elle est légitime. « Vous regardez 2026. Mais les modèles s’améliorent vite. Dans deux ans, ces taux d’échec auront chuté. Le débat que vous décrivez sera dépassé. » C’est l’argument le plus sérieux qu’on puisse m’opposer. Et il a un fond de vérité : entre claude-opus-4-8 et ce qui sortira en 2028, l’écart sera réel.
Mais il me semble qu’il rate la cible. D’abord parce que la trajectoire n’est pas linéaire : Kasra montre noir sur blanc qu’un modèle peu cher dépasse parfois un modèle premium. La capacité ne suit pas le prix, et le prix ne suit pas la chronologie. Ensuite, et c’est plus important, le débat que je défends n’est pas un débat de capacités. C’est un débat de décisions. Quand un modèle écrit « This would affect the live database so I’m not going to do that », ce n’est pas la technologie qui parle, c’est un humain qui, en amont, a écrit cette règle. Plus les modèles deviendront puissants, plus la question « qui programme la retenue » deviendra centrale. Pas l’inverse.
Ce qui est en jeu
Ce qui est en jeu dépasse de très loin le secteur tech. C’est notre rapport collectif à la responsabilité. Tant que nous décrivons l’IA comme un climat, nous nous absolvons. Le climat ne se vote pas, ne se taxe pas, ne se licencie pas. Un PDG, si. Un commissaire européen, si. Un éditeur de modèle, si. La langue que nous employons pour parler de cette technologie est, déjà, un acte politique.
Il y a une autre chose en jeu, plus discrète : la qualité du débat public sur le travail. Si nous laissons s’installer l’idée que « l’IA va remplacer les métiers », alors chaque licenciement deviendra une fatalité, chaque restructuration une conséquence de la météo. Or les chiffres de Kasra montrent un outil qui rate la moitié de ses cibles. Ce n’est pas la description d’un grand remplacement. C’est la description d’un outil. Et la sortie n’est ni dans la peur ni dans l’enthousiasme béat — elle est dans le choix politique. Choisir ce qu’on automatise. Choisir ce qu’on protège. Choisir qui paye.
FAQ
Qui possède votre voix quand l’IA la clone ?
La question juridique reste en grande partie ouverte en France et au niveau européen en 2026. L’AI Act encadre les contenus générés mais ne tranche pas explicitement la propriété de la voix clonée. À ce jour, c’est aux tribunaux et aux contrats individuels de combler ce vide. Une raison de plus pour ne pas attendre.
Pourquoi le débat public se trompe-t-il à ce point de question ?
Parce qu’un récit de catastrophe se vend mieux qu’un récit d’arbitrage. « L’IA va tout remplacer » est un titre. « Trois groupes humains décident, et voici lesquels » est un travail. Le récit fataliste arrange aussi les décideurs : il transforme leurs choix en destin. Notre rôle, comme lecteurs, est de refuser cette grammaire.
Conclusion
Revenons au point de départ. Un homme. Une application volontairement vulnérable. 1 500 dollars partis en tentatives, dont la moitié exclues des résultats finaux. Et au bout, ce constat têtu : les modèles les plus chers ne sont pas les meilleurs, les meilleurs ne réussissent pas toujours, et l’un d’eux a même refusé d’attaquer une base de données « live » parce qu’on le lui avait demandé.
L’IA n’est pas la météo. Elle est ce que nous, collectivement, décidons qu’elle soit. À suivre, d’ici la fin 2026 : les premières décisions concrètes d’application de l’AI Act, les choix budgétaires de la nouvelle Commission, et — surtout — les arbitrages des DRH françaises au moment des plans de transformation. C’est là, pas dans les communiqués des labos, que se joue le vrai débat.
Cet article est une tribune et reflète l’opinion de son auteur.
