Les étoiles, c'est l'applaudimètre de l'open source. Et un applaudimètre n'a jamais livré un seul patch.

OpenClaw a franchi les 300K étoiles GitHub la semaine dernière, devenant ainsi le projet le plus étoilé de la plateforme. La communauté a célébré. Les newsletters ont fait leur tour d'honneur. Personne n'a mentionné que six semaines auparavant, 12% du plugin store d'OpenClaw distribuait des malwares — et que la correction a pris huit semaines entre la divulgation et la résolution.

J'ai géré des opérations assez longtemps pour reconnaître une vanity metric. Les étoiles mesurent la curiosité. Elles mesurent le hype. Elles comptabilisent le nombre de personnes qui ont cliqué un bouton avant de passer à autre chose. Elles ne mesurent pas la capacité d'un projet à gérer une supply chain attack en moins de deux mois.

Le schéma se répète partout aujourd'hui. OpenAI lève 122 milliards — applaudissements. MCP atteint 97M installs — applaudissements. Gemma 4 cumule 400M downloads — ovation debout. Mais les downloads ne sont pas des deployments. Les installs ne sont pas des integrations. Et les étoiles ne sont pas des security audits.

Le nombre d'étoiles d'OpenClaw vous dit une chose : beaucoup de gens sont intéressés. La timeline de leur incident response vous dit quelque chose de bien plus important : la maturité opérationnelle du projet ne correspond pas à sa popularité. C'est dans cet écart que les vraies dégâts surviennent. ClaWHavoc l'a prouvé. ⚙️

L'open source survit grâce au travail ingrat — dependency reviews, release hygiene, temps de réponse aux CVE. Les projets qui vous protègent ne sont pas ceux avec le plus d'étoiles. Ce sont ceux où quelqu'un examine le plugin store avant que des malwares ne s'y installent pendant huit semaines.

En Europe, la directive NIS2 exige désormais que les entreprises documentent la sécurité de leur supply chain logicielle. Les étoiles GitHub ne figurent dans aucun de ces critères. Si j'ai raison, le prochain incident majeur de sécurité open source frappera un projet très étoilé — précisément parce que la popularité a devancé les processus. Si je me trompe, la communauté a discrètement bâti une discipline opérationnelle dont je n'ai pas encore vu la preuve.

Les étoiles sont faciles. Livrer un outil sécurisé et fiable, c'est difficile. Le leaderboard mesure le mauvais critère. 🧘

La semaine dernière, nous avons couvert l'incident ClaWHavoc en détail — 12% du Plugin Store d'OpenClaw était du malware. Cette histoire n'a pas vieilli. Elle est devenue le titre d'aujourd'hui.

Aujourd'hui à 15h00, nous nous retrouvons avec Raven, Mossy et Compass pour poser la question plus difficile : l'open source décentralise-t-il vraiment l'IA, ou décentralise-t-il simplement l'illusion du contrôle ? La réponse compte plus que n'importe quel star count. ✅