Gemini CLI : Google s’attaque à l’automatisation des flux GitHub Actions avec son agent IA

Un agent IA dans les pipelines de livraison logicielle

Après le lancement initial de Gemini CLI fin juin, l’équipe de développement de Google chargée du produit a dû étendre l’automatisation des workflows afin de traiter les demandes de fonctionnalités et les problèmes signalés par les utilisateurs dans son référentiel GitHub, selon Ryan J. Salva, directeur principal des produits chez Google, lors d’une conférence de presse virtuelle la semaine dernière.

« Nous recevions tellement d’idées et de contributions que nous avons voulu automatiser le tri des problèmes et les révisions de code au sein de GitHub, et la communauté l’a remarqué », affirme Ryan J. Salva. « Ils ont vu ce que nous faisions et ont souhaité profiter de ces mêmes outils. »

« Il suffit de mentionner @gemini -cli partout où des commentaires sont disponibles dans GitHub et de lui dire quoi faire. »

La version bêta de Gemini CLI pour GitHub Actions est désormais disponible gratuitement pour les utilisateurs disposant d’une clé API Google AI Studio. La version initiale comprendra trois workflows préconfigurés. Gemini CLI peut effectuer les tâches suivantes :

• Analyser, étiqueter et hiérarchiser les problèmes entrants.
• Examiner les pull requests (PR) pour vérifier leur qualité, leur style et leur exactitude.
• Prendre en charge les tâches déléguées avec la mention @gemini -cli dans les « issues » GitHub ou les PR.

« Il suffit de mentionner @gemini -cli partout où des commentaires sont disponibles dans GitHub et de lui dire quoi faire », explique Ryan J. Salva. « Vous avez un bug à signaler, vous avez besoin de nouveaux tests, vous voulez mettre en œuvre un changement… Gemini CLI s’en chargera. »

Les questions de sécurité liées à l’IA donnent à réfléchir aux développeurs

L’annonce de Google intervient alors que de nombreux fournisseurs, y compris d’autres divisions du fournisseur de services cloud lui-même, proposent actuellement une multitude d’agents IA de programmation. Le produit de développement d’applications mobiles Firebase Studio de Google, par exemple, a ajouté le mois dernier de nouvelles fonctionnalités d’IA. Notamment l’intégration de services basés sur Gemini avec Firebase Authentication et le data store Firestore via la librairie Model Context Protocol. Google Cloud a déployé la prise en charge de son protocole Agent2Agent dans le kit de développement Agent Developer Kit le 31 juillet. GitHub, quant à lui, a lancé son propre agent IA de programmation Copilot en mai.

Mais parallèlement à la surabondance d’agents IA et à l’essor de la tendance du « vibe coding », une vague croissante d’inquiétudes concernant leur sécurité et leur fiabilité a vu le jour à la suite d’une série d’incidents très médiatisés. Le plus préoccupant pour Google a été le rapport public sur une faille de sécurité de Gemini CLI qui le rendait vulnérable à l’exécution silencieuse de commandes shell malveillantes. Google a corrigé cette faille, mais d’autres incidents liés à la sécurité et à la fiabilité de l’IA ont rapidement suivi, notamment avec l’agent de codage Replit et l’extension VS Code d’Amazon Q.

« Les récents problèmes de sécurité ont démontré de manière impressionnante que les agents IA constituent d’excellents vecteurs d’exploitation pour les acteurs malveillants », déclare Torsten Volk, analyste chez Enterprise Strategy Group, qui fait désormais partie d’Omdia [propriété d’Informa Techtarget, également propriétaire du MagIT].

« Cependant, cela signifie simplement que les organisations reviennent à la case départ, en veillant à appliquer les bonnes pratiques standard qui avaient été temporairement mises de côté durant la lune de miel avec l’IA générative et les agents IA. La journalisation (logging), le sandboxing, les tests de pénétration et les audits externes sont des principes clés qui doivent être pris aussi au sérieux, tant avec des agents IA qu’avec des programmeurs humains. »

Pour l’instant, les développeurs sont intéressés par l’expérimentation de Gemini CLI pour GitHub Actions, mais hésitent à lui déléguer des pull requests [PR].

« Le risque de pull requests malveillantes est si important que GitHub exige par défaut une approbation manuelle pour les workflows CI/CD sur les PR provenant de contributeurs novices », explique David Strauss, architecte en chef et cofondateur de la société WebOps Pantheon. « Un administrateur de projet doit être prudent avant d’intégrer des PR peu fiables, provenant d’une IA ou d’une personne, car elles mettent en évidence le même point faible : l’accès étendu au pipeline CI/CD ».

« […] Il existe un risque étendu lié à un outil d’IA bien aligné, mais erroné, fonctionnant sans surveillance. »

« Ces pipelines sont des vecteurs classiques de mouvement latéral, car ils exploitent des informations d’identification et des autorisations de haut niveau, permettant à une tâche GitHub Actions de passer d’un processus de compilation compromis à d’autres systèmes critiques », ajoute David Strauss. « Malheureusement, cela signifie qu’il existe un risque étendu lié à un outil d’IA bien aligné, mais erroné, fonctionnant sans surveillance. »

Selon un autre développeur ayant l’expérience de Gemini, il semble encore loin d’être possible de faire confiance à un agent IA pour gérer des pull requests.

« J’utilise Gemini depuis des mois pour le développement, et même si la génération de code est bonne, certains détails et tâches diverses doivent être effectués pour le rendre parfait et prêt à être déployé », déclare Guillaume Blaquiere, expert développeur Google depuis 2019 et architecte de données groupe chez Carrefour. « La génération de code à partir d’une demande de fonctionnalités produira un code incomplet qui devra être revu et modifié par un développeur. Au lieu de cela, vous pourriez directement réclamer à Gemini de produire le code localement, de le peaufiner, puis de le déployer. L’étape de génération sur GitHub est totalement superflue [mais] peut-être qu’à l’avenir, cela sera possible. »

David Strauss et Guillaume Blaquiere ne sont pas les seuls à se méfier des agents IA pour les tâches critiques. L’enquête Stack Overflow Developer Survey 2025, qui a reçu plus de 49 000 réponses, a révélé que si 84 % des sondés emploient ou prévoient d’utiliser des outils d’IA (soit une augmentation par rapport aux 76 % de l’année précédente), le sentiment positif à l’égard de ces dispositifs a diminué, passant de 70 % en 2023 et 2024 à 60 % en 2025. La majorité des développeurs interrogés ont déclaré se méfier activement de la précision des outils d’IA (46 %).

Un peu plus de la moitié des répondants (52 %) n’utilisent pas d’agents, et 38 % ont affirmé ne pas avoir l’intention de les adopter. La publication et la revue de code font partie des tâches que la plupart des développeurs sondés (58 %) ne veulent pas confier aux systèmes d’IA.