Des chercheurs alertent sur le « vibe coding », un style de programmation où des outils d'intelligence artificielle génèrent des portions de code contenant des failles. Ils ont analysé plus de 43 000 avis de sécurité et utilisé le Vibe Security Radar, développé par le Systems Software & Security Lab (SSLab) de Georgia Tech, pour tracer ces vulnérabilités.
Le radar identifie l'erreur liée à chaque vulnérabilité, examine l'historique du code pour déterminer qui a introduit le bug et signale les cas présentant la signature d'un outil d'IA. Il peut tracer des métadonnées comme des balises de co-auteur ou des e-mails de bot, mais il ne peut pas identifier les cas si ces marqueurs ont été supprimés. L'équipe travaille donc à une détection comportementale qui repère des motifs dans les noms de variables, la structure des fonctions et la gestion des erreurs.
- L'outil a confirmé 74 cas, dont 14 critiques et 25 à risque élevé.
- Les vulnérabilités incluent injection de commandes, contournement d'authentification et falsification de requêtes côté serveur.
- Le radar a trouvé environ 18 cas sur sept mois dans la seconde moitié de 2025, puis 56 cas dans les trois premiers mois de 2026 ; mars 2026 comptait 35 cas.
Les chercheurs avertissent que la surface d'attaque augmente à mesure que des agents d'IA deviennent plus autonomes et créent des fonctionnalités ou prennent des décisions d'architecture. Ils recommandent de fournir des instructions détaillées à l'IA et d'utiliser des outils pour vérifier le code généré, car ne pas le vérifier pourrait mener à une catastrophe. Claude Code et Copilot représentent la plupart des détections, en partie parce qu'ils laissent des signatures évidentes.
Mots difficiles
- vulnérabilité — faiblesse dans un logiciel pouvant être exploitéevulnérabilités
- signature — élément distinctif permettant d'identifier quelque chose
- métadonnée — information décrivant d'autres données ou contenusmétadonnées
- injection — action d'introduire du code malveillant
- contournement — fait d'éviter une sécurité ou une règle
- falsification — modification ou création frauduleuse d'une requête
- détection — action de repérer quelque chose ou un motif
- surface d'attaque — ensemble des points vulnérables d'un système
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Pensez-vous que les entreprises doivent toujours vérifier le code généré par l'IA ? Pourquoi ?
- Quels risques et quelles conséquences l'article attribue-t-il à des agents d'IA plus autonomes ?
- Quelles méthodes, autres que les métadonnées, pourraient aider à détecter le code généré par l'IA selon le texte ?
Articles liés
Un nouvel appareil mesure la viscosité du sang en temps réel
Des chercheurs de l’Université du Missouri ont mis au point une technologie non invasive qui surveille la viscosité du sang avec des ondes ultrasonores et un logiciel. Elle mesure aussi la densité et pourrait devenir portable.
Un outil réduit l'animosité politique dans le fil X
Des chercheurs ont créé une extension qui réordonne le fil X pour faire descendre les messages d'animosité partisane, sans supprimer de publications. Dans des expériences, cela a rendu les participants plus chaleureux envers le parti opposé.
Une IA apprend des valeurs culturelles en observant des humains
Des chercheurs ont montré qu'une IA, entraînée à partir du comportement humain, peut apprendre des différences de valeurs entre groupes culturels. L'étude utilise le jeu Overcooked et un second test sur le partage d'argent.