Des chercheurs alertent sur le « vibe coding », un style de programmation où des outils d'intelligence artificielle génèrent des portions de code contenant des failles. Ils ont analysé plus de 43 000 avis de sécurité et utilisé le Vibe Security Radar, développé par le Systems Software & Security Lab (SSLab) de Georgia Tech, pour tracer ces vulnérabilités.
Le radar identifie l'erreur liée à chaque vulnérabilité, examine l'historique du code pour déterminer qui a introduit le bug et signale les cas présentant la signature d'un outil d'IA. Il peut tracer des métadonnées comme des balises de co-auteur ou des e-mails de bot, mais il ne peut pas identifier les cas si ces marqueurs ont été supprimés. L'équipe travaille donc à une détection comportementale qui repère des motifs dans les noms de variables, la structure des fonctions et la gestion des erreurs.
- L'outil a confirmé 74 cas, dont 14 critiques et 25 à risque élevé.
- Les vulnérabilités incluent injection de commandes, contournement d'authentification et falsification de requêtes côté serveur.
- Le radar a trouvé environ 18 cas sur sept mois dans la seconde moitié de 2025, puis 56 cas dans les trois premiers mois de 2026 ; mars 2026 comptait 35 cas.
Les chercheurs avertissent que la surface d'attaque augmente à mesure que des agents d'IA deviennent plus autonomes et créent des fonctionnalités ou prennent des décisions d'architecture. Ils recommandent de fournir des instructions détaillées à l'IA et d'utiliser des outils pour vérifier le code généré, car ne pas le vérifier pourrait mener à une catastrophe. Claude Code et Copilot représentent la plupart des détections, en partie parce qu'ils laissent des signatures évidentes.
Mots difficiles
- vulnérabilité — faiblesse dans un logiciel pouvant être exploitéevulnérabilités
- signature — élément distinctif permettant d'identifier quelque chose
- métadonnée — information décrivant d'autres données ou contenusmétadonnées
- injection — action d'introduire du code malveillant
- contournement — fait d'éviter une sécurité ou une règle
- falsification — modification ou création frauduleuse d'une requête
- détection — action de repérer quelque chose ou un motif
- surface d'attaque — ensemble des points vulnérables d'un système
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Pensez-vous que les entreprises doivent toujours vérifier le code généré par l'IA ? Pourquoi ?
- Quels risques et quelles conséquences l'article attribue-t-il à des agents d'IA plus autonomes ?
- Quelles méthodes, autres que les métadonnées, pourraient aider à détecter le code généré par l'IA selon le texte ?
Articles liés
Virtual Vet : un jeu pour apprendre la science à l'école primaire
Des chercheurs de l'University of Georgia ont créé Virtual Vet, un jeu où des élèves jouent des assistants vétérinaires pour pratiquer l'anatomie, la santé et le raisonnement. Les enfants qui ont joué ont obtenu de meilleurs résultats qu'avec des activités traditionnelles.
L'IA transforme le travail des tribunaux en Inde
Les tribunaux indiens modernisent leur travail avec des outils d'IA pour la transcription, la recherche et la traduction. Le projet e-Courts phase III et des plateformes comme SUPACE et Adalat.AI font partie de cette transformation, avec des risques et des règles.
Une IA qui coache les étudiants en suture
Des chercheurs de Johns Hopkins ont créé une IA qui observe les gestes de suture et envoie un retour personnalisé. Une étude avec 12 étudiants montre que les étudiants expérimentés progressent plus vite avec ce coaching. L'équipe veut rendre l'outil utilisable à domicile.
Des adolescents de Hong Kong utilisent des chatbots IA pour un soutien émotionnel
Hong Kong Free Press a publié le 12 octobre 2025 un reportage sur des adolescents qui parlent avec des chatbots IA pour du soutien. Le texte montre aussi les risques, les procès et des projets locaux comme Dustykid.