Des équipes de recherche ont analysé plus de 43 000 avis de sécurité publiés en ligne et ont identifié de nombreux cas où des outils d'intelligence artificielle générative ont contribué à produire du code non sécurisé. Elles ont donné le nom de « vibe coding » à ce phénomène et citent des outils comme Claude, Gemini et GitHub Copilot.
Le Vibe Security Radar, développé par le Systems Software & Security Lab de Georgia Tech, parcourt des bases publiques de vulnérabilités. Il associe chaque vulnérabilité à une erreur, examine l'historique du code pour trouver qui a introduit le bug et signale les cas contenant une signature d'outil d'IA. Le radar a confirmé 74 cas, dont 14 classés critiques et 25 considérés comme élevés.
Parmi les vulnérabilités détectées figurent l'injection de commandes, le contournement d'authentification et la falsification de requêtes côté serveur. Les chercheurs expliquent que les modèles d'IA ont tendance à répéter les mêmes erreurs et recommandent de relire le code généré, comme on relirait la demande de fusion d'un développeur junior.
Mots difficiles
- vulnérabilité — faiblesse dans un système ou un logicielvulnérabilités
- injection de commandes — attaque qui exécute des commandes non prévues
- contournement d'authentification — action pour éviter le contrôle d'accès
- falsification de requêtes — création de requêtes malveillantes vers un serveur
- intelligence artificielle générative — système informatique qui crée du contenu nouveau
- signature — marque ou trace laissée par un outil
- relire — lire encore pour vérifier et corriger
Astuce : survolez, mettez le focus ou touchez les mots en surbrillance dans l’article pour voir des définitions rapides pendant que vous lisez ou écoutez.
Questions de discussion
- Avez-vous déjà utilisé un outil d'IA pour écrire du code ? Quelles précautions avez-vous prises après ?
- Comment une équipe de développement peut-elle organiser la relecture du code généré par l'IA dans un projet réel ?
- Pensez-vous que les entreprises devraient interdire certains usages d'outils d'IA pour la sécurité ? Pourquoi ou pourquoi pas ?
Articles liés
Un nouvel appareil mesure la viscosité du sang en temps réel
Des chercheurs de l’Université du Missouri ont mis au point une technologie non invasive qui surveille la viscosité du sang avec des ondes ultrasonores et un logiciel. Elle mesure aussi la densité et pourrait devenir portable.
Un outil réduit l'animosité politique dans le fil X
Des chercheurs ont créé une extension qui réordonne le fil X pour faire descendre les messages d'animosité partisane, sans supprimer de publications. Dans des expériences, cela a rendu les participants plus chaleureux envers le parti opposé.
Une IA apprend des valeurs culturelles en observant des humains
Des chercheurs ont montré qu'une IA, entraînée à partir du comportement humain, peut apprendre des différences de valeurs entre groupes culturels. L'étude utilise le jeu Overcooked et un second test sur le partage d'argent.